本文
高槻市情報セキュリティ基本方針
高槻市情報セキュリティ基本方針について
序章:情報セキュリティポリシーの構成
情報セキュリティポリシーとは、高槻市が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものを総称する。情報セキュリティポリシーは、高槻市が所掌する情報資産に関する業務に携わる全職員、会計年度任用職員等(以下、「職員等」という。)に浸透、普及、定着させるものであり、安定的な規範であることが要請される。しかしながら一方では、技術の進歩等に伴う情報セキュリティを取り巻く急速な状況の変化へ柔軟に対応することも必要である。
このようなことから、情報セキュリティポリシーを一定の普遍性を備えた部分(基本方針)と情報資産を取り巻く状況の変化に依存する部分(対策基準)に分けて策定することとした。
具体的には、情報セキュリティポリシーを、1.情報セキュリティ基本方針及び2.情報セキュリティ対策基準の2階層に分け、それぞれを策定することとする。また、情報セキュリティポリシーに基づき、情報システム毎の具体的な情報セキュリティ対策の実施手順として情報セキュリティ実施手順を策定することとする(下表参照)。
| 文書名 | 内容 |
|---|---|
| 高槻市情報セキュリティ基本方針(高槻市情報セキュリティポリシー) | 情報セキュリティ対策に関する統一的かつ基本的な方針。 |
| 高槻市行政全般における情報セキュリティ対策基準(高槻市情報セキュリティポリシー) | 情報セキュリティ基本方針を実行に移すための全ての情報システムに共通の情報セキュリティ対策の基準。 |
| 情報セキュリティ実施手順 | 情報システム毎に定める情報セキュリティ対策基準に基づいた具体的な実施手順。 |
第一章:高槻市情報セキュリティ基本方針
1.目的
高槻市の各情報システムが取り扱う情報には、市民の個人情報のみならず行政運営上重要な情報など、部外に漏洩等した場合には極めて重大な結果を招く情報が多数含まれている。
したがって、これらの情報及び情報を取り扱う情報システムを様々な脅威から防御することは、市民の財産、プライバシー等を守るためにも、また、事務の安定的な運営のためにも必要不可欠である。ひいては、このことが高槻市に対する市民からの信頼の維持向上に寄与するものである。
また、近年のいわゆるIT革命の進展により、電子商取引の発展や電子自治体の実現が期待されているところである。高槻市がこれらに積極的に対応するためには、全てのネットワーク及び情報システムが高度な安全性を有することが不可欠な前提条件である。
この基本方針は、高槻市の情報資産の機密性、完全性及び可用性を維持するため、高槻市の情報セキュリティ対策の基本的な方針として、情報セキュリティポリシーの対象、位置付け等を定めるものとする。
注記
国際標準化機構(ISO)が定めるもの(ISO7498-2:1989)
機密性(confidentiality):情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。
完全性(integrity):情報及び処理の方法の正確さ及び完全である状態を安全防護すること。
可用性(availability) :許可された利用者が必要なときにアクセスできることを確実にすること。
2 .定義
(1) ネットワーク
高槻市における内部部局、各行政委員会、消防、各地方公営企業及び各教育機関(事務室及び職員室のみ)を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。
(2) 情報システム
高槻市が所掌する業務において利用する、電子計算機(ハードウェア及びソフトウェア)、記録媒体及び通信機器等で構成され、一体となって処理を行う仕組みをいう。
(3) 情報資産
ネットワーク及び情報システムの開発と運用に係るデータをはじめとしたネットワーク及び情報システムで取り扱う全ての情報をいう。
(4) 情報セキュリティ
情報資産の機密の保持及び正確性、完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。
3 .情報セキュリティポリシーの位置付け
情報セキュリティポリシーは、高槻市が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。
4.職員等の義務
高槻市が所掌する情報資産に関する業務に携わる全ての職員及び部外受託者等は、情報セキュリティの重要性について共通の認識をもつとともに業務の遂行に当たって関係法令等及び情報セキュリティポリシーを遵守する義務を負うものとする。
なお、情報セキュリティポリシーに違反したものについては、事案に応じた懲戒処分などの対象とする。
5.情報セキュリティ管理体制
高槻市の情報資産について、所属長以上が率先して情報セキュリティ対策を推進・管理するための体制を確立するものとする。
6.情報資産の分類
情報資産をその内容に応じて分類し、その重要性に応じた情報セキュリティ対策を行うものとする。
7.情報資産への脅威
情報セキュリティポリシーを策定するうえで、情報資産に対する脅威の発生度合や発生した場合の影響を考慮すると、特に認識すべき脅威は以下のとおりである。
- 部外者による故意の不正アクセスまたは不正操作によるデータやプログラムの持出・盗聴・改ざん・消去、機器及び媒体の盗難等
- 職員及び部外委託者等による意図しない操作、故意の不正アクセスまたは不正操作によるデータやプログラムの持出・盗聴・改ざん・消去、機器及び媒体の盗難及び規定外の端末接続によるデータ漏洩等
- 地震、落雷、火災等の災害並びに事故、故障によるサービス及び業務の停止
8.情報セキュリティ対策
上記7で示した脅威から情報資産を保護するために、以下の情報セキュリティ対策を講ずるものとする。
(1) 物理的セキュリティ対策
情報システムを設置する施設への不正な立入り、情報資産への損傷・妨害等から保護するために物理的な対策を講ずる。
(2) 人的セキュリティ対策
情報セキュリティに関する権限や責任を定め、全ての職員等に情報セキュリティポリシーの内容を周知徹底する等、十分な教育及び啓発が講じられるように必要な対策を講ずる。
(3) 技術及び運用におけるセキュリティ対策
情報資産を外部からの不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策、システム開発等の外部委託、ネットワークの監視、情報セキュリティポリシーの遵守状況の確認等、それぞれの運用面の対策を講ずる。また、緊急事態が発生した際に迅速な対応を可能とするための危機管理対策を講ずる。
9.情報セキュリティ対策基準の策定
高槻市の様々な情報資産について、上記8の情報セキュリティ対策を講ずるに当たっては、遵守すべき行為及び判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。
10.情報セキュリティ実施手順の策定
情報セキュリティ対策基準を遵守して情報セキュリティ対策を実施するために、個々の情報資産の対策手順等をそれぞれ定めていく必要がある。そのため、情報資産に対する脅威及び情報資産の重要度に対応する情報セキュリティ対策基準の基本的な要件に基づき、内部部局の長等が所掌する情報資産の情報セキュリティ実施手順を策定するものとする。
なお、『高槻市行政全般における情報セキュリティ対策基準』及び『情報セキュリティ実施手順』は、公にすることにより高槻市の行政運営に重大な支障を及ぼす恐れのある情報であることから原則として公開しないものとする。
11.情報セキュリティ監査の実施
情報セキュリティポリシーが遵守されていることを検証するため、定期的に監査する体制を整え、実施する。
12.評価及び見直しの実施
情報セキュリティ監査の結果等により、情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するために、情報セキュリティポリシーの見直しを実施する。
