○東松島市情報セキュリティポリシー
令和元年11月1日
訓令甲第31号
目次
序章 東松島市情報セキュリティポリシーの構成
第1章 情報セキュリティ基本方針
1 目的
2 定義
3 東松島市情報セキュリティポリシーの位置付け
4 東松島市情報セキュリティポリシーの対象範囲
5 職員の義務
6 情報セキュリティ管理体制
7 情報資産の分類
8 情報資産への脅威
9 情報セキュリティ対策
10 情報セキュリティ対策基準の策定
11 東松島市情報セキュリティ実施手順(運用マニュアル)の策定
12 評価・見直し
第2章 情報セキュリティ対策基準
1 管理体制
2 情報資産の分類と管理
3 人的セキュリティ
4 物理的セキュリティ
5 技術的セキュリティ
6 運用
7 法令遵守
8 監査、点検等
序章 東松島市情報セキュリティポリシーの構成
この訓令は、本市が保有する情報資産に関するセキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、本市の情報資産を取り扱う全職員に浸透、定着させ、安定的な規範であることが要請される。しかし、その一方では、情報セキュリティ対策は、情報処理技術、通信技術等の進展に伴う急速な状況の変化に対して、柔軟に対応することも必要である。
このようなことから、この訓令は、一定の普遍性を備えた部分としての「情報セキュリティ基本方針」と、情報資産を取り巻く状況の変化に適切に対応する部分としての「情報セキュリティ対策基準」の2階層からなるものとして策定することとする。また、この訓令に基づき、具体的な情報セキュリティ対策の実施手順として「東松島市情報セキュリティ実施手順(運用マニュアル)」を策定することとする。
文書名 | 内容 | |
情報セキュリティ基本方針 | 情報セキュリティ対策に関する統一的かつ基本的な方針 | |
情報セキュリティ対策基準 | 情報セキュリティ基本方針を実行に移すための、全ての情報資産に共通の情報セキュリティ対策の基準 | |
東松島市情報セキュリティ実施手順(運用マニュアル) | 情報セキュリティ対策基準に基づいた情報資産に関する具体的な手順や実施事項を定めたもの |
第1章 情報セキュリティ基本方針
1 目的
本市が取り扱う情報資産には、市民の個人情報のみならず、部外に提供、漏えい等をした場合には極めて重大な結果を招く行政運営上、重要な情報が多数含まれており、これらの情報資産を人的脅威や災害、事故等から防御することは、市民の財産、プライバシー等を守るためにも、あわせて、継続的かつ安全・安定的な行政サービスの実施を確保するためにも必要不可欠である。また、近年のいわゆるIT革命の進展により、電子政府や電子自治体の実現が期待されているところである。本市がこれらに積極的な対応をするためには、本市が管理している全てのネットワーク及び情報処理システムが高度な安全性を有することが不可欠な前提条件となる。
上記のことから、本市の情報資産について、国際標準化機構が定める次のことを維持するため、この訓令を定め、情報セキュリティの確保に最大限取り組むこととする。
(1) 機密性 情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。
(2) 完全性 情報及び処理の方法の正確さ及び完全である状態を完全防護すること。
(3) 可用性 許可された利用者が必要なときに情報にアクセスできることを確実にすること。
2 定義
(1) ネットワーク コンピュータ等を相互に接続するための通信網及びその構成機器をいう。
(2) 情報処理システム コンピュータ及びネットワークで構成され、情報処理を行う仕組みをいう。
(3) ドキュメント 業務要件定義書、ネットワーク設計書、システム設計書、ネットワーク仕様書、プログラム仕様書、オペレーション仕様書、コード一覧表等のネットワーク及び情報処理システムに必要な仕様書類をいう。
(4) 情報資産 コンピュータ、ネットワーク、情報処理システム、ドキュメント及び電磁的に記録された情報をいう。
(5) 個人情報 個人に関する情報(事業を営む個人の当該事業に関する情報を除く。)で特定の個人を識別することができるもの(一般人が通常入手し得る関連情報と照合することにより、特定の個人を識別することができることとなるもの及び特定個人情報(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第8項に規定する特定個人情報をいう。)を含む。)をいう。
(6) セキュリティ 情報資産に係る機密性、完全性及び可用性を維持、確保することをいう。
(7) データ ネットワーク及び情報処理システムに係る入出力帳票、磁気情報及び媒体並びにドキュメントをいう。
3 東松島市情報セキュリティポリシーの位置付け
この訓令は、本市の情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の最高位に位置するものである。
4 東松島市情報セキュリティポリシーの対象範囲
この訓令の対象範囲は、本市における情報資産に接する者とし、市長、副市長、教育長、監査委員その他次に掲げる者(以下総称して「職員」という。)とする。この場合において、外部委託したときは、その事業者をも含むものとする。
(1) 正規職員
(2) 定年前再任用短時間勤務職員
(3) 任期付職員
(4) 非常勤職員
(5) 臨時的任用職員
(6) 会計年度任用職員
5 職員の義務
職員は、情報セキュリティの重要性について共通の認識を持つとともに、情報資産の利用に当たってはこの訓令を遵守しなければならない。
6 情報セキュリティ管理体制
本市の情報資産について、職員間において適切に情報セキュリティ対策を推進・管理するための体制を確立するものとする。
7 情報資産の分類
情報資産をその重要度に応じて分類し、それに応じたセキュリティ対策を行うものとする。
8 情報資産への脅威
この訓令を講ずる上で、情報資産に対する脅威の発生頻度や発生した場合の影響を考慮するものとし、特に対策すべき脅威は次のとおりである。
(1) 権限外者による故意の不正アクセス又は不正操作によるデータやプログラムを持ち出し、搾取し、改ざんし、消去し、又は機器及び記録媒体の破壊、盗難等のもの
(2) 職員及び外部委託者による意図しない操作、故意の不正アクセス、不正操作によるデータやプログラムを持ち出し、搾取し、改ざんし、消去し、又は機器及び記録媒体の破壊、盗難等のもの若しくは規定外の情報システムの機器操作によるデータ漏えい等のもの
(3) コンピュータウイルス、地震、落雷、台風等の災害や事故、故障等によるサービス及び業務の停止がされたもの
9 情報セキュリティ対策
本市の情報資産を上記8の情報資産への脅威から保護するため、次の情報セキュリティ対策を講ずるものとする。
(1) 人的セキュリティ対策 職員の情報セキュリティに関する権限や遵守すべき事項を定めるとともに、職員にこの訓令の内容を周知徹底するため、教育及び啓発を行うもの
(2) 物理的セキュリティ対策 サーバ室への不正な立入り、機器の不要な操作等から保護するため、入退室や機器管理上の物理的な対策を講ずるもの
(3) 技術的セキュリティ対策 情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、コンピュータウイルス対策等を実施するもの
(4) 運用におけるセキュリティ対策 この訓令の実効性を確保するため、また、不正アクセスされること及び不正アクセスによって他の情報処理システムに対して被害を及ぼすことを防ぐため、ネットワークの監視、本訓令の遵守状況の確認等の必要な措置や障害及び緊急事態が発生した際の迅速な対応を可能とするための対策を講ずるもの
10 情報セキュリティ対策基準の策定
本市の情報資産について、上記9の情報セキュリティ対策を講ずるに当たっては、職員が遵守すべき事項、判断基準等を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。
11 東松島市情報セキュリティ実施手順(運用マニュアル)の策定
情報セキュリティ対策を確実に実施していくためには、個々の情報資産に関するセキュリティ対策の手順を具体的に定めておく必要があることから、情報セキュリティ対策基準に基づき、東松島市情報セキュリティ実施手順(運用マニュアル)を策定するものとする。
なお、東松島市情報セキュリティ実施手順は、公開することにより本市の行政運営に重大な支障を及ぼすおそれのある情報であることから非公開とする。
12 評価・見直し
この訓令に定める事項及び情報セキュリティ対策の評価、ネットワーク及び情報処理システムの変更、新たな脅威等情報セキュリティを取り巻く状況の変化を踏まえ、適宜情報セキュリティ対策基準の見直しを実施するものとする。
第2章 情報セキュリティ対策基準
情報セキュリティ対策基準とは、情報セキュリティ基本方針を実行に移すための、本市の情報資産に関する情報セキュリティ対策の基準である。
1 管理体制
(1) 最高情報セキュリティ責任者(以下「CISO」という。) 本市における全ての情報資産及び情報セキュリティ対策に関する最終決定権限及び責任を有する者とし、副市長をもってこれに充てる。
(2) 統括情報セキュリティ責任者 CISOを補佐し、本市における全ての情報資産及び情報セキュリティ対策に関する統括的な権限と責任を有する者とし、復興政策部長をもってこれに充て、統括情報セキュリティ管理者、情報セキュリティ責任者、情報セキュリティ管理者、情報処理システム管理者及び情報処理システム担当者に対して情報セキュリティに関する指導及び助言を行うことができる。
(3) 統括情報セキュリティ管理者 本市における全ての情報資産及び情報セキュリティ対策に関する権限及び責任を有し、かつ、統括的に適切な管理運営を行う者とし、情報化を所管する所属長をもってこれに充て、情報セキュリティ管理者、情報処理システム管理者及び情報システム担当者に対して情報セキュリティに関する指導及び助言を行うことができる。
(4) 情報セキュリティ責任者 部局等内の全ての情報資産及び情報セキュリティ対策に関し、統括的な権限及び責任を有する者とし、当該部局等内の部長相当職にある職員(部長相当職にある職員のいない部局等にあっては、管理職にある職員)をもってこれに充て、当該部局等内の情報セキュリティ管理者、情報システム管理者及び情報システム担当者に対して情報セキュリティに関する指導及び助言を行うことができる。
(5) 情報セキュリティ管理者 情報セキュリティ責任者を補佐し、課等内の全ての情報資産及び情報セキュリティに関する権限及び責任を有し、かつ、適切な管理運営を行う者とし、課等の所属長をもってこれに充て、情報セキュリティに関する指導及び助言を行うことができるものとし、かつ、この訓令に定められている事項について課等内の職員に実施及び遵守させなければならない。
(6) 情報処理システム管理者 所管する情報システムにおける開発、設定の変更、運用、見直し等を行う権限並びに情報セキュリティに関する権限及び責任を有する者とし、各情報処理システムを所管する課等の所属長をもってこれに充てる。
(7) 情報処理システム担当者 各情報処理システムを所管する課等の職員で、当該情報処理システムの情報処理システム管理者が指名した者とし、情報処理システムの開発、設定の変更、運用、見直し等については、当該情報処理システムの情報処理システム管理者の指示に従い、実施する。
(8) 各課情報化推進担当者 所属長が自身の課等内から指名した職員とし、当該課等内に支給された機器の不良や情報処理システムに関する統一的な窓口となり、必要に応じて情報化を所管する所属職員へ連絡を行い、また、統括情報セキュリティ管理者が依頼する情報化推進に関する軽微な業務を実施する。
(9) 東松島市情報処理システム管理運営委員会 情報化社会に的確に対応した市政運営を図り、市の情報化を推進するため、東松島市情報処理システム管理運営委員会設置要綱(平成17年東松島市訓令甲第21号)第2条に掲げる事務を所掌する。
(10) CSIRT 情報セキュリティに関する統一的な窓口として機能し、統括情報セキュリティ管理者と、情報化を所管する所属職員のうち統括情報セキュリティ管理者が指名した者とし、情報セキュリティインシデントの報告を職員より受けた場合は、その状況を確認し、必要に応じてCISO、総務省、都道府県等へ報告を行うものとする。あわせて、情報セキュリティインシデントを認知した場合は、その重要度や影響範囲等を勘案し、報道機関への通知及び公表対応を行わなければならない。
2 情報資産の分類と管理
(1) 情報資産の分類の対象となる全ての情報は、次の重要性分類に従って分類する。
ア 重要性分類Ⅰ
(ア) 個人情報の保護に関する法律(平成15年法律第57号)第2条第1項に規定する個人情報
(イ) 法令の定めにより守秘義務を課されているもの
(ウ) 法人その他の団体に関する情報で漏えいすることにより当該団体の利益を害するおそれのあるもの
(エ) 漏えいした場合、行政に対する信頼を著しく害するおそれのある情報
(オ) 滅失し、又はき損した場合、その復元が著しく困難となり、行政の円滑な執行を妨げるおそれのある情報
(カ) ネットワーク及び情報処理システムに係るパスワード並びに設定情報
イ 重要性分類Ⅱ
脅威にさらされた場合に実害を受ける危険性は低いが、行政事務の執行において重要性は高いと評価される情報(公開されると行政の円滑な執行に著しい障害を生ずるおそれのある情報等)
ウ 重要性分類Ⅲ
上記ア及びイ以外の情報
(2) 情報資産の管理方法
ア 職員は、情報資産をその重要性分類に応じ、次の事項を遵守し、適正な管理を行わなければならない。
(ア) 情報の重要性分類に従い、パスワード等によるアクセス制限及び暗号等による通信内容の秘匿を行わなければならない。
(イ) 重要性分類Ⅰの情報を不用意に複製、送付、送信等を行ってはならない。
イ 情報資産の取扱いとして、職員は、次に掲げる事項を遵守しなければならない。
(ア) 業務上必要のない情報資産を作成してはならない。
(イ) 情報資産をその重要性分類に応じ、適正な取扱いをしなければならない。
(ウ) 情報資産を業務目的以外に利用してはならない。
(エ) 重要性分類Ⅰ・Ⅱの情報を記録した情報資産は、外部からの脅威にさらされないよう施錠ができるなど特に安全な場所に保管しなければならない。
(オ) 重要性分類Ⅰ・Ⅱの情報を記録した情報資産を外部に持ち出す場合は、職員又は守秘義務を明記した契約等を締結した外部業者に行わせるとともに、記録媒体の物理的な保護措置を講じなければならない。
(カ) 情報資産が不要となった場合は、当該情報資産に記録されている重要性分類Ⅰ・Ⅱの情報をいかなる方法によっても復元できないよう、適切に廃棄しなければならない。
(キ) 重要性分類Ⅰ・Ⅱの情報を記録した記録媒体は、情報セキュリティ管理者の指示の下、廃棄を行った日時、担当者及び処理内容を記録し、これを東松島市文書取扱規程(平成17年東松島市訓令甲第13号)第45条の保存期限に基づき管理しなければならない。
3 人的セキュリティ
(1) 職員は、次に掲げる事項を遵守しなければならない。
ア この訓令及び東松島市情報セキュリティ実施手順(運用マニュアル)に定めている事項に関すること。
イ 情報資産を執務室外に持ち出す場合は、当該情報資産を管理する情報セキュリティ管理者又は統括情報セキュリティ管理者の許可を得ること。
ウ 情報処理システムへの接続を必要最小限の接続時間で行うように努めること。
エ 支給以外の情報処理システムの機器、記録媒体等を原則業務に利用してはならない。ただし、業務上必要な場合は、統括情報セキュリティ管理者の許可を得て利用することができる。
オ 退職、異動等により業務を離れる場合には、知り得た情報を他に漏らしてはならない。
カ この訓令に関する研修を受講し、この訓令及び東松島市情報セキュリティ実施手順(運用マニュアル)を理解し、情報セキュリティ上の問題が生じないようにしなければならない。
(2) 統括情報セキュリティ管理者は、ネットワーク及び情報処理システムの運用に支障を来さない範囲において、緊急時対応を想定した訓練、研修等を職員に行わせなければならない。
(3) 情報セキュリティ責任者及び情報セキュリティ管理者は、情報セキュリティ対策を実施する上で必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を受けなければならない。
(4) 情報セキュリティ管理者は、職員を新たに採用、委託等するときは、この訓令における当該職員等が守るべき内容を理解させ、実施及び遵守させなければならない。
(5) 情報処理システム管理者は、ネットワーク及び情報システムの開発、保守等を外部委託業者に発注する際、再委託業者も含めて、この訓令のうち、外部委託業者が守るべき内容の遵守及びその機密事項を説明しなければならない。
(6) 情報処理システム管理者及び各課情報化推進担当者は、ネットワーク、情報処理システムを管理運営していく上で必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を受けなければならない。
(7) CISOは、職員に対しこの訓令についての啓発に努めるとともに、職員を対象にこの訓令に関する研修を定期的に実施しなければならない。
(8) 外部委託に関する管理として、情報処理システムの開発、保守、運用管理等を外部事業者に委託するときは、この訓令のうち外部委託事業者が守るべき内容の遵守及びその守秘義務を明記した契約を締結し、その遵守を管理しなければならない。
(9) 情報セキュリティ管理者は、クラウドサービスを利用する場合は、情報の重要性分類に応じたセキュリティレベルが確保されているサービスを利用しなければならない。
(10) 職員は、ID、パスワード等の管理として、次の事項を遵守しなければならない。
ア 自己が利用するIDを他人に利用させてはならない。
イ 自己の保有するパスワードについて、不用意に漏らしたりメモを作ったりしないようにするなど、パスワードの秘密保持に努めなければならない。
ウ 職員セキュリティの確保にICカードを利用している場合、ICカードを適切に管理しなければならない。
エ ICカードを紛失した場合には、速やかに統括情報セキュリティ管理者に通報し指示を仰がなければならない。この場合において、統括情報セキュリティ管理者は、当該通報があり次第、速やかに当該ICカードを使用したアクセス等を停止しなければならない。
(11) 情報セキュリティインシデントの報告、原因の究明、記録、再発防止等は、次のとおりとするものとする。
ア 職員は、情報セキュリティインシデントを認知した場合、速やかに情報セキュリティ管理者及びCSIRTに報告しなければならない。
イ 上記アの報告を受けた情報セキュリティ管理者は、当該情報セキュリティインシデントを速やかに情報セキュリティ責任者及び統括情報セキュリティ管理者に報告しなければならない。
ウ 情報セキュリティ責任者は、上記イにより報告を受けた情報セキュリティインシデントについて、必要に応じてCISO及び統括情報セキュリティ責任者に報告しなければならない。
エ CSIRTは、情報セキュリティインシデントを引き起こした部局等の情報セキュリティ責任者、課等の情報セキュリティ管理者等と連携し、報告された内容を確認した上で、当該報告が情報セキュリティインシデントに当たるか評価し、情報セキュリティインシデントと評価された場合は、CISOに報告しなければならない。
オ CSIRTは、報告された内容が情報セキュリティインシデントと評価された場合は、原因を究明し、記録を保存しなければならない。また、情報セキュリティインシデントの原因究明の結果から、再発防止策を検討し、CISO及び情報セキュリティインシデントを引き起こした部局等の情報セキュリティ責任者に報告しなければならない。
カ CISOは、CSIRTから情報セキュリティインシデントについて報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。
4 物理的セキュリティ
(1) 情報セキュリティ責任者は、重要性分類Ⅰ・Ⅱの情報が記録された情報資産の保管場所及びそれを取り扱う情報機器の設置場所への入退室の管理について、必要な措置を講じなければならない。特に、サーバ室は、施錠するなど関係者以外の者が許可なく入退室できないような措置を講じるとともに、入退室をする者の記録を取らなければならない。また、サーバ室内に記録媒体等の機器等を持ち込む際は、事前に統括情報セキュリティ管理者の許可を得なければならない。
(2) 当該職員は執務室に職員が不在となる場合には、その執務室を施錠するなど部外者の侵入を防ぐための必要な措置を講じなければならない。
(3) 情報システム管理者は、サーバ室等へ機器等を搬入又は搬出する場合は、あらかじめ当該機器等が既存情報処理システムに与える影響について、当該職員及び委託した業者に確認を行わせなければならない。あわせて、機器等の搬入又は搬出には、当該職員が立ち会う等の物理的セキュリティに必要な措置を講じなければならない。
(4) 停電、電圧異常等によりデータ、機器等が破壊され、業務処理に支障を来すおそれのある情報処理システム等の機器の電源は、当該機器を適切に停止するまでの間に必要な電力を供給する容量の予備電源を備え付ける等の措置を講じなければならない。
(5) 配線は、傍受、損傷等を受けることがないよう可能な限り必要な措置を施さなければならない。また、主要な箇所の配線は、損傷等についての定期的な点検を行わなければならず、外部との接続は必要最低限にしなければならない。
5 技術的セキュリティ
(1) 情報処理システム管理者におけるネットワーク及び情報処理システム、仕様書等の管理、取得等は、次のとおりとする。
ア 所管するネットワーク及び情報処理システムにおいて行ったシステムの変更作業を記録し、適切に管理しなければならない。
イ 所管するネットワーク及び情報処理システムに関するドキュメントを最新の状態にし、仕様変更等の処理を行った場合は、その記録を作成しなければならない。また、当該情報処理システム管理者は、所管する情報処理システムのドキュメントを業務上必要とする者のみが閲覧できる場所に保管しなければならない。
ウ 所管する情報処理システムのアクセス記録及びセキュリティ関連障害に関する記録を取得し、一定の期間保存しなければならない。
エ 所管する情報処理システムのアクセス記録が、窃取、改ざん又は消去されないように必要な措置を講じなければならない。
オ 所管する情報処理システムのアクセス記録を必要に応じて分析しなければならない。
カ 所管する情報処理システムの障害記録を作成し、一定の期間保存しなければならない。
キ 情報資産の重要度に応じて定期的にバックアップを取り、施錠等のできる安全な場所へ保管しなければならない。
(2) 職員におけるソフトウェアの受渡し、メールの送受信等は次のとおりとする。
ア ソフトウェア等を受け渡す場合は、当該ソフトウェアを所有する情報セキュリティ管理者の許可を得るとともに、著作権、著作隣接権及び当該ソフトウェアのライセンスに配慮しなければならない。
イ 新たにソフトウェアを導入する場合は、統括情報セキュリティ管理者の許可を得なければならない。
ウ 正規のライセンスのないソフトウェアを導入してはならない。
エ 業務上不必要なソフトウェア、出所不明なソフトウェア等安全性が確認されないソフトウェアをダウンロード及びインストールしてはならない。
オ 導入されているソフトウェアを適切に運用管理しなければならない。
カ 業務上不必要な者へ職場のメールを送信及び転送してはならない。
キ チェーンメールや不審なメールを他者に転送してはならない。
ク 重要性分類Ⅰの情報に該当する添付ファイルのあるメールを送信する必要がある場合には、事前に送信しようとしている情報を所管する情報セキュリティ管理者の承認を受けなければならない。
ケ 差出人が不明又は不自然なファイルが添付されたメールを受信した場合は、直ちに廃棄しなければならない。
(3) 外部に送信するデータが完全であることを担保することが必要な場合には、定められた電子署名方法及び暗号化方法を使用して送信しなければならず、暗号化については、定められた方法以外の方法を用いてはならない。また、暗号のための鍵は、重要性分類Ⅰの情報として厳重に管理しなければならない。
(4) 職員以外の者が利用できる情報処理システムについては、内部のネットワーク及び情報処理システムと物理的に分離する等の情報セキュリティ対策について特に強固な対策を取らなければならない。
(5) 職員は、情報処理システムに入力されるデータの適切なチェック等を行い、それが正確であることを確実にするための対策を施し、情報処理システムから出力されるデータの処理が正しく行われていることを確認しなければならない
(6) 職員は、業務目的以外での情報処理システムへのアクセス及びメールをしてはならない。
(7) 情報処理システムアクセス制御については、次のとおりとする。
ア 情報処理システム管理者は、次に掲げる措置を講じなければならない。
(ア) 情報処理システムの利用者の登録、変更、抹消等については、各情報処理システムに定められた方法に従って適切に行わなければならない。
(イ) システムの利用及びアクセスの許可は、必要最低限の者にのみ行わせなければならない。
(ウ) 不必要なネットワークサービスにアクセスできないよう必要な措置を講じなければならない。
(エ) 「総合行政ネットワーク接続仕様書」に基づき適切な管理をしなければならない。
(オ) 外部ネットワークとの接続を行うことで内部ネットワークの安全性が脅かされることのないようにセキュリティ対策に努めなければならず、接続した外部ネットワークの情報セキュリティに問題が認められたときは、速やかに当該外部ネットワークを物理的に遮断しなければならない。また、内部ネットワークの情報セキュリティに問題が認められたときは、統括情報セキュリティ管理者は速やかに当該内部ネットワークを遮断しなければならない。
(カ) 情報処理システムで使用する管理者用のID及びパスワードを厳重に管理しなければならない。
イ 外部ネットワークとの接続に際しては、当該外部ネットワークのネットワーク構成、機器構成及び情報セキュリティレベル等を詳細に検討し、本市の情報資産に影響が生じないことを明確に確認した上で、接続しなければならない。
ウ 外部からのアクセスの許可は、必要最低限にしなければならない。
(8) 情報処理システム管理者における情報処理システムの開発、導入、保守、廃棄等は次のとおりとする。
ア ネットワーク及び情報処理システムを新規に開発・導入する場合及び大規模な変更等を行う場合は、事前に東松島市情報処理システム管理運営委員会(以下「委員会」という。)で審議した上で実施しなければならない。この場合において、情報処理システム管理者は、ネットワーク構成図を含む必要なドキュメントを整備し、開発した情報処理システムを導入する場合は、既に稼動している情報処理システムに接続する前にその影響度を調査し、安全に行わなければならない。
イ ネットワーク及び情報処理システムを廃棄等するときは、可能な範囲でバックアップを取り、機器内の全ての情報を復旧不可能な状態に消去し、その詳細については、記録及び保存しなければならない。
ウ 情報処理システムに対し、適切な保守が行われるようにし、その不具合については、速やかに修正等の対応を行わなければならない。また、情報処理システムの更新等については、事前に統括セキュリティ管理者と協議し、計画的に実施しなければならない。
(9) 機器を外部の業者に修理させる場合又は廃棄等するときは、可能な範囲でバックアップを取り、機器内の全ての情報を復旧不可能な状態に消去しなければならない。この場合における機器を外部の業者に修理させ、情報を消去することが難しいときは、修理を委託する業者と守秘義務を明記した契約を締結しなければならない。
(10) 情報処理システム担当者は、情報処理システムの機器について業務を遂行するため機器の増設や交換を行う必要がある場合には、統括情報セキュリティ管理者の許可を得て行わなければならず、他のネットワークへ接続を行う場合及び他のネットワークからアクセスを可能とする仕組みを構築する場合には、統括情報セキュリティ管理者の許可を得なければならない。この場合において、統括情報セキュリティ管理者は、許可に当たってネットワーク及び情報処理システムにセキュリティ上の問題を生じさせてはならない。
(11) コンピュータウイルス等の対策は、次のように講ずる。
ア 情報処理システム管理者は、次の事項を実施しなければならない。
(ア) 所管する情報処理システムの必要な機器にウイルス対策ソフトウェアを導入すること。
(イ) 所管する情報処理システムのウイルスチェック用のパターンファイルは既存の情報処理システムへの影響を考慮し、最新の状態に保つこと。
イ 統括情報セキュリティ管理者は、次の事項を実施しなければならない。
(ア) 定期的に新種のウイルス、情報処理システム内部の感染状況等について情報収集をすること。
(イ) コンピュータウイルス等の情報について、職員に対する注意喚起を行うこと。
(ウ) コンピュータウイルス等について、職員に対して必要な啓発活動を行うこと。
ウ 職員は、次の事項を遵守しなければならない。
(ア) 情報資産又はソフトウェアを外部から取り入れる場合又は外部に持ち出す場合には、必ずウイルス等が含まれていないか確認を行うこと。
(イ) 添付ファイルのあるメールを送受信する場合は、ウイルス等が含まれていないか確認を行うこと。
(ウ) 統括情報セキュリティ管理者が提供するコンピュータウイルス情報を常に確認すること。
(12) 統括情報セキュリティ管理者は、不正アクセス対策に対して、次の措置を講じなければならない。
ア セキュリティホール等の情報収集に努め、メーカー等から修正プログラムの提供があり次第、既存の情報処理システムへの影響を考慮しつつ、速やかに対応しなければならない。
イ ネットワーク及び情報処理システムに不正な侵入や利用があった場合に探知等できるよう、適切な対策に努めなければならない。
ウ ネットワーク及び情報処理システムに不正な侵入や利用の危険性が高まった場合に、迅速に対応できるよう、適切な対策に努めなければならない。
エ 情報処理システムに攻撃を受けていることが明らかな場合には、システムの停止を含め必要な措置を講じなければならない。
オ 職員により本市ネットワーク、外部ネットワーク及び情報処理システムに対して不正なアクセスがあった場合は、その職員が所属する課等の情報セキュリティ管理者に通知し、適切な処置を求めなければならない。
カ 外部ネットワークより不正アクセスがあった場合は、情報セキュリティ管理者及びCSIRTに報告し、適切な措置を講じなければならない。
キ 情報セキュリティに関する情報を収集し、セキュリティ対策上必要な措置を講じなければならない。
6 運用
(1) 統括情報セキュリティ管理者は、ネットワーク及び情報処理システムの運用に当たっては、常にネットワーク及び情報処理システムを監視するとともに情報セキュリティ障害に対して注意を払わなければならない。
(2) 情報セキュリティ責任者は、定期的に所属する部局等内におけるこの訓令の遵守状況及び運用上、支障が生じていないかについて確認を行わなければならない。
(3) セキュリティ障害が発生したときは、次のとおり実施するものとする。
ア 職員は、情報セキュリティ障害を認知した場合、速やかに情報セキュリティ管理者及びCSIRTに報告しなければならない。
イ 上記アの報告を受けた情報セキュリティ管理者は、当該情報セキュリティ障害を速やかに情報セキュリティ責任者及び統括情報セキュリティ管理者に報告しなければならない。
ウ 情報セキュリティ責任者は、上記イにより報告を受けた情報セキュリティ障害について、必要に応じてCISO及び統括情報セキュリティ責任者に報告しなければならない。
エ CSIRTは、セキュリティ障害が発生した部局等の情報セキュリティ責任者、課等の情報セキュリティ管理者等と連携し、報告された内容の確認及び当該報告がセキュリティ障害か評価し、セキュリティ障害と評価された場合は、CISOに報告しなければならない。
オ CSIRTは、報告された内容がセキュリティ障害と評価された場合は、原因を究明し、記録を保存しなければならない。また、セキュリティ障害の原因究明の結果から、再発防止策を検討し、CISO及びセキュリティ障害が発生した部局等の情報セキュリティ責任者に報告しなければならない。
カ CISOは、CSIRTから、セキュリティ障害について報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。
キ 調査した内容は速やかにCISOへ報告しなければならない。ただし、障害の程度が軽微なものについては報告を要しないものとする。
ク 統括情報セキュリティ管理者は、速やかにセキュリティ障害を復旧し、その措置についてCISOに報告しなければならない。この場合において、障害が外部に重大な影響を及ぼすおそれがある場合には、速やかにCISOに報告の上、必要な指示を仰がなければならない。
ケ 統括情報セキュリティ管理者は、必要な再発防止の措置を講じるとともに、その結果をCISOに報告しなければならない。この場合において、セキュリティ責任者はセキュリティ障害の原因が、人的セキュリティによる場合は、職員に対して再発を防止するため必要な措置を講じなければならない。
7 法令遵守
職員は、使用する情報資産について、次の法令を遵守しなければならない。
(1) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(2) 著作権法(昭和45年法律第48号)
(3) 個人情報の保護に関する法律
(4) 行政手続における特定の個人を識別するための番号の利用等に関する法律
8 監査、点検等
(1) 統括情報セキュリティ管理者は、ネットワーク及び情報処理システムの情報セキュリティについて必要に応じて監査を行わなければならない。この場合において、情報資産を取扱う業務を、外部業者に委託している場合、統括情報セキュリティ管理者は、この訓令の遵守について必要に応じて監査を行わなければならない。また、CISOは監査結果を取りまとめ、委員会に報告するものとする。
(2) 情報セキュリティ責任者は、当該部署の情報セキュリティが確保されていることを確認するため、自主点検を行い、必要に応じ改善措置を講じなければならない。
(3) CISOは、評価及び見直しが必要となる事象が発生した場合には、委員会に諮り必要な見直しを行い、法令、関係規定等の維持及び運用に努めなければならない。
附則
(施行期日)
第1条 この訓令は、公示の日から施行する。ただし、第1章第4第6号の規定は、令和2年4月1日から施行する。
(東松島市パーソナルコンピュータ等管理運用基準の廃止)
第2条 東松島市パーソナルコンピュータ等管理運用基準(平成17年東松島市訓令甲第23号)を廃止する。
(東松島市メールサービス管理運営規程の一部改正)
第3条 東松島市メールサービス管理運営規程(平成24年東松島市訓令甲第18号)の一部を次のように改正する。
〔次のよう〕略
(東松島市個人情報の取扱いに関する管理規程の一部改正)
第4条 東松島市個人情報の取扱いに関する管理規程(平成27年東松島市訓令甲第100号)の一部を次のように改正する。
〔次のよう〕略
附則(令和5年3月15日訓令甲第16号)
この訓令は、令和5年4月1日から施行する。
附則(令和5年3月31日訓令甲第33号)抄
(施行期日)
第1条 この訓令は、令和5年4月1日から施行する。
(定義)
第2条 この附則において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
(1) 令和3年改正法 地方公務員法の一部を改正する法律(令和3年法律第63号)をいう。
(2) 暫定再任用職員 暫定再任用職員のうち令和3年改正法附則第4条第1項若しくは第2項(これらの規定を令和3年改正法附則第9条第3項の規定により読み替えて適用する場合を含む。)、第5条第1項若しくは第3項、第6条第1項若しくは第2項(これらの規定を令和3年改正法附則第9条第3項の規定により読み替えて適用する場合を含む。)又は第7条第1項若しくは第3項の規定により採用された職員をいう。
(3) 暫定再任用短時間勤務職員 令和3年改正法附則第6条第1項若しくは第2項(これらの規定を令和3年改正法附則第9条第3項の規定により読み替えて適用する場合を含む。)又は第7条第1項若しくは第3項の規定により採用された職員をいう。
(4) 定年前再任用短時間勤務職員 地方公務員法(昭和25年法律第261号)第22条の4第3項に規定する定年前再任用短時間勤務職員をいう。
(東松島市情報セキュリティポリシーの一部改正に伴う経過措置)
第4条 暫定再任用職員は、定年前再任用短時間勤務職員とみなして、第2条の規定による改正後の東松島市情報セキュリティポリシーの規定を適用する。