close

Enter

Log in using OpenID

情報セキュリティポリシーのダウンロード (PDF 約840kb)

embedDownload
周南市情報セキュリティ基本方針
(目的)
第1条 この基本方針は、本市が実施する情報セキュリティ対策について基本的な事項を定
めることにより、本市が保有する情報資産の機密性、完全性及び可用性の維持を図ること
を目的とする。
(定義)
第2条 この基本方針において、次の各号に掲げる用語の意義は、当該各号に定めるところ
による。
(1) ネットワーク パーソナルコンピュータやサーバなど
(以下
「コンピュータ等」
という。
)
を相互に接続するための通信網、
その構成機器
(ハードウェア及びソフトウェア)
をいう。
(2) 情報システム コンピュータ等、ネットワーク及び記録媒体で構成され、情報処理を行
う仕組みをいう。
(3) 行政情報 本市の行政事務の執行に関わる情報で、
情報システムで取り扱う情報をいう。
(4) 情報資産 情報システム並びにそれに関する施設・設備及び行政情報をいう。
(5) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(6) 情報セキュリティポリシー この基本方針及び情報セキュリティ対策基準をいう。
(7) 機密性 情報にアクセスすることを認められた者だけが、
情報にアクセスできる状態を
確保することをいう。
(8) 完全性 情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(9) 可用性 情報にアクセスすることを認められた者が、
必要なときに中断されることなく、
情報にアクセスできる状態を確保することをいう。
(適用範囲)
第3条 この基本方針が適用される行政機関は、市長、教育委員会、選挙管理委員会、公平委
員会、監査委員、農業委員会、固定資産評価審査委員会、上下水道局、競艇事業局、消防
本部及び議会事務局とする。
(職員等の遵守義務)
第4条 職員、非常勤職員及び臨時職員(以下「職員等」という。
)は、情報セキュリティの
重要性について共通の認識を持ち、業務の遂行にあたって情報セキュリティポリシーを遵
守しなければならない。
1/3
(対象となる脅威)
第5条 情報資産に対する脅威として、次に掲げる脅威を想定し、情報セキュリティ対策を
実施する。
(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等
の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部
不正等
(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、プログラム上の欠
陥、操作・設定ミス、メンテナンス不備、外部委託管理の不備、機器故障等の非意図的要
因による情報資産の漏えい・破壊・消去等
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
(4) 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(5) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
(情報セキュリティ対策)
第6条 前条の脅威から情報資産を保護するため、次に掲げる情報セキュリティ対策を講じる。
(1) 組織体制
本市の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確
立する。
(2) 情報資産の分類と管理
本市の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づ
き情報セキュリティ対策を行う。
(3) 物理的セキュリティ
コンピュータ等、情報システム室等及び通信回線等の管理について、物理的な対策を講
じる。
(4) 人的セキュリティ
情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及び
啓発を行う等の人的な対策を講じる。
(5) 技術的セキュリティ
コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技
術的な対策を講じる。
(6) 運用
情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際
のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。
2/3
また、情報資産への侵害が発生した場合等に迅速かつ適切に対応するために、緊急時対応
計画を策定する。
(監査及び自己点検)
第7条 情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情
報セキュリティ監査及び自己点検を実施する。
(情報セキュリティポリシーの見直し)
第8条 情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが
必要になった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が
必要となった場合には、情報セキュリティポリシーを見直す。
(情報セキュリティ対策基準の策定)
第9条 第6条から前条までに規定する対策等を実施するために、具体的な遵守事項及び判
断基準等を定める情報セキュリティ対策基準を策定する。
附則
1 この基本方針は、平成20年6月30日から施行する。
2 周南市情報セキュリティポリシー(平成16年1月1日施行)は、廃止する。
附則
この基本方針は、平成27年10月1日から施行する。
3/3
周南市情報セキュリティ対策基準
序 章 はじめに
1 目 的
この対策基準は、周南市情報セキュリティ基本方針(以下「基本方針」という。
)
第9条の規定に基づき、本市が保有する情報資産の適切な保護、管理、運用等に関し
必要な事項を定めたものである。
2 定 義
この対策基準における用語は、基本方針第2条に規定するところによる。
3 適用範囲
この対策基準が適用される行政機関は、基本方針第3条に規定するところによる。
第1章 情報セキュリティ組織体制
1 組織体制
本市の情報セキュリティ対策の確実な推進と情報セキュリティ侵害時に迅速な対応
を行うため、次に掲げる者及び組織を置く。
(1) 最高情報セキュリティ統括管理者(以下「最高統括管理者」という。副市長をも
って充てる。
)
(2) 情報セキュリティ統括管理者(以下「統括管理者」という。情報担当部長をもっ
て充てる。
)
(3) 情報セキュリティ管理者(以下「セキュリティ管理者」という。この対策基準が
適用される各部局長(部に準ずる組織の長を含む。
)をもって充てる。
)
(4) 情報セキュリティ責任者(以下「セキュリティ責任者」という。各課長(課に準
ずる組織の長を含む。
)をもって充てる。
)
(5) 情報セキュリティ担当者(以下「セキュリティ担当者」という。
)
(6) 情報システム管理者(情報担当課長をもって充てる。
)
(7) 情報システム担当者
(8) 情報セキュリティ委員会
2 情報セキュリティ委員会の役割
(1) 本市の情報セキュリティ対策を統一的に行うため、情報セキュリティ委員会を設
置し、情報セキュリティに関する重要な事項を決定する。
1 / 26
(2) 情報セキュリティ委員会は、最高統括管理者、統括管理者及びセキュリティ管理
者で組織し、庶務は情報担当課が行う。
3 情報セキュリティ関係者の役割
情報セキュリティ関係者の主な役割は、次のとおりとする。
名称(該当する役職等)
主な役割
最高情報セキュリティ統括管 ○すべての情報資産の管理及び情報セキュリティ
理者
対策に関する最終決定権限及び責任を有する。
(副 市 長)
情報セキュリティ統括管理者
(情報担当部長)
○最高統括管理者を補佐し、最高統括管理者に事故
があるとき、又は最高統括管理者が欠けたときは
その職務を代理する。
○すべてのネットワークにおける情報セキュリテ
ィ対策に関する権限及び責任を有する。
情報セキュリティ管理者
(各部局長)
○当該部局等の情報セキュリティ対策に関する統
括的な権限及び責任を有する。
情報セキュリティ責任者
(各課長)
○セキュリティ管理者の指示等に従い、所属課内の
情報資産に関する情報セキュリティの確保に関
する権限及び責任を有する。
○所管する情報システムの開発、設定の変更、運用、
見直し等を行う権限及び責任を有する。
○所属課内において、情報セキュリティポリシーの
普及及び指導を行い、遵守の徹底を図る。
情報セキュリティ担当者
(所属長より指名された者)
○セキュリティ責任者の指示等に従い、所属課内の
情報セキュリティ対策を実施する。
○セキュリティ侵害時には、セキュリティ責任者の
指示の下、速やかに対処する。
情報システム管理者
(情報担当課長)
○全庁的なネットワーク及び情報システムにおけ
る情報セキュリティポリシーの遵守状況を監視
し、情報セキュリティ対策について必要な指導及
び助言を行う。
○全庁的な情報システムの開発、設定の変更、運用、
見直し等を行う権限及び責任を有する。
情報システム担当者
(情報担当課員)
○情報システム管理者の指示等に従い、速やかに情
報セキュリティ対策を実施する。
2 / 26
第2章 情報資産の分類と管理
第1節 情報資産の分類
1 行政情報の分類
セキュリティ責任者は、所管する行政情報について、情報を利用する者が適正な
取り扱いを行えるよう、次の基準により分類し、必要に応じて取扱制限を行うもの
とする。
分 類
分類基準
極 秘
○行政情報のうち、情報セキュリティ侵害が市民の生命、財産
等に重大な影響を及ぼすもの。
部外秘
○行政情報のうち、情報セキュリティ侵害が行政事務の執行等
に重大な影響を及ぼすもの。
公 開
○極秘、部外秘以外の行政情報
2 情報システムの分類
セキュリティ責任者は、その所管する情報システムについて、それぞれ重要度に
基づき、次の基準により分類し、適正なセキュリティ対策を実施する。
分 類
分類基準
最重要システム
○情報セキュリティ侵害が発生した場合、個人又は市民生活に
対する不利益を与える等、影響が極めて広範囲に及び、速や
かな復旧が必要となる情報システム
重要システム
○情報セキュリティ侵害が発生した場合、影響が庁内等の特定
できる範囲に限られ、当面は代替手段により業務を継続する
ことが可能な情報システム。
システム
○最重要システム、重要システム以外の情報システム。
第2節 情報資産の管理・運用
1 情報資産の管理責任
(1) セキュリティ責任者は、その所管する情報資産について管理責任を有する。
(2) 行政情報を複製又は伝送した場合には、複製等された情報資産についても管理
責任を有する。
2 行政情報の作成
(1) 職員等は、業務上必要のない行政情報を作成してはならない。
(2) 行政情報を作成する者は、作成途上の情報についても、紛失や流出等を防止し
なければならない。また、不要になった場合は、当該情報を速やかに消去しなけ
ればならない。
3 / 26
3 行政情報の入手
庁内及び庁外の者が作成した行政情報を入手した者は、行政情報の分類に応じ、
情報セキュリティの確保に最大限の配慮をして適正な取扱いをしなければならない。
4 情報資産の利用
(1) 情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。
(2) 情報資産を利用する者は、行政情報や情報システムの分類に応じ、情報セキュ
リティの確保に最大限の配慮をして適正な取扱いをしなければならない。
5 情報資産の保管
(1) セキュリティ責任者は、情報資産を適切に保管しなければならない。
(2) セキュリティ責任者は、行政情報を記録した外部記録媒体を長期間保管する場
合は、書込禁止の措置を講じなければならない。
6 行政情報の送信
電子メール等により部外秘以上の行政情報を送信する者は、必要に応じ、暗号化
又はパスワード設定を行わなければならない。
7 情報資産の運搬
(1) 部外秘以上の情報資産を運搬する者は、セキュリティ責任者に許可を得なけれ
ばならない。
(2) 部外秘以上の情報資産を運搬する者は、必要に応じ鍵付きのケース等に格納し、
暗号化又はパスワード設定等の措置を講じるなど、情報資産の不正利用を防止す
るための措置を講じなければならない。
8 行政情報の提供・公表
(1) 部外秘以上の行政情報を外部に提供する者は、必要に応じ暗号化又はパスワー
ドの設定を行わなければならない。
(2) 部外秘以上の行政情報を外部に提供する者は、セキュリティ責任者に許可を得
なければならない。
(3) セキュリティ責任者は、市民等に公開する行政情報について、完全性を確保し
なければならない。
4 / 26
9 情報資産の廃棄等
(1) セキュリティ責任者は、部外秘以上及び重要システム以上の情報資産を廃棄す
る場合は、情報を記録している記録媒体の初期化等、情報が復元できないように
処置しなければならない。
(2) 情報資産の廃棄を行う者は、事前に、セキュリティ責任者の許可を得なければ
ならない。また、当該情報資産が、情報システム管理者から配付等を受けている
場合は、情報システム管理者の許可を得なければならない。
(3) セキュリティ責任者は、記録装置が含まれるハードウェアを賃借期間満了によ
り賃貸人に返却する場合は、当該記録装置に保存されているすべての情報を消去
の上、復元不可能な状態にしなければならない。
(4) セキュリティ責任者は、記録装置が含まれるハードウェアを外部の者に修理
させる場合は、修理に係る契約において守秘義務に関する規定を設けなければ
ならない。
5 / 26
第3章 物理的セキュリティ対策
1 情報システム室の管理
(1) 情報システム室の構造等
① 全庁的なネットワークの基幹機器及び重要な情報システムを設置し、当該機器等
の管理並びに運用を行うための部屋を「情報システム室」といい、情報システム
管理者が管理する。
② 情報システム管理者は、情報システム室内に設置する機器等に、転倒及び落下防
止等、必要な措置を講じなければならない。
(2) 情報システム室の入退室管理等
① 情報システム管理者は、情報システム室への入退室を事前に許可した者については静
脈認証等の生体認証やICカード認証等による入退室管理を行わなければならない。
② 情報システム管理者は、事前に許可していない者が情報システム室への入退室し
ようとする場合は、名札又は身分証明書等を提示させるとともに「入退室管理簿」
(別記第1号様式)の記載による入退室管理を行わなければならない。
(3) 機器等の搬入出
① 情報システム管理者は、情報システム室に搬入する機器等が、既存の情報システ
ムに与える影響について、あらかじめ職員又は委託した業者に確認を行わせなけ
ればならない。
② 情報システム管理者は、情報システム室の機器等の搬入出について、職員を立ち
合わせなければならない。
2 通信回線及び通信回線装置の管理
(1) 統括管理者は、庁内の通信回線及び通信回線装置を、施設管理部門と連携し、適
切に管理しなければならない。また、通信回線及び通信回線装置に関連する文書を
適切に保管しなければならない。
(2) 統括管理者は、 外部へのネットワーク接続を必要最低限に限定し、できる限り接
続ポイントを減らさなければならない。
(3) 統括管理者は、行政系のネットワークを総合行政ネットワーク(LGWAN)に集約す
るように努めなければならない。
(4) 統括管理者は、部外秘以上の情報資産を取り扱う情報システムに通信回線を接続
する場合、必要なセキュリティ水準を検討の上、適切な回線を選択しなければなら
ない。また、必要に応じ、送受信される情報の暗号化を行わなければならない。
(5) 統括管理者は、ネットワークに使用する回線について、伝送途上に情報が破壊、
盗聴、改ざん、消去等が生じないように十分なセキュリティ対策を実施しなければ
ならない。
6 / 26
3 コンピュータ等機器の管理
情報システムを所管するセキュリティ責任者は、所管する機器等及び情報システム
管理者から配付された機器等について、必要に応じて、次のような対策を講じなけれ
ばならない。
(1) 機器の取付け
コンピュータ等の機器を取付ける場合、火災、水害、埃、振動、温度、湿度等の
影響を可能な限り排除した場所に設置し、盗難、倒壊防止の措置を講じる。
(2) 機器の電源
停電によるサービス停止やデータ保護のため、必要な容量分の予備電源を設置す
る。また、落雷等による過流電に対する機器の保護措置を講じる。
(3) 通信ケーブル等の配線
① 通信ケーブル及び電源ケーブルの損傷等を防止するために、床下配線、モール等
により保護するなど必要な措置を講じるとともに、定期的に点検を行う。
② 部外者によるネットワークの不正アクセス防止のため、ネットワーク接続口(ハ
ブのポート等)を不正利用されないように適切に管理する。
4 庁舎外への機器の設置
セキュリティ責任者は、庁舎の敷地外へのコンピュータ等の機器の設置については、
セキュリティ委員会で承認を得なければならない。また、設置後は、定期的に当該機
器の情報セキュリティ対策状況について確認しなければならない。
7 / 26
第4章 人的セキュリティ対策
第1節 職員等の責務
1 情報セキュリティポリシー等の遵守
職員等は、情報セキュリティポリシー及び実施手順を遵守しなければならない。
また、情報セキュリティ対策について不明な点、遵守することが困難な点等がある
場合は、速やかにセキュリティ責任者に相談し、指示を仰がなければならない。
2 コンピュータ等の持ち出し及び持ち込みの制限
(1) コンピュータ等や記録媒体を持ち出しする際の事前申請及び許可は、別に定め
がある場合を除き「情報資産持出等管理簿」
(別記第2号様式)によるものとする。
ただし、情報システム管理者が所管するコンピュータ等や記録媒体などを外部に
持ち出す場合は、
「コンピュータ等貸出申請書」
(別記第3号様式)によるものと
する。
(2) 外部から持ち込んだコンピュータ等を本市のネットワークに接続してはならな
い。また、外部に持ち出したコンピュータ等を他のネットワークに接続してはな
らない。ただし、情報システムの開発等のために持ち込んだコンピュータ等につ
いては統括管理者が許可したものは除く。
3 支給以外のパソコン、モバイル端末等の業務利用
職員等は、本市から支給した以外のパソコン、モバイル端末及び電磁的記録媒体
等を業務に利用してはならない。ただし、業務上必要な場合は、セキュリティ責任
者の許可を得て利用することができる。
4 パソコンやモバイル端末におけるセキュリティ設定変更の禁止
職員等は、支給しているパソコンやモバイル端末等のソフトウェアに関するセキ
ュリティ機能の設定をセキュリティ責任者の許可なく変更してはならない。
5 机上の情報資産の管理
職員等は、コンピュータ等や記録媒体、情報が印刷された文書等が第三者に容易
に使用又は閲覧されることがないように、離席時のコンピュータ等の画面ロック機
能の活用や、退庁時等には記録媒体や文書等が容易に閲覧されない場所に保管する
など、適切な措置を講じなければならない。
8 / 26
6 人事異動及び退職時等の遵守事項
職員等は、人事異動又は退職等により業務を離れる場合には、利用していた情報
資産を返却しなければならない。また、その後も業務上知り得た情報を漏らしては
ならない。
7 非常勤職員及び臨時職員への対応
(1) 情報セキュリティポリシー等の遵守
セキュリティ責任者は、非常勤職員及び臨時職員に対し、採用時に情報セキュ
リティポリシー等のうち、非常勤職員及び臨時職員が守るべき内容を理解させ、
また実施及び遵守させなければならない。
(2) 情報セキュリティポリシー等の遵守に対する同意
セキュリティ責任者は、非常勤職員及び臨時職員の採用の際、必要に応じ、情
報セキュリティポリシー等を遵守する旨の同意書への署名を求めることとする。
(3) 情報システム等の利用制限
セキュリティ責任者は、非常勤職員及び臨時職員にコンピュータ等による作業
を行わせる場合は、業務上の必要最小限とするほか、インターネット接続及び電
子メール使用等が不要の場合、利用の制限を講じなければならない。
第2節 情報システム利用時の遵守事項
1 職員等の遵守事項
職員等は、情報システムを利用する場合、セキュリティ責任者の指示に従うとと
もに、次の事項を遵守しなければならない。
(1) ユーザID等の管理
付与されたユーザIDを適切に管理し、他人に利用させてはならない。また、
セキュリティ管理者から共有IDの利用を許可されている場合は、利用者以外の
者が利用できないようにID及びパスワードを適切に管理しなければならない。
(2) パスワードの管理
① パスワードを他人に漏らしてはならない。
② パスワードを記載したメモを作成して他人が容易に見える場所に貼ってはな
らない。
③ パスワードは定期的に変更しなければならない。
④ パスワードには、氏名、周知の用語など他人に容易に推測される単語を用いて
はならない。
9 / 26
(3) コンピュータ等機器の管理
① コンピュータ等を使用中に離席する場合、第三者の無許可使用を防止するため
コンピュータ等の画面ロック機能の活用等の措置を講じなければならない。
② コンピュータ等機器に対して、改造及び増設・交換を無断で行ってはならない。
業務上、改造及び増設・交換を行う必要が生じた場合、その機器のセキュリテ
ィ責任者の許可を得なければならない。
(4) 無許可でのネットワーク接続の禁止
セキュリティ責任者の許可なくパソコンやモバイル端末をネットワークに接続
してはならない。
(5) ハードウェア及びソフトウェアの無許可導入の禁止
① パソコンやモバイル端末に、無断でソフトウェアを導入してはならない。なお、
業務で必要がある場合は、セキュリティ責任者及び情報システム管理者の許可
を得て、ハードウェア及びソフトウェアを導入することができる。
② ソフトウェアを導入する際は、セキュリティ責任者又は情報システム管理者は、
ライセンスを管理しなければならない。
③ 職員等は、不正にコピーしたソフトウェアを利用してはならない。
(6) インターネット及び電子メールの使用
① 業務以外の目的でウェブを閲覧してはならない。
② 業務上必要のない送信先に電子メールを送信してはならない。
③ 受信した電子メールを不用意に他人に転送してはならない。
④ 複数人に電子メールを送信する場合、原則、他の送信先の電子メールアドレス
が分からないようにしなければならない。
⑤ 重要な電子メールを誤送信した場合、速やかにセキュリティ責任者に報告しな
ければならない。
(7) コンピュータウイルス等対策
① 外部からデータ又はソフトウェアを取り入れる場合には、必ず不正プログラム
対策ソフトウェアによるチェックを行わなければならない。
② 差出人が不明又は不自然に添付されたファイルを受信した場合は、速やかに削
除しなければならない。
③ パソコンやモバイル端末に対して、不正プログラム対策ソフトウェアによるフ
ルチェックを定期的に実施しなければならない。
④ 添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソ
フトウェアでチェックを行わなければならない。
⑤ 情報システム管理者が提供するウイルス情報を、常に確認しなければならない。
10 / 26
⑥ コンピュータウイルス等の不正プログラムに感染した場合又は感染が疑われ
る場合は、直ちに以下の対応を行い、情報システム担当者に連絡し、指示を受
けなければならない。
ア パソコン等の端末の場合
LAN ケーブルの即時取り外しを行う。
イ モバイル端末の場合
直ちに利用を中止し、通信を行わない状態にする。
⑦ ウェブで利用できるフリーメール、ネットワークストレージサービス等を利用
してはならない。ただし、業務上必要な場合は、セキュリティ責任者及び情報
システム管理者の許可を得て利用することができる。
2 業務以外の目的での情報システム利用
情報システム管理者は、職員等のインターネット又は電子メールの利用について、
明らかに業務以外の目的に利用していることを発見した場合は、セキュリティ責任
者に通知し適切な措置を求めなければならない。
第3節 研修・訓練
1 情報セキュリティに関する研修・訓練
(1) 統括管理者は、職員等に対して、情報セキュリティの重要性を認識させ、情報
セキュリティポリシーを理解・実践させるために、研修及び教育を実施しなけれ
ばならない。
(2) セキュリティ責任者は、当該情報システムの利用者に対して、情報システム利
用に関わる教育を実施しなければならない。
(3) 統括管理者は、情報セキュリティに関する情報を閲覧できる環境を整備し、職
員等に対する情報セキュリティの啓発に努めなければならない。
2 緊急時対応訓練の実施
最高統括管理者は、緊急時対応を想定した訓練を実施しなければならない。訓練
にあたっては、ネットワーク及び各情報システムの規模等を考慮し、訓練実施の範
囲を定め、効果的に実施できるようにしなければならない。
3 研修・訓練への参加
すべての職員等は、定められた研修・訓練に参加しなければならない。
11 / 26
第5章 技術的セキュリティ対策
第1節 コンピュータ等及びネットワークの管理
1 ファイルサーバの設定等
(1) 情報システム管理者は、職員等が使用できるファイルサーバの容量を設定しな
ければならない。
(2) 情報システム管理者は、ファイルサーバを課・室等の単位で構成し、職員等が
他所属等の行政情報を閲覧及び使用できないように、設定しなければならない。
2 バックアップの実施
情報システム管理者は、ファイルサーバ等に記録された情報について、サーバの
冗長化対策に関わらず、必要に応じて定期的にバックアップを実施しなければなら
ない。
3 他団体との情報システムに関する情報交換等
セキュリティ責任者は、他の団体と情報システムに関する情報及びソフトウェア
を交換する場合、その取扱いに関する事項をあらかじめ定め、統括管理者、セキュ
リティ管理者及び情報システム管理者の許可を得なければならない。
4 システム管理記録及び作業の確認
セキュリティ責任者は、所管する情報システムの運用において実施した作業及び
システム変更等の作業を行った場合は、その内容について記録を作成して、適切に
保存しなければならない。
5 情報システム仕様書等の管理
セキュリティ責任者は、所管するネットワーク構成図、情報システム仕様書につ
いて、記録媒体に関わらず、業務上必要とする者以外の者が閲覧したり、紛失等し
たりすることがないよう適切に管理しなければならない。
6 アクセス記録の取得等
セキュリティ責任者は、所管する情報システムのアクセス記録及び情報セキュリ
ティの確保に必要な記録を取得し、適切に保存しなければならない。
7 障害記録
セキュリティ責任者は、職員等からの情報システムの障害報告、障害に対する処
理結果又は問題等を、障害記録として記録し、適切に保存しなければならない。
12 / 26
8 ネットワークの接続制御、経路制御等
(1) 統括管理者は、フィルタリング及びルーティングについて、設定の不整合が発
生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しな
ければならない。
(2) 統括管理者は、不正アクセスを防止するため、ネットワークに適切なアクセス
制御を施さなければならない。
9 外部ネットワークとの接続制限等
(1) セキュリティ責任者は、所管するネットワークを外部ネットワークと新たに接
続しようとする場合には、セキュリティ管理者及び情報システム管理者に事前協
議し、最高統括管理者及び統括管理者の許可を得なければならない。
(2) 統括管理者は、接続しようとする外部ネットワークに係るネットワーク構成、
機器構成、セキュリティ技術等を詳細に調査し、庁内のすべてのネットワーク、
情報システム等の情報資産に影響が生じないことを確認しなければならない。
(3) 統括管理者は、サーバ等を外部ネットワークに接続する場合、庁内ネットワー
クへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界
に設置しなければならない。
(4) 情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認
められ、情報資産に脅威が生じることが想定される場合には、統括管理者の判断
に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。
10 複合プリンタのセキュリティ管理
(1) セキュリティ責任者は、複合プリンタを調達する場合、当該機器が備える機能、
設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適切なセキュリテ
ィ要件を策定しなければならない。
(2) セキュリティ責任者は、複合プリンタが備える機能について適切な設定等を行
うことにより運用中の機器に対する情報セキュリティインシデントへの対策を
講じなければならない。
11 特定用途機器のセキュリティ管理
セキュリティ責任者は、特定用途機器について、取り扱う情報、利用方法、通信
回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に
応じた対策を実施しなければならない。
13 / 26
12 電子メールのセキュリティ管理
情報システム管理者は、電子メールの利用に関するセキュリティ対策として、次
の事項を措置しなければならない
(1) 電子メールの送受信容量の上限を設定し、上限を超える送受信を制限にしなけ
ればならない。
(2) 大量のスパムメール等の受信又は送信を検知した場合は、メールサーバの運用
を停止しなければならない。
13 無線 LAN 及びネットワークの不正アクセス対策
統括管理者は、無線 LAN の利用を認める場合、解読が困難な暗号化及び認証技術
の使用を義務付けなければならない。
第2節 アクセス制御
1 アクセス制御
セキュリティ責任者は、所管するネットワーク又は情報システムごとに、権限の
ない職員等がアクセスできないように、システム上で制限しなければならない。
2 ユーザIDの取扱い
(1) セキュリティ責任者は、所管する情報システムの利用者の登録、変更、抹消等
の情報管理、職員等の人事異動、出向、退職者に伴うIDの取扱い等の方法を定
めなければならない。
(2) 職員等は、業務上必要がなくなった場合は、当該IDの登録を抹消するよう、
セキュリティ責任者に通知しなければならない。
(3) セキュリティ責任者は、所管する情報システムで利用されていないIDが放置
されないよう、定期的に点検しなければならない。
3 管理者権限を付与されたIDの管理等
(1) セキュリティ責任者は、所管する情報システムにおいて管理者権限を付与され
たIDを利用する者を必要最小限にし、当該IDのパスワードが漏えいしないよ
う厳重に管理しなければならない。
(2) 管理者権限を付与されたIDを利用する者は、当該セキュリティ責任者が指名
した者でなければならない。
(3) セキュリティ責任者は、所管する情報システムにおいて管理者権限を付与され
たIDの利用者によるネットワーク及び情報システムの接続制限を必要最小限に
制限しなければならない。
14 / 26
4 外部からのアクセス等の制限
(1) セキュリティ責任者は、職員等又は外部委託業者が外部から内部のネットワー
ク又は情報システムにアクセスする場合は、事前に、統括管理者及び当該情報シ
ステムを管理するセキュリティ責任者の許可を得なければならない。
(2) セキュリティ責任者は、内部のネットワーク又は情報システムに対する外部か
らのアクセスを、合理的理由を有する必要最小限の者に限定しなければならない。
(3) 統括管理者は、職員等に外部からのアクセスを認める場合、システム上で利用
者の本人確認を行う機能を確保しなければならない。
(4) 統括管理者は、職員等に外部からのアクセスを認める場合、通信途上の不正ア
クセスを防御するために暗号化等の措置を講じなければならない。
(5) 職員等は、外部から持ち帰ったパソコンやモバイル端末を庁内のネットワーク
に接続する前に、コンピュータウイルスの感染や、パッチの適用状況等を確認し
なければならない。
5 パスワードに関する情報の管理
(1) セキュリティ責任者は、所管する情報システムにおける職員等のパスワードに
関する情報を厳重に管理しなければならない。
(2) セキュリティ責任者は、職員等に対してパスワードを発行する場合は、仮のパ
スワードを発行し、職員等により正規のパスワードを取得させなければならない。
第3節 情報システムの開発、導入、保守等
1 情報システムの調達
(1) セキュリティ責任者は、情報システム開発、導入、保守等の調達にあたっては、
仕様書に必要とする技術的セキュリティ機能を明記しなければならない。
(2) セキュリティ責任者は、機器及びソフトウェアの調達に当たっては、当該製品
のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなけ
ればならない。
2 情報システムの開発
(1) システム開発における責任者及び作業者の特定。
セキュリティ責任者は、
システム開発の責任者及び作業者を特定しなければなら
ない。また、システム開発のための規則を確立しなければならない。
(2) システム開発における責任者、作業者のIDの管理
① セキュリティ責任者は、システム開発の責任者及び作業者が使用するIDを管
理し、開発完了後、開発用IDを削除しなければならない。
15 / 26
② セキュリティ責任者は、システム開発の責任者及び作業者のアクセス権限を設
定しなければならならない。
(3) システム開発に用いるハードウェア及びソフトウェアの管理
① セキュリティ責任者は、システム開発の責任者及び作業者が使用するハードウ
ェア及びソフトウェアを特定しなければならない。
② セキュリティ責任者は、利用を認めたソフトウェア以外のソフトウェアが導入
されている場合、当該ソフトウェアをシステムから削除しなければならない。
3 情報システムの導入
(1) 開発環境と運用環境の分離及び移行手順の明確化
① セキュリティ責任者は、システム開発、保守及びテスト環境とシステム運用環
境を分離しなければならない。
② セキュリティ責任者は、システム開発・保守及びテスト環境からシステム運用
環境への移行について、システム開発・保守計画の策定時に手順を明確にしな
ければならない。
③ セキュリティ責任者は、移行の際、情報システムに記録されている情報資産の
保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよ
う配慮しなければならない。
④ セキュリティ責任者は、導入するシステムやサービスの可用性が確保されてい
ることを確認した上で導入しなければならない。
(2) テスト
① セキュリティ責任者は、新たに情報システムを導入する場合、既に稼働してい
る情報システムに接続する前に十分な試験を行わなければならない。
② セキュリティ責任者は、運用テストを行う場合、あらかじめ擬似環境による操
作確認を行わなければならない。
③ セキュリティ責任者は、個人情報及び機密性の高い生データを、テストデータ
に使用してはならない。
④ セキュリティ責任者は、開発したシステムについて受け入れテストを行う場合、
開発した組織と導入する組織が、それぞれ独立したテストを行わなければなら
ない。
4 システム開発・保守に関連する資料等の整備・保管
(1) セキュリティ責任者は、システム開発・保守に関連する資料及びシステム関連
文書を適切に整備・保管しなければならない。
(2) セキュリティ責任者は、テスト結果を一定期間保管しなければならない。
16 / 26
5 情報システムにおける入出力データの正確性の確保
(1) セキュリティ責任者は、情報システムに入力されるデータについて、範囲、妥
当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように
情報システムを設計しなければならない。
(2) セキュリティ責任者は、故意又は過失により情報が改ざんされる又は漏えいす
るおそれがある場合に、これを検出するチェック機能を組み込むように情報シス
テムを設計しなければならない。
(3) セキュリティ責任者は、情報システムから出力されるデータについて、情報の処
理が正しく反映され、出力されるように情報システムを設計しなければならない。
6 情報システムの変更管理
セキュリティ責任者は、情報システムを変更した場合、プログラム仕様書等の変
更履歴を作成しなければならない。
7 開発・保守用のソフトウェアの更新等
セキュリティ責任者は、開発・保守用のソフトウェア等を更新、又はパッチの適
用をする場合、他の情報システムとの整合性を確認しなければならない。
8 システム更新又は統合時の検証等
セキュリティ責任者は、システム更新・統合時に伴うリスク管理体制の構築、移
行基準の明確化及び更新・統合後の業務運営体制の検証を行わなければならない。
第4節 不正プログラム対策
1 情報システム管理者の責務
情報システム管理者は、不正プログラム対策として、次の事項を措置しなければ
ならない。
(1) 所管するコンピュータ等の端末に、不正プログラム対策ソフトウェアを常駐さ
せなければならない。
(2) 不正プログラム対策のソフトウェアは、常に最新の状態に保たなければなら
ない。
(3) 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保
たなければならない。
(4) 外部ネットワークから受信したファイルは、インターネットのゲートウェイに
おいてウイルス等不正プログラムのチェックを行い、システムへの侵入を防止し
なければならない。
17 / 26
(5) 外部ネットワークに送信するファイルは、インターネットのゲートウェイにお
いてウイルス等不正プログラムのチェックを行い、不正プログラムの外部への拡
散を防止しなければならない。
(6) ウイルス等の不正プログラム情報を収集し、必要に応じ職員等に対して注意喚
起しなければならない。
2 情報システムを所管するセキュリティ責任者の責務
セキュリティ責任者は、その所管する情報システムにおける不正プログラム対策
に関し、次の事項を措置しなければならない。
(1) 所管するコンピュータ等に、不正プログラム対策ソフトウェアをシステムに常
駐させなければならない。
(2) 不正プログラム対策のソフトウェアは、常に最新の状態に保たなければならない。
(3) 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保
たなければならない。
(4) インターネットに接続していないシステムにおいては、ウイルス等の感染を防
止するため、不正プログラム対策ソフトウェアのパターンファイルの更新を定期
的に実施しなければならない。
第5節 不正アクセス対策
1 統括管理者の責務
統括管理者は、不正アクセス対策として、以下の事項を措置しなければならない。
(1) 使用していないポートを閉鎖しなければならない。
(2) 不要なサービスについて、機能を削除又は停止しなければならない。
(3) 情報セキュリティに関する統一的な窓口と連携し、監視、通知、外部連絡窓口
及び適切な対応などを実施できる体制並びに連絡網を構築しなければならない。
2 サイバー攻撃等の予告
最高統括管理者及び統括管理者は、コンピュータ等に攻撃を受けることが明確に
なった場合、システムの停止を含む必要な措置を講じなければならない。また、関
係機関と連絡を密にして情報の収集に努めなければならない。
3 攻撃記録の保存
最高統括管理者及び統括管理者は、コンピュータ等に攻撃を受け、当該攻撃が不
正アクセス禁止法違反等の犯罪の可能性がある場合には、攻撃の記録を保存すると
ともに、警察及び関係機関との緊密な連携に努めなければならない。
18 / 26
4 内部からの攻撃
セキュリティ責任者は、職員等及び外部委託事業者が使用しているコンピュータ
等からの庁内のコンピュータ等に対する攻撃や外部のサイトに対する攻撃を監視し
なければならない。
5 職員等による不正アクセス
セキュリティ責任者は、職員等による不正アクセスを発見した場合は、当該職員
等が所属するセキュリティ管理者及びセキュリティ責任者に通知し、適切な処置を
求めなければならない。
6 サービス不能攻撃
セキュリティ責任者は、外部からアクセスできる情報システムに対して、第三者
からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止す
るため、情報システムの可用性を確保する対策を講じなければならない。
7 標的型攻撃
セキュリティ責任者及び情報システム管理者は、情報システムにおいて、標的型
攻撃による内部への侵入を防止するために、教育や自動再生無効化等の人的対策や
入口対策を講じなければならない。また、内部に侵入した攻撃を早期検知して対処
するために、通信をチェックする等の内部対策を講じなければならない。
第6節 セキュリティ情報の収集
1 セキュリティホールに関する情報の収集・共有及びソフトウェアの更新等
セキュリティ責任者及び情報システム管理者は、セキュリティホールに関する情報を
収集し、必要に応じ、関係者間で共有しなければならない。また、当該セキュリティホ
ールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。
2 不正プログラム等のセキュリティ情報の収集・周知
セキュリティ責任者及び情報システム管理者は、不正プログラム等のセキュリテ
ィ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。
3 情報セキュリティに関する情報の収集及び共有
セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する情報
を収集し、必要に応じ、関係者間で共有しなければならない。また、情報セキュリ
ティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合は、
セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。
19 / 26
第6章 運 用
1 情報セキュリティポリシーの遵守状況の確認
(1) 遵守状況の確認及び対処
セキュリティ責任者は、所属課内の情報セキュリティポリシーの遵守状況につい
て確認を行い、問題を認めた場合には、速やかにセキュリティ管理者に報告しなけ
ればならない。また、問題が直ちに情報セキュリティ上重大な影響を及ぼす可能性
があると判断した場合は、緊急時対応計画に従って適切に対処しなければならない。
(2) パソコン、モバイル端末及び電磁的記録媒体等の利用状況調査
統括管理者及び統括管理者が指名した者は、不正アクセス、不正プログラム等の
調査のために、職員等が使用しているパソコン、モバイル端末及び電磁的記録媒体
等のログ、電子メールの送受信記録等の利用状況を調査することができる。
2 事故、欠陥等の報告
(1) 庁内からの事故等の報告
① 職員等は、情報セキュリティポリシーに対する違反行為、情報セキュリティ侵害
又は情報システム上の欠陥及び誤作動を発見した場合、速やかにセキュリティ責
任者に報告しなければならない。
② 報告を受けたセキュリティ責任者は、違反行為又は情報セキュリティ侵害等が直
ちに情報セキュリティ上重大な影響を及ぼす可能性があると判断した場合は、セ
キュリティ担当者に初動処理及び調査の指示を行うとともに、緊急時対応計画に
従って適切に対処しなければならない。また、当該事故等が全庁的な情報システ
ムに関連する場合は、速やかに情報システム管理者に報告しなければならない。
③ セキュリティ責任者は、報告のあった事故等について、必要に応じて統括管理者
及びセキュリティ管理者に報告しなければならない。
(2) 市民等外部からの事故等の報告
① 職員等は、情報セキュリティ侵害、または本市が管理する情報システム等の情報
資産に関する事故及び欠陥等について、市民等外部から報告を受けた場合、セキ
ュリティ責任者に報告しなければならない。
② 報告を受けたセキュリティ責任者は、情報セキュリティ侵害又は事故及び欠陥等
が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると判断した場合は、
セキュリティ担当者に初動処理及び調査の指示を行うとともに、緊急時対応計画
に従って適切に対処しなければならない。
③ セキュリティ責任者は、当該事故等について、必要に応じて統括管理者及びセキ
ュリティ管理者に報告しなければならない。
20 / 26
(3) 事故等の分析及び記録、再発防止等
① 統括管理者は、事故等を引き起こした部門のセキュリティ管理者、セキュリティ
責任者及び情報システム管理者と連携し、これらの事故等を分析し、記録を保存
しなければならない。また必要に応じて、事故等の原因究明結果から、再発防止
策を検討し、最高統括管理者に報告しなければならない。
② 最高統括管理者は統括管理者から、事故等について報告を受けた場合は、その内
容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。
3 セキュリティ侵害時等の対応
(1) 緊急時対応計画の策定
情報セキュリティ委員会は、情報資産への侵害が発生した場合又は発生するおそ
れがある場合において、迅速かつ適切に実施するために緊急時対応計画を定めてお
かなければならない。
(2) 緊急時対応計画の内容
緊急時対応計画には、関係者の連絡先、発生した事案の概要や原因など報告すべ
き事項、発生した事案への対応措置、再発防止措置の策定などを定めなければなら
ない。
(3) 緊急時対応計画の見直し
情報セキュリティ委員会は、情報セキュリティを取り巻く状況の変化や組織体制
の変動等に応じ、必要に応じて緊急時対応計画を見直さなければならない。
4 例外措置
(1) 例外措置の許可
情報セキュリティ責任者及び情報システム管理者は、情報セキュリティ関係規定
を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項
とは異なる方法を採用し又は遵守事項を実施しないことについて合理的な理由があ
る場合には、最高統括管理者の許可を得て、例外措置を講じることができる。
(2) 緊急時の例外措置
情報セキュリティ責任者及び情報システム管理者は、行政事務の遂行に緊急を要
する等の場合であって、例外措置を実施することが不可避のときは、事後速やかに
最高統括管理者に報告しなければならない。
(3) 例外措置の申請書の管理
最高統括管理者は、例外措置の申請書及び審査結果を適切に保管し、定期的に申
請状況を確認しなければならない。
21 / 26
5 法令遵守
職員等は、職務の遂行において使用する情報資産を保護するために、次の法令のほ
か関係法令を遵守し、これに従わなければならない。
(1) 地方公務員法(昭和25年12月13日法律第261号)
(2) 著作権法(昭和45年法律第48号)
(3) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(4) 個人情報の保護に関する法律(平成15年5月30日法律第57号)
(5) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成
25年法律第27号)
(6) サイバーセキュリティ基本法(平成26年11月12日法律第104号)
(7) 周南市個人情報保護条例(平成16年条例第13号)
6 懲戒処分等
(1) 懲戒処分
情報セキュリティポリシーに違反した職員等及びその監督責任者は、その重大性、
発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とする。
(2) 違反時の対応
職員等の情報セキュリティポリシーに違反する行動を確認した場合には、速やか
に次の措置を講じなければならない。
① 職員等が違反を確認した場合は、セキュリティ責任者を通じて当該職員等が所属
するセキュリティ責任者に通知しなければならない。
② セキュリティ責任者が違反行為を確認した場合は、速やかにセキュリティ管理者
及び当該職員等が所属するセキュリティ責任者に通知し、適切な措置を求めなけ
ればならない。
③ セキュリティ管理者が違反を確認した場合は、当該職員等が所属するセキュリテ
ィ責任者に通知し、適切な措置を求めなければならない。
④ セキュリティ責任者の指導によっても改善されない場合、セキュリティ管理者は、
当該職員等のネットワーク又は情報システムを使用する権利を停止あるいは剥奪
することができる。その後速やかに、セキュリティ管理者は、職員等の権利を停
止あるいは剥奪した旨を統括管理者及び当該職員等が所属するセキュリティ責任
者に通知しなければならない。
22 / 26
第7章 外部サービスの利用
1 外部委託
(1) 外部委託事業者の選定基準
① セキュリティ責任者は、外部委託事業者の選定にあたり、委託内容に応じた情報
セキュリティ対策が確保されることを確認しなければならない。
② セキュリティ責任者は、情報セキュリティマネジメントシステムの国際規格の認
証取得状況、情報セキュリティ監査の実施状況等を参考にして、事業者を選定し
なければならない。
③ セキュリティ責任者は、クラウドサービスを利用する場合は、情報の機密性に応
じたセキュリティレベルが確保されているサービスを利用しなければならない。
(2) 契約項目
情報システムの運用、保守等を外部委託する場合には、外部委託事業者との間で
必要に応じて次の情報セキュリティ要件を明記した契約を締結しなければならない。
・情報セキュリティポリシー及び情報セキュリティ実施手順の遵守
・外部委託事業者の責任者、委託内容、作業者、作業場所の特定
・提供されるサービスレベルの保証
・外部委託事業者にアクセスを許可する情報の種類と範囲、アクセス方法
・外部委託事業者の従業員に対する教育の実施
・提供された情報の目的外利用及び受託者以外の者への提供の禁止
・業務上知り得た情報の守秘義務
・再委託に関する制限事項の遵守
・委託業務終了時の情報資産の返還、廃棄等
・委託業務の定期報告及び緊急時報告義務
・市による監査、検査
・市による情報セキュリティインシデント発生時の公表
・情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)
(3) 確認・措置等
セキュリティ責任者は、外部委託事業者において必要なセキュリティ対策が確保
されていることを定期的に確認し、必要に応じ、(2)の契約に基づき措置しなければ
ならない。また、その内容をセキュリティ管理者に報告するとともに、その重要度
に応じて最高統括管理者に報告しなければならない。
23 / 26
2 約款による外部サービスの利用
(1) 用語の定義
「約款による外部サービス」とは、民間事業者等の庁外の組織が約款に基づきイ
ンターネット上で提供する情報処理サービスであって、当該サービスを提供するサ
ーバ装置において利用者が情報の作成、保存、送信等を行うものをいう。ただし、
利用者が必要とする情報セキュリティに関する十分な条件設定の余地があるものを
除く。
(2) 約款による外部サービスの利用に係る規定の整備
セキュリティ責任者は、以下を含む約款による外部サービスの利用に関する規定
を整備しなければならない。
① 約款による利用可能なサービスの範囲
② 業務により利用する約款による外部サービス
③ 利用手続及び運用手順
(3) 約款による外部サービスの利用における対策の実施
職員等は、利用するサービスの約款、その他提供条件から、利用に当たってのリ
スクが許容できることを確認した上で約款による外部サービスの利用を申請し、適
切な措置を講じた上で利用しなければならない。
3 ソーシャルメディアサービスの利用
(1) セキュリティ責任者は、本市が管理するアカウントでソーシャルメディアサービ
スを利用する場合、情報セキュリティ対策に関する次の事項を含めたソーシャルメ
ディアサービス運用手順を定めなければならない。
① 本市のアカウントによる情報発信が、市のものであることを明らかにするため
に、市の自己管理ウェブサイトに当該情報を掲載して参照可能とするとともに、
当該アカウントの自由記述欄等に運用組織を明示する等の方法でなりすまし対
策を講じること。
② パスワードや認証のためのコード等の認証情報及びこれを記録した媒体(IC カ
ード等)等を適切に管理するなどの方法で、不正アクセス対策を講じること
(2) 部外秘以上の行政情報は、ソーシャルメディアサービスで発信してはならない。
(3) 利用するソーシャルメディアサービスごとに、責任者を定めなければならない。
24 / 26
第8章 評価・見直し
1 情報セキュリティ監査
(1) 実 施
① セキュリティ責任者は、所属の職員等に対して、定期的又は必要に応じて、監査
を実施し、情報セキュリティポリシー等の遵守状況を把握、評価し、その結果を
セキュリティ管理者に報告しなければならない。
② セキュリティ責任者は、情報システムの保守又は管理運用等を外部委託事業者に
委託している場合、外部委託事業者から下請けとして受託している事業者も含め
て、定期的に又は必要に応じて、情報セキュリティポリシーの遵守状況の監査を
行わなければならない。
(2) 監査を行う者の要件及び実施への協力
① 監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなけ
ればならない。
② 被監査部門は、監査の実施に協力しなければならない。
(3) 報 告
セキュリティ管理者は、セキュリティ責任者からの監査結果に基づき是正措置を
実施し、その実施状況を情報セキュリティ委員会に報告しなければならない。
(4) 保 管
セキュリティ管理者は、監査の実施を通して収集した監査証拠、監査報告書の作
成のための監査調書を、紛失等が発生しないように適切に保管しなければならない。
(5) 監査結果への対応
最高統括管理者は、監査結果を踏まえ、指摘事項を所管するセキュリティ管理者
に対し、当該事項への対処を指示しなければならない。また、指摘事項を所管して
いないセキュリティ管理者に対しても、同種の課題及び問題点がある可能性が高い
場合には、当該課題及び問題点の有無を確認させなければならない。
(6)情報セキュリティポリシーの見直し等への活用
情報セキュリティ委員会は、監査結果を情報セキュリティポリシーの見直し、そ
の他情報セキュリティ対策の見直し時に活用しなければならない。
(7) 外部監査
情報セキュリティ監査を外部の者に委託しようとする場合は、情報セキュリティ
委員会の承認を必要とし、外部委託業者の管理については情報セキュリティポリシ
ー等の徹底を図らなければならない。
25 / 26
2 自己点検
(1) 実施方法
① 統括管理者は、情報システム管理者と連携して、すべてのネットワーク及び情報
システムについて、定期的又は必要に応じ自己点検を実施しなければならない。
② セキュリティ管理者は、所属するセキュリティ責任者と連携して、所管する部局
における情報セキュリティポリシーに沿った情報セキュリティ対策状況について、
毎年度又は必要に応じ自己点検を行わなければならない。
(2) 報 告
統括管理者及びセキュリティ管理者は、自己点検結果と自己点検結果に基づく改
善策を取りまとめ、情報セキュリティ委員会に報告しなければならない。
(3) 自己点検結果の活用
① 職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければ
ならない。
② 情報セキュリティ委員会は、この点検結果を情報セキュリティポリシーの見直し、
その他情報セキュリティ対策の見直し時に活用しなければならない。
3 情報セキュリティポリシーの見直し
情報セキュリティ委員会は、情報セキュリティポリシーについて情報セキュリティ
監査及び自己点検の結果並びに情報セキュリティに関する状況の変化等をふまえ、必
要があると認めた場合、その見直しを行うものとする。
附 則
1 この対策基準は、平成20年6月30日から施行する。
2 周南市情報セキュリティポリシー(平成16年1月1日施行)は、廃止する。
附 則
この対策基準は、平成27年10月1日から施行する。
26 / 26
別記第1号様式
情報システム室 入退出管理簿
年・月・日
入室時間
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
・ ・
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
カード
番号
所属課等名
(会 社 名)
氏 名
入室目的
退室時間
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
カード
返却
別記第2号
情報資産持出等管理簿 (データ持出用)
管理
番号
氏名
持出し日
持出し物
所属課(室)名
個数
用 途(理由)
持出の場所
管理者
承認
1
2
3
4
5
6
7
8
9
10
この記録簿には、記録媒体を庁外に持ち出す場合に、記入した後、事前に管理者(所属長)に承認を得ま
す。処理完了後は、返却を報告し、管理者に承認を得てください。
返却日
管理者
確認
別記第2号
情報資産持出等管理簿 (データ持込用)
管理
番号
氏名
持込み日
持込み物
(登録番号)
所属課(室)名
個数
用途(理由)
持込の場所
管理者
承認印
持帰り日
1
2
3
4
5
6
7
8
9
10
この記録簿には、記録媒体を利用して庁外からデータを持ち込む場合、または、職員以外のものが記録媒体を利用してデータを持ち
込む場合に、事前に申請し管理者(所属長)に承認を得てください。
※外部からコンピュータ等を持込む場合は、ネットワーク接続は厳禁です。
処理が完了した場合は、管理者に報告して承認を得てください。
なお、持込者から申請書等で提出があった場合は、その申請書等を保存して
管理者
確認印
別記第3号様式
コンピュータ等貸出申請書
広報情報課長
様
平成
年
月
日
所属長
下記の業務を行いたいので、コンピュータ等の貸し出しを申請します。
所属課・係名
使
用
者
TEL
名
貸出希望期間
平成
貸出希望機器
□ パソコン( ノート型)
□ スクリー ン
□ その他(
利
用
目
的
必 要 ソ フ ト
年
月
日
~
平成
年
月
日
□ パ ソコン(デ スクトッ プ型)
)
□ 研修会や説 明会など
□ その他( 具体的理由を 記入のこ と
□ システム 開発実務 ⇒ 事 前 に 広 報 情 報 課 に 相 談 の こ と
□ Word
□ Excel
□ Access
□ Power Point( □ フ ァ イ ル 表 示 の み
□ その他(
)
□ 加工修正も有)
)
その他特記事項
以下の欄は、システム開発目的以外は記入不要
開 発 目 的
開発予定期間
週間
開 発 ソ フ ト
開発 予定業務
【注】・貸出期間は、通常2週間を限度とします。
(貸出期間を延長したい場合は、再度申請書を提出してください。)
・システム開発に伴う貸出希望の場合は、事前にご相談ください。
・台数に限りがありますので、希望通り貸し出しができないこともあります。
広報情報課 使用欄
課
長
課長補佐
□ 許可
□ その他
201510~
係
長
係
返却 日
□ 不許可
(
)
Author
Document
Category
Uncategorized
Views
1
File Size
895 KB
Tags
1/--pages
Report inappropriate content