第2回情報セキュリティ委員会の会議資料[PDF：655KB]

平成 26年度第 2回龍ケ崎市情報セキュリティ委員会
平成 26年 11月 26日 (7k)
情報化推進委員会終了後
於 )庁議室
審議事項
(1)情報セキュリティ内部監査の結果について
平成
1
26年度情報セキュリティ内部監査実施報告書
監査概要
(1)監査目的
情報セキュリティ内部監査は ,情報セキュリティを維持・管理する仕組みが組織に
おいて適切に整備・運用されているかを点検し,評価するものです。
今回の監査は ,人的セキュリティ及び物理的セキュリティに関して ,セキュリ
ティ規則等に基づき,適切に実施されているかを点検・評価し,課題については
システム運用状況などを考慮しながら,個別に原因を究明した後に改善内容等を
被監査部門に提示及び当該措置の実施により,情報資産 ,情報システム等の適切
な運用を図ることを目的としております。
(2)監査対象課等及び対象システム
監査対象課等
企画課
危機管理室人事行政課
情報政策課
資産管理課保険年金課
市民窓口課都市計画課
教育総務課
中央図書館
対象システム
イントラネットシステム ,財務会計システム及び各課等が所有している各シス
テム
(3)監査実施時期
平成 26年 10月 16日から平成 26年 10月 21日まで
(4)監査実施体制
情報セキュリティ内部監査実施部門の責任者 :
監査担当者 :
情報政策課情報化推進グループ
情報政策課長
(5)監査基準等
・龍ケ崎市情報セキュリティ規則
・龍ケ崎市コンピュータ等運用管理規程
・龍ケ崎市情報セキュリティ対策基準
・龍ケ崎市個人情報保護条例
・龍ケ崎市電子文書取扱規程
・地方公共団体における情報セキュリティに関する監査ガイドライン
2
監査結果
(総評 )
当市の情報セキュリティに関しては,情報セキュリティ規則等を定め,情報政策課
による定期的な研修の実施のほか,イントラネットシステムにおいては監視ソフトに
よるセキュリティ対策などに取り組んでいるところであります。さらに,今年度から
情報政策課による情報セキュリティ内部監査の具体な実施及び情報セキュリティアド
バイザーによるアドバイスによる PDCAの仕組みを構築したところであります。
今回の監査においては,直近でリスクが顕在化する可能性が高いものはないところ
でありますが,早期・中期的に改善することが望ましい改善事項が確認されました。
改善事項については,規則等に則り,課等内全職員で取り組む必要があります。
また,今回の監査項目の中には,情報政策課が具体な方策を検討し,全庁的に周
知し,徹底させる必要のある事項を認識したところであります。
3
課等別監査結果
セキュリテ
監査項目
1
情報資産等の業務以外
の目的での使用禁止
適正に実施している課等
改善が必要な課等
危機管理室人事行政課
企画課情報政策課
資産管理課保険年金謀
市民窓口課都市計画課
教育総務課中央図書館
なし
危機管理室人事行政課
企画課情報政策課
資産管理課保険年金課
(職員等による私物のパソ市民窓口課都市計画課
コン及び記録媒体の庁舎教育総務課中央図書館
なし
(職員等による業務以外の
目的での情報資産の持ち
出し,又は情報システム
ヘのアクセス禁止 )
私物パソコン等の持込
制限
改善内容等
内への持込は行われてい
ない。)
3
パソコンの取扱い
(離席時には,パソコンの
人事行政課
保険年金課
中央図書館
企画課
教育総務課
危機管理室
資産管理課
都市計画課
情報政策課
市民窓口課
適切な措置 (離席時の
ログオフ)がされていない
ことから,今後 ,課等の
ミーティングの場での周
知や職員相互で注意し
合うなどにより,適正な取
扱いを行うよう求める。
資産管理課危機管理室
人事行政課
電子文書等の貼り付け
第二者使用を防止するた
めの適切な措置が講じら
して0ヽる。)
オ
3
,,s, r>aW&1|
情報政策課
教育総務課
中央図書館
(ディスクトップに文書等
企画課保険年金課
市民窓口課都市計画課
が散見されることから,監
査当日においてもショー
トカットを含め速やかに削
除を依頼しているが,改
めて,課全体として点検
することを求める。
中央図書館
システムにおいては
議員ごとにパスワードを
付与し,担当者ごとにロ
グインログアクトを行うこ
とが ,情報資産を管理す
るためには,必要なこと
である。
図書館システムにおい
ては,利用者に窓口で待
たせるなどの理由から
パスワードの付与を,職
員嘱託員の区分のみで
行っているが ,情報セ
キュリティの観点から,担
当職員ごとにパスワード
を付与することを求める。
この場合 ,委託業者に確
認のうえ,指紋認証など
の導入の可能性も併せ
て検討願いたい。
を保存していない。 )
4 1D・
パスワードの取
扱い
(職員等のパスワードは当
該本人以外に知られない
ように取り扱われている。
また,定期的にパスフー
危機管理室人事行政課
企画課情報政策課
資産管理課保険年金課
市民窓口課都市計画課
教育総務課
ドを変更している.)
,
,
5
イントラネットにおけ
るメール送信
危機管理室人事行政課
企画課情報政策課
資産管理課保険年金課
市民窓口課都市計画課
(「 t oJ,「 cc」
「bcc」を正しく使い教育総務課中央図書館
分けている。 )
,
6
公務用 USBメモリの
取扱い
(公務用
USBメモリの中
にデータを保存していな
0｀
6
。
危機管理室人事行政課
企画課情報政策課
資産管理課保険年金課
市民窓口課都市計画課
教育総務課中央図書館
)
公務用 USBメモリの
取扱い
USBメ
モリは使
用するとき以外は適正に
保管されている。 )
(公務用
危機管理室人事行政課
企画課情報政策課
資産管理課市民窓口課
都市計画課教育総務課
中央図書館
保険年金課
現状は,個人で鍵のか
かる場所に保管している
ところである。これは,課
として保管すべきもので
あるので今後は,全庁的
なルールとするファイリン
グキャビネットにおいての
フォルダー化による保管
を求める。なお,貸与数
が7本であるため ,その
数が適正なのかの検討も
求める。
7
セキュソティ研修への
危機管理室人事行政課
企画課情報政策課
参加
資産管理課保険年金課
都市計画課
教育総務課
(職員等が積極的にセキュ
中央図書館
い
窓口業務の繁忙時期
又は日程及び時間の設
定にもよるが,市民情報
の管理を行う所管課であ
ることから,正職員のほか
嘱託員臨時議員も含め
今後,積極的に参カロ
する
ことを求める。
市民窓口課
リティ研修に参加して
る。 )
セキュリテ
○
監査項目
1
機器の取付け
2
通信ケープル等の保護
適正に実施している課等
人事行政課企画課
情報政策課資産管理裸
(サーバ ,HUB等を取付保険年金課市民窓口課
ける際,埃 ,振動等の影都市計画課教育総務課
響を可能な限り排除した中央図書館
場所に設置し,容易に取
外せないように固定する
などの対策が講しられて
いるか。 )
改善対象課等
改善内容等
HUB等の設置に関し
ては,HUBが固定され
ていない状況であつた。
情報政策課から全庁的
に具体な設置方法を示し
て,ヽなかったところである
が,今後は ,差し口を下
向に机などにおいて固定
するように求める。
危機管理室
危機管理室人事行政課
企画課情報政策課
(通信ケープルや電源ケー資産管理課保険年金課
プルの損傷を防止するた市民窓口課都市計画課
めの対策が講しられてい教育総務課中央図書館
るか。 )
サーパの機器の定期保
守
(サーバの機器の定期保守
が実施されているか。 )
危機管理室
市民窓口課
情報政策課
中央図書館
人事行政課
教育総務課
(対象外の課等 )
企画課資産管理課
保険年金課都市計画課
人事行政課
人事給与システムの
サーバに関しては障害
等を防ぐため,業者と協
議のうえ,定期保守を行
うことを求める。
・教育総務課
校務用サーバに関して
は障害等を防ぐため,業
者と協議のうえ,定期保
守を行うことを求める。
4
サーバ障害対策の手順
(サーバに障害が発生した
危機管理室情報政策課
教育総務課中央図書館
場合の対策手順が定めら (対象外の課等)
企画課資産管理課
れ ,文書化されてい
人事行政課
市民窓口課
人事行政課
文書化はされているも
のの ,業務担当者名や
業務時間外の問い合わ
せ先の記載がないことか
る。 )
保険年金課
都市計画課
ら,適正に記載することを
求める。
市民窓口課
戸籍システムに係る障
害時緊急連絡体制図が
作成されていないため
その作成を求める。
,
5
机上のパソコンの取扱危機管理室人事行政課
￨｀
企画課情報政策課
(退庁時におけるノートパ資産管理課保険年金課
ソコンは施錠できる保管市民窓口課都市計画課
庫で管理を行つてい
教育総務課中央図書館
る。 )
平成 26年度情報セキュリティ内部監査実施に係る助言及び意見
(平成 26年 )11月 18日
情報セキュリティアドバイザー (龍ケ崎市 C10補佐官
2014年
)
小林
啓男
【
助言及び意見】
龍ケ崎市が取り扱う情報には、市民の個人情報のみならず行政運営上重要な情報など、
部外への漏洩等が発生した場合に極めて重大な結果を招く情報が数多く含まれている。
従つて、行政情報資産
(行政運営に係る全ての行政情報のことで、情報システム内で取
り扱う情報等も含む)及びこれらを取り扱う際の様々な脅威から防御し続けることは、
継続的かつ安全安定的な行政サービスを実現するためにも必要不可欠であり、「社会保
障・税番号制度 Jへの対応が迫る中、情報セキュリティの重要性が増している。
情報セキュリティにおいては、全ての対策がバランスよくしっかり守られていること
が重要であり、情報セキュリティのレベルを維持しながらPDCAの仕組みを継続する
ためには、情報政策課や機器の管理だけでなく、全ての職員の協力が不可欠といえる。
これらを踏まえ、当市では CIOを中心とした ICTガバナンスの確立に取り組みなが
ら全職員を対象とした情報セキュリティ研修を毎年開催する等、情報セキュリティに
係る様々な取り組みを実施してきた。
本年度は、情報セキュリティレベルを維持するための PDCA活動で不可欠と位置付
けた内部監査が開始されたところであり、「人的セキュリティJと「物理的セキュリティJ
の観点からそれぞれ監査項目を定め、改善内容等まで取りまとめている。これらの活動
は、監査実施体制や監査基準等を次年度以降も継続的に運用
運営させる日途ができた
ID
パスワードの取扱い等に
こと等から、大きく評価ができる。一方で、パソコンや
ついては、これまでの情報セキュリティ研修等の取り組み成果が反映できたとは言い難
く、今後の課題となった。
以下 2点は、今回の内部監査結果を受け早急な改善が必要な箇所といえる。情報セ
中心に、 CIOを中心とした
ICTガバナンス全体で状況を共有しながら、関連所管課への周知徹底及び対策の検討
キュリティ内部監査実施部門の責任者
(情報政策課長)を
等を実施すべきである。
1
監査項目
)IID/パスワードの取扱い
(人的セキュリティ
改善が必要な課等
:中央図書館
改善内容等
:担当職員毎のパスワード付与
1
2
監査項目 (物理的セキュリティ):機器の取付け
改善が必要な課等
:危機管理室
改善内容等
:HUB等の物理的な機器固定
示唆】
【
今回の活動全体を受け、情報セキュリティレベルを維持することを目的とした「情報
セキュリティポリシー活動サイクル Jの再定義及び全職員への周知徹底を継続続けるこ
との重要性が再確認できた。
また、今後の監査活動等を PDCAサイクルの中で効果的・継続的に実施していくた
め、「監査実施フレームワーク」の段階的な ICTガバナンスヘの組み込み等を積極的に
検討すべきである。
策定・改定
／
リスクアセスメント】
【
ノ
／
監査・評価
教育・啓発
セキュリティ
ポリシー
【
運用】
実施
「情報セキュリティポリシー活動サイクル Jモデル
や11務俸
ヽう
1〕
検討すべき「監査実施フレームワークモデル
(イ
メージ)」
以上
資料 1
様式第
2号
(第
9条 ,第 10条 ,第 11条関係 )
情報セキュリティ内部監査実施計画書
平成
1
監査の目的
2
監査範囲
3
被監査部門
4
監査方法
5
監査実施日程
情報化推進グループ ,広報グループ及び番号制度推進グ
ループにおける業務
・イントラシステム
・財務会計システム
・住民情報基幹系システム
・総合福祉システム
・公式サイトシステム
・広報作成システム
情報政策課
書類及び調書の確認
システム等の管理状況の確認
職員へのヒアリング
平成
監査項目
適用基準
● ● ●
7
情報政策業務に関して,セキュリティ規則等を適切に遵守
しているか。
● ● ●
6
26年 9月 10日
26年 10月 16日
1時間程度
ID,パスワードの管理状況
端末操作員登録状況
端末の管理状況
など詳細は別紙
龍ケ崎市セキュリティ規員」
龍ケ崎市コンピュータ等運用管理規程
龍ケ崎市セキュリティ対策基準
監
○
査
項
目
人的セキュリティ
1
情報資産等の業務以外の目的での使用禁止
職員等による業務以外の目的での情報資産の持ち出し,又は情報システ
ムヘのアクセスは行わない。
2
私物パソコン等の持込制限
職員等による私物のパソコン及び記録媒体の庁舎内への持込は行われて
い
3
え Fい
。
パソコンの取扱い
(1)離席時には,パソコンの第二者使用を防止するための適切な措置が講
じられている。
12)ディスクトツプに文書等を保存していない。
4 1D・
パスワードの取扱い
職員等のパスワードは当該本人以外に知られないように取り扱われてい
る。また ,定期的にパスワードを変更している。
5
6
7
イントラネットにおけるメール送信
「 t。」 ,「 c cJ,「 bcc」を正しく使い分けている。
公務用 USBメモリの取扱い
(1)公務用 USBメモリの中にデータを保存していない。
c)公務用 USBメモリは使用するとき以外は適正に保管されている。
セキュリティ研修への参カロ
職員等が積極的にセキュリティ研修に参カロしている。
｀
○
物理的セキュリティ
1
機器の取付け
サーバ ,HUB等を取付ける際,埃,振動等の影響を可能な限り排除した場所
に設置し,容易に取外せないように固定するなどの対策が講じられているか。
2
通信ケーブル等の保護
通信ケープルや電源ケーブルの損傷を防止するための対策が講じられているか。
3
サーバの機器の定期保守
サーバの機器の定期保守が実施されているか。
4
サーバ障害対策の手順
サーバに障害が発生した場合の対策手順が定められ ,文書化されている。
5
机上のパソコンの取扱い
退庁時におけるノートパソコンは施錠できる保管庫で管理を行つている。
資料 2
人的セキュリティチェックシート
情報政策課 (室 )
1情報資産等の業務以外の目的での使用禁止
(○ )
*
遵守している
(
)
事該当するほうにOを付けてください。
遵守できていない
遵守できていない場合その他課題がある場合は ,その内容を記載してください。
︱
ヽ
´
︱
2私物パソコン等の持込制限
(○
*
)
遵守している
(
)
遵守できていない
遵守できていない場合その他課題がある場合は,その内容を記載してください。
︱
ヽ
´
︱
３
ヽ
。ヽ︱
●ヽル4:そも文書肇あ凛淳泰上
て
,「￨タル
(○ )
*
遵守している
(
)
遵守できていない
遵守できていない場合その他課題がある場合は,その内容を記載してください。
︱
ヽ
´
︱
*
)
'^あ
遵守している
(
)
遵守できていない
遵守できていない場合その他課題がある場合は,その内容を記載してください。
０
(○
セ
さ
︱︱︱︱リ
だヽ
'tJわ
さ
ヽ ζ、
ヽ，，，”″
，
﹄爾
５
イ・
＊
︲
一
”ｏ﹄
ｒ
ｔ
ｌ
︱︱︱︱リ
いだヽ
な
ヽく
直 “
ま
＞髪
る
＜あ
が
題
課
他
＊
一
４
6公務用 UIЁ
最扱 t｀
(1)公務用tISBメモ
デ■夕保存の禁止
︱
ヽ
´
︱
(○ )
遵守している
(
)
遵守できていない
遵守できていない場合その他課題がある場合は ,その内容を記載してください。
´
︱
物理的セキュリティチェックシート
情報政策課 (室 )
・該当するほうに○を付けてください。
i機器の取付け
(O)
(
対策が講じられている
)
レ
さ
︱︱︱︱︱リ
だヽ
*
対策が講じられている
し
(○ )
て
￨1通信ケ■
鋏護
'i'等
載
記
を
容
内
の
そ
ま
合
場
)
´
︲︲︲︲く
る
あ
カ
題
課
他
の
そ
合
場
い
な
い
て
れ
ら
じ
カ
講
策
対＊
(
対策が講じられていない
対策が講じられていない
対策が講じられていない場合その他課題がある場合は ,その内容を記載してください。
´
︱
ン■シの取扱い
￨￨′ ■レヽ
(○ )
*
適正に管理している
(
)適
正な管理ができていない
適正な管理ができていない場合その他課題がある場合は,その内容を記載してください。
´
︱
男」添 4
課 (室 )
情報セキュリティ研修受講記録簿
*
内部研修については ,平成 26年 1月に実施した情報セキュリティ研修会を対象とします。
資料 3
様式第
3号
(第
12条 ,第 15条関係 )
情報セキュリティ内部監査結果報告書
平成
1
監査目的
26年 11月
日
人的セキュリティ及び物理的セキュリティに関して ,セ
キュリティ規則等に基づき ,適切に行われているか。
情報化推進グループ ,広報グループ及び番号制度推進グ
ループにおける業務
2
監査範囲
:9月 15日から 9月 30日まで )
・イントラシステム ,財務会計システム ,住民情報基幹
(内部監査対象期間
系システム ,総合福祉システム ,公式サイトシステム
広報作成システム
被監査部門
4
監査方法
5
監査実施日程
6
監査項目
7
適用基準
総合政策部情報政策課
記録書類の確認 ,職員へのインタビュー
平成
● ● ● ●
3
26年 10月 16日
午前
9時から午前 10時
ID。パスワードの管理状況
端末の管理状況
など詳細別紙
龍ケ崎市セキュリティ規則
龍ケ崎市セキュリティ対策基準
など
○ 人的セキュリティに関して
監査結果】
【
1 情報資産の目的外使用禁止
遵守している
2
私物パソコン持込禁止
パソコンの取扱い (離席時におけるログオフ)
一部守られていない
パソコンの取扱い (ディスクトップ上の文書保存禁止 )
遵守している
ID・パスワードの取扱い
適正に取扱われている
,
メール送信の適正利用
適正に利用している
公務用 USBメモリの取扱い (常時のデータ保存禁止 )
適正に取扱われている
公務用 USBメモリの取扱い (適正な保管 )
適正に取扱われている
7
セキュリティ研修への参加
積極的に参加している
【
改善事項】
パソコンの取扱い (離席時におけるログオフ)については ,適切な措置が
されていないことから,今後 ,課のミーティングの場での周知や職員相互
で注意し合うなどにより,適正な取扱いを行うよう求める。
具体な方法としては ,ノートパソコンについては ,離席時にはカバーを閉
じ (これによリロックとなる。),ディスクトップについては,ロックをす
る。
物理的セキュリティに関して
○
【監査結果】
1 機器 (HUB等 )の取付け
適正に行われている
2
通信ケープル等の保護
適正に行われている
3
サーバ機器の定期保守
適正に行われている
4
サーバ障害対策の手順
文書化されている
*■ ぬ機器,1巨し懺
5
【
改善事項】
なし。
様式第 4号 (第
15条第 2項関係
)
年
情報セキュリティ委員長
殿
課 (室 )長
改善計画書
1
監査実施日
2
監査範囲
3
監査結果
○○ システム
改善勧告事項
4
否
善び
改及
改善実施時期
年
月
日まで
月
日
資料 4
情報セキュリティ内部監査実施スケジュール
o
+.817J
rrrrr--rrrt
〓
中
I t'tF#?+= t 7.t hgrffid+w,Ff@r t.I 9, ffiEg-ffi#+t:ffi 6 ftF#izi
r
l+- y 7188fiffi6*ffi:r+@ao#F\
---'-'_"-tf
○
監査実施 2ケ月前
… … … …
〓
中
実施課等とのスケジュール調整 :
:ヽ ‥ 監査
‥ Ⅱ ‐ Ⅱ¨ ¨′
¨ ‐ ‐ ■ Ⅲ ●●Ⅲ Ⅲ Ⅲ Ⅲ
Ⅲ
…
〓
←
A *C€ffil'Bffi
: f{F#+f t 7 /1f#Exf:a+Et*t €{.}r, H6Fff€^iEt&rI i
iffi*#Fnftf
I
目
←
○
監査後の処理
Ⅱ
/7藉曹[翼「テ
;扇熟菫基籍藁豪:曇島
=蕩
へ報告
葛二Ъ
亨
ι
:蔦報
貰曇
・情報セキュリティ委員会は監査実施報告 (改善事項など)を監査実施 'ど
課等へ通知
■
・監査実施課等は ,改善した内容を報告
￨
、
● ¨ ‥ ●●●
● _Ⅲ
○
…
Ⅱ ‥
…
■ ‐ Ⅱ ‐
… …
●●‐ ‥ ‥ ‥ ‐ Ⅱ Ⅱ Ⅱ ‥ ‐ Ⅱ Ⅱ Ⅱ ‥ ‐ Ⅱ
市民への公表
●￨‐ ‐ ‐ ■ ‐ Ⅲ Ⅲ Ⅱ ‐ Ⅲ … … … Ⅲ ‥ ‥ Ⅱ Ⅱ ‐ ‥ ‐ ‥ … Ⅲ Ⅲ … ●●
:監査結果をホームページなどにおいて公表
ヽⅡ Ⅱ
… …
‥
_Ⅱ
¨
.●
‐ Ⅱ‐ Ⅱ‐
…
Ⅱ¨ ¨ Ⅲ
…
Ⅱ ‐ Ⅱ ‐ ‥ ‐ ●●
…
●′
●Ⅱ ‥ ‥ ●
Ⅱ●
●‐ ‐ ‐ ‐ ●
●●

Download Report