情報セキュリティポリシー

情報セキュリティ基本方針

1 目的
内灘町の各情報システムが取り扱う情報には、町民の個人情報のみならず行政運営上重要な情報など、外部への漏洩等が発生した場合には極めて重大な結果を招く情報が多数含まれている。
情報資産及び情報資産を取り扱うネットワーク及び情報システムを様々な脅威から防御することは、町民の財産、プライバシーを守り、事務の安定的な運営を図り、内灘町に対する町民からの信頼の維持向上に寄与するものである。
内灘町が保有する全てのネットワーク及び情報システムが高度な安全性を有することを図り、内灘町の情報セキュリティ対策の方針を示した、情報セキュリティポリシー(情報セキュリティ基本方針、情報セキュリティ対策基準)を定める。
情報セキュリティ基本方針については内灘町の情報セキュリティ対策の基本的な方針とし、情報セキュリティポリシーの対象、位置付け等を定めるものとする。

2 定義
  1. 部局等
    内灘町部制条例(平成17年内灘町条例第11号。以下「部制条例」という)及び内灘町組織規則(平成17年内灘町規則第6号。以下「町組織規則」という)、内灘町議会事務局設置条例(昭和37年条例第12号。以下「議会事務局設置条例」という)に定める事務局、会計管理者の補助組織及び分掌事務規則(昭和57年規則第8号)で定める会計課、内灘町教育委員会事務局組織規則(昭和54年教委規則第5号。以下「教育委員会事務局組織規則」という)に定める組織及びその組織に属する各機関、内灘町消防本部設置条例(昭和49年条例第1号)に定める組織、選挙管理委員会、公平委員会、監査委員、農業委員会、固定資産評価審査委員会をいう。
  2. ネットワーク
    部局等を相互に接続するための通信網、通信機器(ハードウェア及びソフトウェア)、及び記録媒体で構成された情報伝達を行う仕組みをいう。
  3. 情報システム
  4. 情報資産
    ネットワーク及び情報システムの開発と運用に関わる全ての電子情報をいう。
  5. 情報セキュリティ
    情報資産の機密性、完全性、可用性(注)を維持することをいう。
  6. 情報セキュリティ対策
    情報セキュリティの阻害要因から情報資産を守る為の手段をいう。

(注):国際標準化機構(ISO)が定めるもの(ISO7498-2:1989)
機密性(confidentiality)
情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。
完全性(integrity)
情報及び処理の方法の正確さ及び完全である状態を安全防護すること。
可用性(availability)
許可された利用者が必要なときに情報にアクセスできることを確実にすること。

3 情報セキュリティポリシーの位置付けと職員等及び外部委託事業者の義務
情報セキュリティポリシーは、内灘町が所掌する情報資産に関する情報セキュリティ対策について、総合的かつ体系的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。
したがって、内灘町長をはじめとして内灘町が所掌する情報資産に関する業務に携わる職員等及び外部委託事業者は、情報セキュリティの重要性について共通の認識をもつとともに業務の遂行に当たって情報セキュリティポリシーを遵守する義務を負うものとする。

4 情報セキュリティ管理体制
情報セキュリティ対策を推進・管理するための体制については、幹部が率先して確立するものとする。

5 情報資産の分類
情報資産はその重要度に応じて分類し、その分類に応じた情報セキュリティ対策を行うものとする。

6 情報資産への脅威
情報セキュリティポリシーを策定するうえで、情報資産を脅かす脅威の発生度合や発生した場合の影響を考慮すると、特に認識すべき脅威は以下のとおりである。

  1. 外部要因
    ・部外者の侵入による→機器又は情報資産の破壊・盗難
    ・不正アクセス又は不正操作による→情報資産の破壊・盗聴・改ざん・消去
  2. 内部要因
    ・職員等又は外部委託事業者の不正による→機器又は情報資産の持出し
    ・認証情報又はパスワードの不適切管理による→情報資産の破壊・盗聴・改ざん・消去
    ・不正アクセス又は不正行為による→情報資産の破壊・盗聴・改ざん・消去
    ・搬送中の事故又は不適切管理による→機器又は情報資産の盗難
    ・規定外の端末接続による→データ漏洩
  3. その他
    ・コンピュータウィルスによる→サービス及び業務の停止
    ・地震、落雷、火災等の災害による→サービス及び業務の停止
    ・事故、故障による→サービス及び業務の停止

7 情報セキュリティ対策
上記6で示した脅威から情報資産を保護するために、物理的、人的、技術的セキュリティ対策を講ずるものとする。

8 情報セキュリティ対策基準の策定
内灘町の様々な情報資産について、上記7の情報セキュリティ対策を講ずるに当たっては、遵守すべき行為及び判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。

9 情報セキュリティ実施手順の策定
情報セキュリティ対策基準を遵守して情報セキュリティ対策を実施するためには、その手順を具体的に定めていく必要がある。そのため、個々のネットワーク、情報システムまたは情報資産の特色に応じたセキュリティ対策を明記した、情報セキュリティ実施手順を策定するものとする。
なお情報セキュリティ実施手順は、公にすることにより内灘町の行政運営に重大な支障を及ぼす恐れがあることから非公開とする。

10 情報セキュリティ監査の実施
情報セキュリティポリシーが遵守されていることを検証するため、定期的に監査を実施する。

11 評価及び見直しの実施
情報セキュリティ監査の結果等により、情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するために、情報セキュリティポリシーの見直しを実施する。

平成16年9月1日策定
内  灘  町