(目的)

第1条　益子町情報セキュリティ対策基準(以下「対策基準」という。)は、益子町情報セキュリティ基本方針(以下「基本方針」という。)に基づき、本町の情報資産のセキュリティ管理に必要な事項を定めることを目的とする。

(定義及び適用範囲)

第2条　対策基準における用語の意義及び適用範囲は、基本方針の例による。

(最高情報セキュリティ責任者)

第3条　副町長を、最高情報セキュリティ責任者(以下「CISO」という。)とする。CISOは、本町における全てのネットワーク、情報システム等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。

(統括情報セキュリティ責任者)

第4条　総務部長を、CISO直属の統括情報セキュリティ責任者とする。統括情報セキュリティ責任者はCISOを補佐しなければならない。

(情報セキュリティ責任者)

第5条　生活環境部長、産業建設部長及び教育次長を情報セキュリティ責任者とする。

(情報セキュリティ管理者)

第6条　町長部局の課長、行政委員会事務局の課長又は上席の者及び議会事務局の局長を情報セキュリティ管理者とする。

(情報システム管理者)

第7条　各情報システムの担当課局長等を、当該情報システムに関する情報システム管理者とする。

(情報システム担当者)

第8条　情報システム管理者の指示等に従い、情報システムの開発、設定の変更、運用、更新等の作業を行う者を、情報システム担当者とする。

(情報セキュリティ委員会)

第9条　本町の情報セキュリティ対策を統一的に行うため、情報セキュリティ委員会(以下「委員会」という。)を設置する。

(CSIRT)

第10条　CISOは、本町の情報セキュリティに関する統一的な窓口の機能を有する、CSIRTを設置する。

(兼務の禁止)

第11条　情報セキュリティ対策の実施において、やむを得ない場合を除き、承認又は許可の申請を行う者と承認者又は許可者は、同じ者が兼務してはならない。

(情報資産の分類)

第12条　本町における情報資産は、機密性、完全性、可用性等の観点により、重要度の高いものから重要性分類Ⅰ、Ⅱ、Ⅲ及びⅣとし、次の要件に従って分類する。

(情報資産の管理)

第13条　情報セキュリティ管理者は、所管する情報資産について管理責任を有する。

(情報資産の作成)

第14条　職員等は、業務上必要のない情報を作成してはならない。

(情報資産の入手)

第15条　庁内の者が作成した情報資産を入手した者は、入手元の情報資産の分類に基づいた取扱いをしなければならない。

(情報資産の利用)

第16条　情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。

(情報資産の取扱制限)

第17条　情報資産の取扱制限については、次のとおりとする。

(機器の取付け)

第18条　情報システム管理者は、サーバ等の機器の取付けを行う場合、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切に固定する等必要な措置を講じなければならない。

(サーバの事業継続性)

第19条　情報システム管理者は、重要情報を格納しているサーバ、セキュリティサーバ、住民サービスに関するサーバ、その他の基幹サーバを、必要に応じ冗長化等の技術により、同一データを保持するよう努めなければならない。

(機器の電源)

第20条　情報システム管理者は、統括情報セキュリティ責任者及び施設管理部門と連携し、サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。

(通信ケーブル等の配線)

第21条　統括情報セキュリティ責任者及び情報システム管理者は、施設管理部門と連携し、通信ケーブル、電源ケーブルの損傷等を防止するため、配線収納管を使用する等必要な措置を講じなければならない。

(機器の定期保守及び修理)

第22条　情報システム管理者は、重要性分類Ⅰ・Ⅱ・Ⅲのサーバ等の機器の定期保守を実施しなければならない。

(庁外への機器の設置)

第23条　統括情報セキュリティ責任者及び情報システム管理者は、庁外にサーバ等の機器を設置する場合、CISOの承認を得なければならない。また、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。

(機器の廃棄等)

第24条　情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

(管理区域の構造等)

第25条　管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理及び運用を行うための部屋又は区画(以下「サーバ室等」という。)や電磁的記録媒体の保管庫をいう。

(管理区域の入退室管理等)

第26条　情報システム管理者は、管理区域への入退室を許可された者のみに制限し、入退室管理簿の記載による入退室管理を行わなければならない。

(機器等の搬入出)

第27条　情報システム管理者は、搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員又は外部委託事業者に確認を行わせなければならない。

(通信回線及び通信回線装置の管理)

第28条　統括情報セキュリティ責任者は、庁内の通信回線及び通信回線装置を、施設管理部門と連携し、適切に管理しなければならない。また、通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。

(職員等のパソコン等の管理)

第29条　情報システム管理者は、情報システムへのログインパスワードの入力を必要とするように設定しなければならない。

(職員等の遵守事項)

第30条　職員等の遵守事項については、次のとおりとする。

(フルタイム会計年度任用職員及びパートタイム会計年度任用職員等の遵守事項)

第31条　フルタイム会計年度任用職員及びパートタイム会計年度任用職員等(以下「会計年度任用職員等」という。)への対応については、次のとおりとする。

(セキュリティポリシー等の掲示)

第32条　情報セキュリティ管理者は、職員等が常にセキュリティポリシー及び実施手順を閲覧できるように掲示しなければならない。

(外部委託事業者に対する説明)

第33条　情報セキュリティ管理者は、ネットワーク及び情報システムの開発・保守等を外部委託事業者に発注する場合、外部委託事業者から再委託を受ける事業者も含めて、セキュリティポリシー等のうち外部委託事業者が守るべき内容の遵守及び機密事項を説明しなければならない。

(情報セキュリティに関する研修・訓練)

第34条　CISOは、定期的に情報セキュリティに関する研修・訓練を実施しなければならない。

(研修計画の策定及び実施)

第35条　研修計画の策定及び実施については、次のとおりとする。

(緊急時対応訓練)

第36条　CISOは、緊急時対応を想定した訓練を定期的に実施しなければならない。訓練計画は、ネットワーク、各情報システムの規模等を考慮し、訓練実施の体制、範囲等を定め、また、効果的に実施できるようにしなければならない。

(研修・訓練への参加)

第37条　全ての職員等は、定められた研修・訓練に参加しなければならない。

(庁内からのセキュリティインシデント)

第38条　職員等は、セキュリティインシデントを認知した場合、速やかに情報セキュリティ管理者に報告しなければならない。

(住民等外部からのセキュリティインシデントの通報)

第39条　職員等は、本町が管理するネットワーク、情報システム等の情報資産に関するセキュリティインシデントについて、住民等外部から通報を受けた場合、情報セキュリティ管理者に報告しなければならない。

(セキュリティインシデント原因の究明・記録、再発防止等)

第40条　CSIRTは、これらのセキュリティインシデント原因を究明し、記録を保存しなければならない。また、セキュリティインシデントの原因究明結果から、再発防止策を検討し、CISOに報告しなければならない。

(ICカード等の取扱い)

第41条　職員等は、自己の管理するICカード等に関し、次の事項を遵守しなければならない。

(IDの取扱い)

第42条　職員等は、自己の管理するIDに関し、次の事項を遵守しなければならない。

(パスワードの取扱い)

第43条　職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。

(ファイルサーバの設定等)

第44条　情報システム管理者は、職員等が使用できるファイルサーバの容量を設定し、職員等に周知しなければならない。

(バックアップの実施)

第45条　統括情報セキュリティ責任者及び情報システム管理者は、ファイルサーバ等に記録された情報について、サーバの冗長化対策に関わらず、必要に応じ定期的にバックアップを実施しなければならない。

(他団体との情報システムに関する情報等の交換)

第46条　情報システム管理者は、他の団体と情報システムに関する情報及びソフトウェアを交換する場合、取扱いに関する事項をあらかじめ定め、統括情報セキュリティ責任者及び情報セキュリティ責任者の許可を得なければならない。

(システム管理記録及び作業の確認)

第47条　情報システム管理者は、所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。

(情報システム仕様書等の管理)

第48条　統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク構成図及び情報システム仕様書について、記録媒体に関わらず、業務上必要とする者以外の者が閲覧したり、紛失等がないよう、適切に管理しなければならない。

(ログの取得等)

第49条　統括情報セキュリティ責任者及び情報システム管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。

(障害記録)

第50条　統括情報セキュリティ責任者及び情報システム管理者は、職員等からのシステム障害の報告、処理結果、問題等を障害記録として記録し、適切に保存しなければならない。

(ネットワークの接続制御、経路制御等)

第51条　統括情報セキュリティ責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。

(外部の者が利用できるシステムの分離等)

第52条　情報システム管理者は、電子申請の汎用受付システム等、外部の者が利用できるシステムについて、必要に応じ他のネットワーク及び情報システムと、物理的又は論理的に分離する等の措置を講じなければならない。

(外部ネットワークとの接続制限等)

第53条　情報システム管理者は、所管するネットワークを外部ネットワークと接続しようとする場合、CISO及び統括情報セキュリティ責任者の許可を得なければならない。

(複合機のセキュリティ管理)

第54条　統括情報セキュリティ責任者は、複合機を調達する場合、当該複合機が備える機能、設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適切なセキュリティ要件を策定しなければならない。

(特定用途機器のセキュリティ管理)

第55条　統括情報セキュリティ責任者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合、当該機器の特性に応じた対策を講じなければならない。

(無線LAN及びネットワークの盗聴対策)

第56条　統括情報セキュリティ責任者は、無線LANの利用を認める場合、解読が困難な暗号化及び認証技術の使用を義務付けなければならない。

(電子メールのセキュリティ管理)

第57条　統括情報セキュリティ責任者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。

(電子メールの利用制限)

第58条　職員等は、自動転送機能を用いて、電子メールを転送してはならない。

(電子署名・暗号化)

第59条　職員等は、第17条により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合、CISOが定めた電子署名、暗号化又はパスワード設定等、セキュリティを考慮し、送信しなければならない。

(無許可ソフトウェアの導入等の禁止)

第60条　職員等は、パソコンやモバイル端末に無断でソフトウェアを導入してはならない。

(機器構成の変更の制限)

第61条　職員等は、パソコンやモバイル端末に対し機器の改造及び増設・交換を行ってはならない。

(無許可でのネットワーク接続の禁止)

第62条　職員等は、統括情報セキュリティ責任者の許可なくパソコンやモバイル端末をネットワークに接続してはならない。

(業務以外の目的でのウェブ閲覧の禁止)

第63条　職員等は、業務以外の目的でウェブを閲覧してはならない。

(アクセス制御)

第64条　アクセス制御については、次のとおりとする。

(職員等による外部からのアクセス等の制限)

第65条　職員等が外部から内部のネットワーク又は情報システムにアクセスする場合、統括情報セキュリティ責任者及び当該情報システムを管理する情報システム管理者の許可を得なければならない。

(自動識別の設定)

第66条　統括情報セキュリティ責任者及び情報システム管理者は、ネットワークで使用される機器について、特に機密性の高いネットワークにおいて、機器固有情報によって端末とネットワークとの接続の可否が自動的に識別されるようシステムを設定しなければならない。

(パスワードに関する情報の管理)

第67条　統括情報セキュリティ責任者又は情報システム管理者は、職員等のパスワードに関する情報を厳重に管理しなければならない。

(特権による接続時間の制限)

第68条　情報システム管理者は、特権によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。

(情報システムの調達)

第69条　統括情報セキュリティ責任者及び情報システム管理者は、情報システム開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。

(情報システムの開発)

第70条　システム開発における責任者及び作業者の特定情報システム管理者は、システム開発の責任者及び作業者を特定しなければならない。また、システム開発のための規則を確立しなければならない。

(情報システムの導入)

第71条　開発環境と運用環境の分離及び移行手順の明確化については、次のとおりとする。

(システム開発・保守に関連する資料等の整備・保管)

第72条　情報システム管理者は、システム開発・保守に関連する資料及びシステム関連文書を適切に整備・保管しなければならない。

(情報システムにおける入出力データの正確性の確保)

第73条　情報システム管理者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。

(情報システムの変更管理)

第74条　情報システム管理者は、情報システムを変更した場合、プログラム仕様書等の変更履歴を作成しなければならない。

(開発・保守用のソフトウェアの更新等)

第75条　情報システム管理者は、開発・保守用のソフトウェア等を更新又はパッチの適用をする場合、他の情報システムとの整合性を確認しなければならない。

(システム更新又は統合時の検証等)

第76条　情報システム管理者は、システム更新又は統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新又は統合後の業務運営体制の検証を行わなければならない。

(統括情報セキュリティ責任者の措置事項)

第77条　統括情報セキュリティ責任者は、不正プログラムに関し、次の事項を措置しなければならない。

(情報システム管理者の措置事項)

第78条　情報システム管理者は、不正プログラム対策に関し、次の事項を措置しなければならない。

(職員等の遵守事項)

第79条　職員等は、不正プログラム対策に関し、次の事項を遵守しなければならない。

(専門家の支援体制)

第80条　統括情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。

(統括情報セキュリティ責任者の措置事項)

第81条　統括情報セキュリティ責任者は、不正アクセス対策に関し、次の事項を措置しなければならない。

(攻撃の予告)

第82条　CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受けることが明確になった場合、システムの停止を含む必要な措置を講じなければならない。また、関係機関と連絡を密にして情報の収集に努めなければならない。

(記録の保存)

第83条　CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号)違反等の犯罪の可能性がある場合、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。

(内部からの攻撃)

第84条　統括情報セキュリティ責任者及び情報システム管理者は、職員等及び外部委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。

(職員等による不正アクセス)

第85条　統括情報セキュリティ責任者及び情報システム管理者は、職員等による不正アクセスを発見した場合、当該職員等が所属する課局等の情報セキュリティ管理者に通知し、適切な処置を求めなければならない。

(サービス不能攻撃)

第86条　統括情報セキュリティ責任者及び情報システム管理者は、外部からアクセスできる情報システムに対し、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。

(標的型攻撃)

第87条　統括情報セキュリティ責任者及び情報システム管理者は、情報システムにおいて、標的型攻撃による内部への侵入を防止するため、教育や自動再生無効化等の人的対策や入口対策を講じなければならない。また、内部に侵入した攻撃を早期に検知し対処するため、通信をチェックする等の内部対策を講じなければならない。

(セキュリティホールに関する情報の収集・共有及びソフトウェアの更新等)

第88条　統括情報セキュリティ責任者及び情報システム管理者は、セキュリティホールに関する情報を収集し、必要に応じ関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を講じなければならない。

(不正プログラム等のセキュリティ情報の収集及び周知)

第89条　統括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。

(情報セキュリティに関する情報の収集及び共有)

第90条　統括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する情報を収集し、必要に応じ関係者間で共有しなければならない。また、情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。

(情報システムの監視)

第91条　統括情報セキュリティ責任者及び情報システム管理者は、セキュリティに関する事案を検知するため、情報システムを常時監視しなければならない。

(遵守状況の確認及び対処)

第92条　情報セキュリティ責任者及び情報セキュリティ管理者は、セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合、速やかにCISO及び統括情報セキュリティ責任者に報告しなければならない。

(パソコン、モバイル端末及び電磁的記録媒体等の利用状況調査)

第93条　CISO及びCISOが指名した者は、不正アクセス、不正プログラム等の調査のため、職員等が使用しているパソコン、モバイル端末、電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。

(職員等の報告義務)

第94条　職員等は、セキュリティポリシーに対する違反行為を発見した場合、直ちに統括情報セキュリティ責任者及び情報セキュリティ管理者に報告を行わなければならない。

(緊急時対応計画の策定)

第95条　CISOは、セキュリティインシデント、セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合、連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適切に実施するため、緊急時対応計画を定めておき、セキュリティ侵害時には当該計画に従って適切に対処しなければならない。

(緊急時対応計画に盛り込むべき内容)

第96条　緊急時対応計画には、次の内容を定めなければならない。

(業務継続計画との整合性確保)

第97条　自然災害、大規模・広範囲にわたる疾病等に備えて別途業務継続計画を策定し、情報セキュリティ委員会は当該計画とセキュリティポリシーの整合性を確保しなければならない。

(緊急時対応計画の見直し)

第98条　CISOは、情報セキュリティを取り巻く状況の変化や組織体制の変動等に応じ、緊急時対応計画を見直さなければならない。

(例外措置の許可)

第99条　情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規程を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し又は遵守事項を実施しないことについて合理的な理由がある場合、CISOの許可を得て、例外措置を取ることができる。

(緊急時の例外措置)

第100条　情報セキュリティ管理者及び情報システム管理者は、行政事務の遂行に緊急を要する等の場合であって、前条の手続きによることができない場合、事後速やかにCISOに報告しなければならない。

(例外措置の申請書の管理)

第101条　CISOは、例外措置の申請書及び審査結果を適切に保管し、定期的に申請状況を確認しなければならない。

第102条　職員等は、職務の遂行において使用する情報資産を保護するため、次の法令のほか関係法令を遵守し、これに従わなければならない。

(懲戒処分)

第103条　セキュリティポリシーに違反した職員等及び監督責任者は、重大性、発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とする。

(違反時の対応)

第104条　職員等のセキュリティポリシーに違反する行動を確認した場合、速やかに次の措置を講じなければならない。

(外部委託事業者の選定基準)

第105条　情報セキュリティ管理者は、外部委託事業者の選定にあたり、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。

(契約項目)

第106条　情報システムの運用、保守等を外部委託する場合、外部委託事業者との間で必要に応じ次の情報セキュリティ要件を明記した契約を締結しなければならない。

(確認・措置等)

第107条　情報セキュリティ管理者は、外部委託事業者において必要な情報セキュリティ対策が確保されていることを定期的に確認し、必要に応じ前条の契約に基づき措置しなければならない。また、内容を統括情報セキュリティ責任者に報告するとともに、重要度に応じてCISOに報告しなければならない。

(約款による外部サービスの利用に係る規定の整備)

第108条　情報セキュリティ管理者は、次の内容を含む約款による外部サービスの利用に関する規定を整備しなければならない。また、当該サービスの利用において、重要性分類Ⅰ・Ⅱ・Ⅲの情報が取り扱われないように規定しなければならない。

(約款による外部サービスの利用における対策の実施)

第109条　職員等は、利用するサービスの約款、その他提供条件から、利用に当たってのリスクが許容できることを確認した上で約款による外部サービスの利用を申請し、適切な措置を講じた上で利用しなければならない。

(ソーシャルメディアサービスの利用)

第110条　情報セキュリティ管理者は、本町が管理するアカウントでソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関する次の事項を含めたソーシャルメディアサービス運用手順を定めなければならない。

(情報セキュリティ監査)

第111条　監査については、次のとおりとする。

(自己点検)

第112条　自己点検については、次のとおりとする。

(セキュリティポリシー及び関係規程等の見直し)

第113条　情報セキュリティ委員会は、情報セキュリティ監査、自己点検の結果、情報セキュリティに関する状況の変化等を踏まえ、セキュリティポリシー、関係規程等について毎年度及び重大な変化が発生した場合に評価を行い、必要があると認めた場合、改善を行うものとする。