○益子町情報セキュリティ基本方針
平成28年3月31日
訓令第2号
益子町情報セキュリティ基本方針の全部を次のように改正する。
序文
本町において取り扱う情報には、町民の特定個人情報や行政運営上重要な情報等、外部への漏えい等が発生した場合、極めて重大な影響を及ぼす情報が多数含まれており、これらの情報資産を適切に保護し、責任を持って管理するためには、情報セキュリティマネジメント(情報資産を適切に保護するための組織としての継続的かつ計画的な取り組み)が必要不可欠である。
このため、本町は情報セキュリティマネジメントの実現に関する体系的かつ具体的な対策等を益子町情報セキュリティポリシー(以下「セキュリティポリシー」という。)として定めることとする。
第1章 総則
(目的)
第1条 益子町情報セキュリティ基本方針(以下「基本方針」という。)は、本町の所有する情報資産を利用、運用、開発及び保守する者が、情報セキュリティの確保に関する包括的な対策を図ることにより、本町の情報資産を適切に保護することを目的とする。
(1) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(2) 機密性 許可された者だけが情報資産にアクセスできることを保証することをいう。
(3) 完全性 情報資産が正確及び完全であることを常に維持することをいう。
(4) 可用性 許可された者が、確実に情報資産を利用できることをいう。
(5) 情報 職員等が職務上作成又は取得した全ての文章等のうち、電磁的に記録されたものをいう。
(6) 情報システム 本町において、ハードウェア、ソフトウェア、ネットワーク、記録媒体等で構成されるものであって、これら全体で業務処理を行うもの並びにこれらの仕組みを開発、運用及び保守するために作成された資料等をいう。
(7) 情報資産 情報及び情報システムの総称をいう。
(8) 職員等 町長、副町長、教育長並びに町長事務部局、教育委員会、選挙管理委員会、監査委員、農業委員会、固定資産評価審査委員会及び議会事務部局の一般職の職員、嘱託職員、臨時職員等の総称をいう。
(9) 外部委託事業者 本町の情報資産に関連する開発、導入、保守等の委託を受けた事業者等をいう。
(適用範囲)
第3条 基本方針の適用範囲は、次のとおりとする。
(1) 町長事務部局
(2) 教育委員会、選挙管理委員会、監査委員、農業委員会、固定資産評価審査委員会及び議会事務部局
(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃及び部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等
(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
(3) 地震、雷、火災、風害、水害等の災害及び停電、回線断、故障、異常動作、容量超過等
(構成)
第5条 セキュリティポリシーは、本町における情報セキュリティに関する基本的な考え方を述べた基本方針と、基本方針に基づき、情報セキュリティを確保するために遵守すべき行為等の基準を示した益子町情報セキュリティ対策基準からなるものとする。
2 セキュリティポリシーに基づき、情報セキュリティ対策の具体的な手順等を定めた益子町情報セキュリティ実施手順を、必要に応じ個別の情報システム又は業務毎等に作成する。
第2章 基本的な考え方
(職員等の責務)
第6条 職員等及び外部委託事業者は、セキュリティポリシーを理解し遵守することで、本町が保有する情報資産を適切に保護しなければならない。
(情報セキュリティ対策)
第7条 第4条の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。
(1) 組織体制 本町の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。
(2) 情報資産の分類と管理 本町の保有する情報資産を機密性、完全性及び可用性の観点から分類し、当該分類に基づき情報セキュリティ対策を行う。
(3) 物理的セキュリティ サーバ室等、通信回線等、職員等のパソコン等の管理について、物理的な対策を講じる。
(4) 人的セキュリティ 情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。
(5) 技術的セキュリティ コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
(6) 運用 情報システムの監視、セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産に対するセキュリティ侵害が発生した場合等、迅速かつ適切に対応するため、必要な措置を講ずるものとする。
(監査・見直し)
第8条 セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じ、情報セキュリティ監査及び自己点検を実施し、情報システムの変更及びセキュリティポリシーの見直し時に活用しなければならない。
(委任)
第9条 その他必要な事項は、町長が別に定める。
附則
この訓令は、平成28年3月31日から施行する。