石狩市情報セキュリティ基本方針
印刷用ページを表示する 掲載日:2014年7月31日更新
石狩市情報セキュリティ基本方針
第1 目的この方針は、市が保有する情報資産の適切な運用により、市民に信頼される行政サービスを提供するため、市の情報セキュリティ対策の基本方針を定めることを目的とする。
第2 定義
次に、用語の意義を定める。
1 情報セキュリティ
情報資産の機密性、完全性及び可用性を確保維持することをいう。
2 行政情報
市が保有する行政運営にかかわる情報をいい、次に掲げるものをいう。
(1) 電子化された情報(情報システムにおいて格納及び処理される情報並びに関連する通信回線上を流通する情報をいう。)
(2) 紙媒体の情報(情報システムからの出力帳票、印刷物等情報が記録された各種の書類をいう。)
3 情報システム
電子化された情報を格納し、事務処理を行う仕組み全般をいい、次に掲げるものをいう。
(1) 市の管理する情報通信ネットワーク基盤
(2) 市の管理する業務用システム
(3) (1)又は(2)に関連する機器
4 情報資産
行政情報及び情報システム並びにこれらが格納、設置される設備及び建物をいう。
第3 情報セキュリティポリシーの構成、位置付け等
情報セキュリティポリシーの構成は、次のとおりとする。
1 石狩市情報セキュリティ基本方針(以下「基本方針」という。)
市の情報セキュリティに対する基本的な考え方及び基本姿勢を示すもので、市の情報資産を適切に運用するための基本事項を定めた、情報セキュリティ対策の最上位に位置するものとする。
2 石狩市情報セキュリティ対策基準
基本方針に基づき、情報セキュリティ対策において、遵守すべき事項及び判断の基準等を統一的に定めた文書をいう。
第4 対象範囲
情報セキュリティポリシーの対象範囲は、次に掲げるものとする。
1 市の情報資産
2 市の情報資産に接する臨時及び非常勤職員を含む市の職員(以下「職員」とする。)
第5 情報セキュリティの管理体制
情報セキュリティ対策を強力に推進するため、その責任及び権限を明確にした管理体制を確立するものとする。
第6 適用対象者の義務
職員は次の事項を遵守しなければならない。
1 市の情報セキュリティポリシーの要求事項
2 法令等における情報セキュリティ上の要求事項
第7 情報資産の分類及び管理
情報資産を適切に取り扱うため、情報資産の統一的な分類基準を定めるものとし、分類基準に基づく情報資産の管理方法を定めるものとする。
第8 情報セキュリティ対策
情報資産を取り巻く脅威から情報資産を守るため、次に掲げる区分に応じ、当該各号に定める事項について情報セキュリティ対策を講じるものとする。
1 人的セキュリティ対策
人的要因から発生し得る情報セキュリティ上の脅威を防止するために次の対策を行う。
(1) 職員の管理責任及び権限の明確化
業務内容、役職等に応じて、職員の情報セキュリティ上の責任及び情報資産の適切な利用権限を定める。
(2) 情報セキュリティ教育
職員に対して、情報セキュリティの重要性を啓発する教育を行う。
(3) 認証情報の管理
情報資産を利用する際に、利用者を特定するために用いる各種の認証情報の管理方法を定める。
(4) 事件及び事故の報告
情報セキュリティに関する事件及び事故発生時に迅速な対応を可能とするよう、報告の手順等を定める。
(5) 外部事業者に対する遵守事項の明確化
市の行政運営にかかわる者を雇用する場合又は業務を委託する場合に情報セキュリティ上必要な要求事項を定め、これを遵守させる。
2 物理的セキュリティ対策
物理的要因から発生し得る情報セキュリティ上の脅威を防止するために、次の対策を行う。
(1) 情報資産を設置する区画の分類
区画(執務室、電算室等)の利用形態及び設置される情報資産の内容等を考慮した区画の分類基準を定める。
(2) 入退室管理
区画の分類基準に基づき、必要な入退室管理の方法を定める。
(3) 情報資産の設置基準の明確化
区画の分類基準に基づき、情報資産の設置にあたって必要な保護策について定める。
3 技術的セキュリティ対策
技術的要因から発生し得る情報セキュリティ上の脅威を防止するために、次の対策を行う。
(1) 情報システムの導入基準の明確化
情報システムの導入において、情報セキュリティ上必要とされる要件を定める。
(2) 情報システムの運用管理
導入された情報システムを安定稼動させるため、必要な運用管理方法を定める。
(3) 情報収集
情報システムにかかわるセキュリティ情報を収集するとともに、必要に応じて対応方法を定める。
(4) コンピュータウイルス対策
コンピュータウイルスの被害を防止するための対策について定める。
第9 違反時の対応
職員が第6に定められた適用対象者の義務に違反した場合は、その重大性に応じて地方公務員法を始めとする各関連法令の罰則の対象となり得る。
第10 評価と見直し
情報セキュリティの実施状況の検証結果及び情報セキュリティを取り巻く状況の変化に対応するため、情報セキュリティポリシーの見直しを適宜行う。
附則
この方針は、平成16年7月1日から施行する。