○秩父広域市町村圏組合情報セキュリティ基本方針に関する規程
平成28年4月1日
訓令第4号
(趣旨)
第1条 秩父広域市町村圏組合情報セキュリティ基本方針に関する規程(以下「基本方針」という。)は、情報セキュリティに対する基本的な指針について、組合が管理する情報資産を適切に保護することに関し必要な事項を定めるものとする。
(1) 情報 コンピュータ及び電磁的・光学的記録媒体に記録されたデータ
(2) 情報システム ハードウェア、ソフトウェア及びネットワーク並びにハードウェア上に実装された電磁的・光学的記録媒体で構成され、これら全体で業務処理を行うもの
(3) 情報システム等 情報システム並びに情報システムの開発、運用及び保守を行うための資料等、情報を管理するための仕組み
(4) ネットワーク 電子計算機等を相互に接続するための通信網、ハードウェア、ソフトウェア及び電磁的・光学的記録媒体で構成されるもの
(5) 情報資産 情報及び情報システム等の総称
(6) 脅威 自然の脅威(地震、火災、風水害等)、情報システムの脅威(情報システムの故障、誤動作等)及び人的な脅威(不正行為、誤操作等)
(7) 情報セキュリティ 脅威から組合が確保する情報資産を保護し、情報資産の機密性、完全性及び可用性を保証すること。
(8) 情報セキュリティ対策 情報資産の情報セキュリティを維持するための管理策
(9) 情報セキュリティ対策基準 想定される脅威に対応するための管理及び対策要件をまとめた情報セキュリティ対策の統一基準となる規程
(10) 情報セキュリティ実施手順 基本方針及び情報セキュリティ対策基準(以下「対策基準」という。)に従い、情報セキュリティ対策に関する手法及び手順の詳細を規定したもの
(11) 情報セキュリティ事故 情報がそれぞれを利用する権限のない者に漏洩、改ざん又は破壊されること、情報システム等の提供するサービスが妨害され、業務に支障をきたすこと又は決定された情報セキュリティ対策が適切に行われないことにより、情報が危険にさらされること。
(12) 情報セキュリティ監査 情報セキュリティに関するリスク管理が、基本方針、対策基準及び情報セキュリティ実施手順(以下「実施手順」という。)で規定されているとおり実施されているか、情報セキュリティ対策やその運用状況を、専門的知識を持った第三者が客観的に評価し、保証あるいは助言を与えること。
(13) 職員 組合の運営方針に基づき、業務を実行する義務及び責任を有する者で、正規に採用された職員のほか、臨時職員、パートタイマー及び非常勤職員をいう。
(14) 関係機関 セキュリティ保護対象となる情報を取り扱う情報システムの利用を許可された他の機関
(15) 外部要員 情報システム等の開発・管理業務等を委託契約等に基づいて作業する者
(適用範囲)
第3条 この基本方針の適用対象者は、職員及び関係機関の職員並びに外部要員とし、適用資産は、組合が管理するすべての情報資産とする。
(職員及び関係機関の職員並びに外部要員の責務等)
第4条 職員は、この基本方針を遵守し、情報セキュリティ対策を有効に機能させなければならない。
2 職員は、職務上知り得た情報を正当な理由がなく他人に知らせ、又は不当な目的に使用してはならない。また、その職を退いた後も同様とする。
3 関係機関の職員は、情報資産の利用範囲に応じて、前2項と同様の責務が生じ得るものとする。
(情報セキュリティ対策)
第5条 組合が管理する情報資産を脅威から保護するために、次に掲げる情報セキュリティ対策を講ずるものとする。
(1) 情報システム等を設置する施設への不正な立入り、情報資産への損傷、妨害等から保護するために物理的な対策
(2) 職員及び関係機関の職員並びに外部要員に対して情報セキュリティの重要性を認識させ情報セキュリティの啓発に有効と考えられる教育活動等、必要な対策
(3) 情報システムの誤操作、不正アクセス等から情報資産を保護するために、情報資産へのアクセス制御等の技術的な対策
(4) 情報システムの誤作動、不正利用、情報漏洩等から情報資産を保護するために、開発環境、品質保持に必要な対策
(5) 情報システムに対して運用ミス及び情報漏洩等から情報資産を保護するために、情報システムの運用、保守、監視等の必要な対策
(6) ネットワーク障害、不正アクセス等から情報資産を保護するために、ネットワークの可用性確保、ネットワーク監視等の必要な対策
(情報セキュリティ対策基準)
第6条 組合における情報セキュリティ対策の統一基準となる対策基準を定め、想定される脅威に対応するための対策要件を規定する。
(適用除外)
第8条 この基本方針及び対策基準に基づく対策の実施が困難であると判断した場合、対策要件、理由、対応計画等を明確にした上で、適用を除外することができるものとする。この場合において、この対策要件、理由及び対応計画については適用除外申請書において明確に記載するものとする。
(情報の区分)
第9条 組合が管理する情報資産は、重要度に応じて区分し、その区分に応じた情報セキュリティ対策を講ずるものとする。
2 情報区分の定義及び区分に応じた情報セキュリティ対策の要件は、対策基準によるものとする。
(情報セキュリティ管理体制)
第10条 情報セキュリティ対策は、推進及び管理を目的とした管理体制を構築して実施するものとし、その管理体制は対策基準で定めるものとする。
(公開・非公開の区分)
第11条 この基本方針、対策基準及び実施手順は、公にすることにより組合の行政運営に重大な支障を及ぼすおそれがあることから、原則として非公開とする。
(情報セキュリティ監査の実施)
第12条 この基本方針及び対策基準が遵守されていることを検証するため、定期的に情報セキュリティ監査を実施するものとする。
(法令等の遵守)
第13条 すべての適用対象者は、職務の遂行において、関連法令等に従わなければならない。
附則
この訓令は、平成28年4月1日から施行する