ページの先頭です。 メニューを飛ばして本文へ
現在地 トップ > はじめての方へ > セキュリティポリシー

本文

セキュリティポリシー

印刷ページ表示 大きい文字で印刷 記事番号:0024584 更新日:2020年3月10日更新

情報セキュリティ基本方針

(1)目的

 情報ネットワーク、特にインターネットにおいては、地理的要件には左右されず、全世界のコンピュータの通信が常時可能であり、行政と市民との間のコミュニケーションの活性化、行政サービスの提供など、行政の情報化を取り巻く環境も急速に変化している。さらに住民基本台帳ネットワークや総合行政ネットワークなど自治体間専用のネットワークも整備されるなど、行政事務においても不可欠なものになっている。

 真庭市においても情報通信の利活用、電子自治体の積極的な推進は、観光PR、市民サービス提供、業務の効率化の重要な手段であるが、不正アクセスやウィルスに代表される第三者からの攻撃、また内部からの情報の漏洩につながる可能性、さらには地震、落雷、火災等の自然災害による行政サービスの停止の可能性も持ち合わせている。

 また、真庭市で取り扱う情報には市民情報をはじめとして行政業務上重要なものが数多くあり、不正アクセス、あるいは内部犯行により、これらの情報が万が一持ち出されたとすれば、市民のプライバシーを損ない、さらには市民の財産をも奪うことにもなりかねない。紙文書、電子情報に関わらず、情報資産を人的脅威や災害、事故等から防御し、生活環境の一部としての安全で安定した行政サービスを提供するためには、高度に情報セキュリティが確保された組織とならねばならない。

 そのような背景を踏まえ、真庭市では『情報セキュリティポリシー』を策定し、その後の運用・見直しを含めた『情報セキュリティマネジメントシステム』を確立する。情報セキュリティが個人の裁量によって左右されることが無いよう、すべての職員は、情報セキュリティの重要性をよく理解し、情報セキュリティに対する意識レベルを共有し、例外なく『情報セキュリティポリシー』を遵守しなければならない。

(2)定義

  • 情報セキュリティ
    情報の機密性、完全性、及び可用性を確保し維持することをいう。
  • 情報資産
    情報や情報システム、及びこれらを保護、使用するのに必要なものをいう。具体的には、データ(紙及び電子媒体)、ハードウェア、ソフトウェア、ネットワークや建物・設備が含まれる。
  • 情報セキュリティマネジメントシステム
    管理体制を整備し、守るべきセキュリティレベルを明確にし、そしてセキュリティ対策を実施し、また状況を定期的に評価することなどを、組織として継続的に行っていく管理の枠組み。
  • 職員
    真庭市の首長・特別職(非常勤含む)・職員・臨時職員・嘱託職員(非常勤含む)を職員と定義する。

(3)情報セキュリティポリシーの位置づけ

 情報セキュリティポリシーは、真庭市の情報資産をセキュリティ上の脅威から保護するための情報セキュリティ対策について、総合的・体系的にまとめたものであり、情報セキュリティマネジメントシステムの根幹をなすものである。

(4)適用範囲

情報セキュリティポリシーの適用範囲は、真庭市の保有する情報資産及び、情報資産を扱うすべての職員とする。

(5)職員の責務

職員は、情報セキュリティの重要性をよく理解し、情報セキュリティポリシーを遵守し、業務を遂行するものとする。遵守にあたっては例外や個人の裁量による行動があってはならない。

(6)情報セキュリティマネジメントの体制

 真庭市の情報セキュリティマネジメントシステムを統括し、管理策の実施、教育訓練等を推進する者として、情報セキュリティ責任者を定める。
 また、真庭市の情報セキュリティを維持していくために、情報セキュリティ委員会を設け、全庁的なマネジメント体制を整えるものとする。

(7)情報資産の分類・管理

 真庭市が保有する情報資産について、機密性・完全性・可用性の重要度について分類し、リスクの大きさと照らし合わせて必要十分のセキュリティ対策を行うものとする。

(8)情報セキュリティ管理策

 真庭市が保有する情報資産をセキュリティ上の脅威から保護するため、以下の情報セキュリティ対策を講ずる。

  • 人的セキュリティ
    情報セキュリティポリシーにおいて、情報資産を取扱う職員の情報セキュリティに関する権限と責任を明確にし、すべての職員がこれに反することがないよう、教育・訓練を行う。
  • 物理的セキュリティ
    電子計算機室及び、事務所等、重要な情報資産を保管する場所について、不正な立ち入りや盗難・破壊等から保護するため、入退室や機器管理における物理的な対策を講じる。
  • 技術的セキュリティ
    情報資産を不正アクセスやウィルスによる破壊・漏洩から守るために技術的対策を講ずる。
  • 運用
    情報セキュリティが安定して保たれるよう、情報システムやネットワークにおいて運用監視の対策を講ずる。また、障害が発生した場合の迅速な復旧・原因調査のため、障害発生時の対応を講ずる。

(9)個人情報保護

 真庭市の行政業務で扱う個人情報については、別に定める『真庭市個人情報保護条例』により保護するものとする。

(10)法令遵守

 すべての職員は、情報セキュリティポリシーを遵守することはもちろん、法律・条例等についてもこれを遵守しなければならない。

(11)懲罰

情報セキュリティポリシーに反した職員には、過失/故意の違いや、情報資産に与えた影響の大きさを考慮し、相応な罰が与えられるものとする。

(12)評価・見直し

 情報セキュリティ対策は構築した時点では十分であっても、情報資産の価値の変化や、新たなセキュリティ脅威の出現などにより不十分なものとなってしまうことがある。情報セキュリティ環境の変化に対応するため定期的に情報セキュリティ対策基準の評価・見直しを行うこととする。

 以上、真庭市の全職員は、市民情報をはじめとする情報資産の重みをしっかり受け止め、情報セキュリティポリシーを遵守し、「豊かな自然と地域資源を活かした人と環境にやさしい『杜市』づくり」のために市民に対して継続的に安全・安心で、信頼される行政サービスの提供に努めなければならない。