| | | イ | 情報資産の管理方法 |
| | | | (ア) | 情報資産の分類の表示 |
| | | | | ・情報システムで扱う情報資産について、第三者が重要性の識別を容易に認識できないように留意しつつ、印刷、ディスプレイ等への表示、記録媒体等に格納する際の媒体(FDへのラベル等)について、ファイル名、記録媒体等に情報資産の分類が分かるように表示をする等適切な管理を行わなければならない。 |
| | | | (イ) | 情報資産の管理 |
| | | | | ・情報資産の分類に従い、アクセス権限を定めなければならない。 |
| | | | | ・職員等は、情報資産の複製を保管場所へ移動する場合、当該保管場所からバックアップのために情報システムの設置箇所に戻す場合及び業務上必要な場合には、最高情報統括責任者の許可を得たうえで外部への持出又は送付をしなければならない。 |
| | | | | ・重要な情報資産(重要性分類I)は暗号化を施して管理するものとし、暗号化に用いた暗号鍵及び暗号化された当該情報資産は別々に適切な管理を行わなければならない。 |
| | | | (ウ) | 記録媒体の管理 |
| | | | | ・取り出しが可能な記録媒体は、適切な管理を行わなければならない。 |
| | | | | ・最終的に確定した情報資産を記録した記録媒体は、書込禁止措置を行った上で保管しなければならない。 |
| | | | | ・記録媒体に納められた情報資産は全て別の記録媒体に複製し、当該記録媒体は自然災害を被る可能性が低い地域に別途保管しなければならない。 |
| | | | | ・重要な情報資産(重要性分類II以上)を記録した記録媒体は、耐火、耐熱、耐水及び耐湿対策を講じた施錠可能な場所に保管しなければならない。 |
| | | | | ・記録媒体を送る場合は信頼できる者を選定し、複製の禁止及び記録媒体の物理的保護規定を定め、違反した場合の罰則規定を定めなければならない。 |
| | | | (エ) | 情報資産の変更又は廃棄の管理 |
| | | | | ・記録媒体が不要となった場合は、当該媒体に含まれる重要な情報資産(重要性分類II以上)は、記録媒体の初期化など情報資産を復元できないように消去を行ったうえで廃棄しなければならない。 |
| | | | | ・重要な情報資産(重要性分類II以上)を記録した記録媒体の廃棄は、情報セキュリティ担当者の許可を得ることとし、行った処理について、日時、担当者及び処理内容を記録しなければならない。 |
| 4 | 物理的セキュリティ |
| | (1) | サーバ等 |
| | | ア | 装置の取付け等 |
| | | | (ア) | ネットワーク及び情報システムの取付けを行う場合は、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切な固定等必要な措置を施さなければならない。 |
| | | | (イ) | 次のサーバは二重化し、ミラーリングにより常に同一データを保持し、メインサーバに障害が発生した場合には速やかにセカンダリーサーバに移行させ、システムの運用が停止しないようにしなければならない。 |
| | | | | ・重要な情報資産(重要性II以上)を格納しているサーバ |
| | | | | ・セキュリティサーバ |
| | | | | ・住民サービスに関するサーバ |
| | | | | ・その他の基幹サーバ |
| | | | (ウ) | ネットワーク管理者、情報システム管理者、情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が容易に操作できないように、利用者のID、パスワードの設定等の措置を施さなければならない。パスワードは可能な限り複雑なものにしなければならず、30日以上同一のパスワードを使用してはならない。また、パスワードの再利用は禁止する。 |
| | | | (エ) | サーバ等の取付けに当たっては、配線等から放射される電磁波により重要な情報資産(重要性分類II以上)が外部に漏洩することがないよう措置しなければならない。 |
| | | | (オ) | 無線LANの導入に当たっては、重要性分類II以上の情報資産を送信する際には経路を暗号化する等、十分な漏洩防止策を実施しなければならない。 |
| | | イ | 電源 |
| | | | (ア) | サーバ等の機器の電源については、当該機器を適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。 |
| | | | (イ) | 落雷等による過電流に対してサーバ等の機器を保護するための措置を施さなければならない。 |
| | | ウ | 配線 |
| | | | (ア) | 配線は、傍受又は損傷等を受けることがないように可能な限り必要な措置を施さなければならない。 |
| | | | (イ) | 重要な箇所の配線については、損傷等についての定期的な点検を行わなければならない。 |
| | | | (ウ) | ネットワーク接続口(ハブのポート等)は、他の者が容易に発見できない場所に設置しなければならない。 |
| | | | (エ) | ネットワーク管理者、情報システム管理者、情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が配線を変更、追加できないように必要な措置を施さなければならない。 |
| | | エ | 外部に設置する措置 |
| | | | (ア) | 外部に設置する装置は、最高情報統括責任者の承認を受けたものでなければならない。 |
| | | | | また、最高情報統括責任者は、定期的に当該装置の情報セキュリティの水準について確認しなければならない。 |
| | | | (イ) | 産山村外に持ち出される端末、記録媒体等について、最高情報統括責任者は産山村外での使用方法を定め、管理簿を設ける等適切に管理しなければならない。 |
| | (2) | 管理区域 |
| | | ア | 管理区域 |
| | | | (ア) | ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等又は重要性分類II以上の情報資産の管理並びに運用を行うための部屋(以下「管理区域」という。)は、水害対策及び確実な入退室管理を行うために、地階又は1階に設けてはならない。また、外部からの侵入が容易にできないように無窓の外壁等に囲まれた管理区域としなければならない。 |
| | | | (イ) | 管理区域から外部に通ずるドアは1ヵ所のみとし、バイオメトリックス認証等監視機能、鍵、警報装置等によって許可されていない立入りを防止しなければならない。 |
| | | | (ウ) | 管理区域には、ビデオカメラ等の監視機能を設置しなければならない。 |
| | | | (エ) | 管理区域内の機器類は、耐震対策を講じた場所に設置するとともに、防火装置等を施さなければならない。なお、管理区域内の機器類の配置は、緊急時に職員等が円滑に避難できるように考慮しなければならない。 |
| | | | (オ) | 管理区域を囲む外壁等の床下開口部は全て塞がなければならない。 |
| | | | (カ) | 消火剤は機器及び記録媒体に影響を与えるものであってはならない。 |
| | | イ | 管理区域の入退室管理 |
| | | | 管理区域の入退室は許可された者のみとし、ICカード等による入退室管理又は入退室管理簿の記載を行い、職員等及び外部委託業者は身分証明書等を携帯し、求めにより提示しなければならない。 |
| | | ウ | 機器等の搬入場所 |
| | | | (ア) | 管理区域へ機器等を搬入する場合は、あらかじめ当該機器等の既存情報システムに対する安全性について、職員による確認を行わなくてはならない。 |
| | | | (イ) | 機器等の搬入には職員が同行する等の必要な措置を施さなければならない。 |
| | (3) | ネットワーク |
| | | | (ア) | 外部へのネットワーク接続は必要最低限のものに限定し、できる限り接続ポイントを減らさなければならない。 |
| | | | (イ) | 特に行政系のネットワークは総合行政ネットワークに集約するように努めなければならない。 |
| | | | (ウ) | ネットワークに使用する回線は、転送途上において破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策が実施されたものでなければならない。 |
| | (4) | 職員等の端末等 |
| | | | (ア) | 執務室等に職員等がいない場合は、執務室等の施錠等による盗難防止のための措置を施さなければならない。また、電源投入後、OSが作動する前の段階において、画面に「産山村」と明確なサイズで5秒以上写し出されるようBIOSを設定しなければならない。 |
| | | | (イ) | 情報システムの執務室等の端末については、盗難防止のためのワイヤーによる固定等、盗難防止のための物理的措置を施さなければならない。また、配線等から放射される電磁波により重要な情報資産が外部に漏洩することがないよう措置しなければならない。 |
| 5 | 人的セキュリティ |
| | (1) | 役割・責任 |
| | | ア | 最高情報セキュリティ責任者(CISO:Chief Information Security Officer) |
| | | | 産山村総務課長を、産山村における全てのネットワーク、情報システム、情報資産の管理及び情報セキュリティに関する最終決定権限及び責任を有する。 |
| | | イ | ネットワーク管理者 |
| | | | (ア) | 産山村職員(一時的に産山村における公務員身分を取得した者を除く。)のうち、情報通信ネットワーク技術に関する高度な専門知識と高い公務員倫理を有する者を、最高情報統括責任者直属のネットワーク管理者とする。 |
| | | | | ネットワーク管理者は、最高情報統括責任者を補佐しなければならない。 |
| | | | (イ) | ネットワーク管理者は、産山村の全てのネットワークにおける開発、設定の変更、運用、更新等を行う権限及び責任を有する。 |
| | | | (ウ) | ネットワーク管理者は、産山村の全てのネットワークにおける情報セキュリティに関する権限及び責任を有する。 |
| | | | (エ) | ネットワーク管理者は、統括情報セキュリティ担当者、情報セキュリティ担当者、情報システム管理者及び情報システム担当者に対して情報セキュリティに関する指導及び助言を行う権限を有する。 |
| | | | (オ) | ネットワーク管理者は、産山村の情報資産に対する侵害又は侵害のおそれがある場合には、最高情報統括責任者の指示に従い、最高情報統括責任者が不在の場合には自らの判断に基づき必要かつ十分な全ての措置を行う権限及び責任を有する。 |
| | | | | この場合、全ての職員等はネットワーク管理者の指示に従わなければならない。 |
| | | | (カ) | ネットワーク管理者は、産山村の全てのネットワーク、情報システム及び情報資産に関する情報セキュリティ実施手順の維持・管理を行い、緊急時対応計画に基づく訓練を実施する。 |
| | | ウ | 統括情報セキュリティ担当者 |
| | | | (ア) | 内部課局の長、各行政委員会事務局の長、公営企業の担当課長を、その課局等の情報セキュリティに関する総括的な権限及び責任を有する統括情報セキュリティ担当者とする。 |
| | | | (イ) | 統括情報セキュリティ担当者は、所掌に属する部局等における情報セキュリティに関する統括的な権限及び責任を有する。 |
| | | | (ウ) | 統括情報セキュリティ担当者は、所掌に属する課局等において担当している情報システムの追加・変更の承認等を行う。 |
| | | | (エ) | 統括情報セキュリティ担当者は、所掌に属する部局等において担当している情報システムの連絡体制の構築並びに情報セキュリティポリシーの遵守に関する意見の集約及び職員等に対する教育、訓練、助言及び指示を行う。 |
| | | エ | 情報セキュリティ担当者 |
| | | | (ア) | 内部の課室長、出先機関の長、各行政委員会事務局の長、公営企業担当課長を、その所管組織の情報セキュリティに関する権限及び責任を有する情報セキュリティ担当者とする。 |
| | | | (イ) | 情報セキュリティ担当者は、統括情報セキュリティ担当者の下、所管組織内における情報セキュリティポリシーの遵守に関する権限と責任を有する。 |
| | | | (ウ) | 情報セキュリティ担当者は、所掌に属する課室等における情報資産に対する侵害又は侵害の恐れのある場合には、最高情報統括責任者及びネットワーク管理者へ速やかに報告を行い指示を仰がなければならない。 |
| | | | | この場合、最高情報統括責任者及び、ネットワーク管理者に報告した後、速やかに統括情報セキュリティ担当者に報告しなければならない。 |
| | | オ | 情報システム管理者 |
| | | | (ア) | 各情報システムの担当課室長等を当該情報システムに関する情報システム管理者とする。 |
| | | | (イ) | 情報システム管理者は、所管する情報システムにおける開発、設定の変更、運用、更新等を行う権限及び責任を有する。 |
| | | | (ウ) | 情報システム管理者は、情報システムにおける情報セキュリティに関する権限及び責任を有する。 |
| | | | (エ) | 情報システム管理者は、担当する情報システムに係る情報セキュリティ実施手順の維持・管理を行う。 |
| | | カ | 情報システム管理者 |
| | | | 情報システム管理者は、担当する情報システムに関して、情報システム管理者の指示等に従い、開発、設定の変更、運用、更新等の作業を行う。 |
| | | キ | 産山村情報化推進委員会 |
| | | | 産山村の情報セキュリティの維持管理を統一的な視点で行うため、情報化推進委員会において、情報セキュリティポリシー、情報セキュリティ実施手順等の策定など、情報セキュリティに関する重要な事項を審議する。 |
| | | | また、産山村情報化推進委員会は、情報セキュリティに対する意識を醸成し保つため、幹部をはじめとした全ての職員等が情報セキュリティの重要性を認識し、ポリシーを理解し実践するために必要な教育・訓練等を計画的に実施する。 |
| | | | 特に、緊急時対応計画の策定及び見直しを行い、ネットワーク管理者に緊急時対応計画に基づく訓練を実施させ、実際に情報資産の漏洩等の事故が発生した場合に即応できるように体制を整えなければならない。 |
| | | ク | 職員 |
| | | | (ア) | 情報セキュリティ対策の遵守義務 |
| | | | | 全ての職員は、情報セキュリティポリシー及び職員向け実施手順に定められている事項を遵守しなければならない。 |
| | | | | 情報セキュリティ対策について不明な点、遵守することが困難な点等については、速やかに情報セキュリティ担当者に相談し、指示等を仰がなければならない。 |
| | | | (イ) | その他 |
| | | | | ・全ての職員は、使用する端末や記録媒体について、第三者に使用させること、又は許可なく情報資産を閲覧されることがないように、適切な措置を施さなければならない。 |
| | | | | ・全ての職員は、情報セキュリティ担当者の許可を得ず、端末機を執務室外に持ち出してはならない。 |
| | | | | ・全ての職員は、異動、退職等により業務を離れる場合には、知り得た情報資産を秘匿しなければならない。 |
| | | ケ | 非常勤及び臨時職員 |
| | | | (ア) | 情報セキュリティ対策の遵守義務 |
| | | | | ・全ての非常勤及び臨時職員は、情報セキュリティポリシー及び職員向け実施手順に定められている事項を遵守しなければならない。 |
| | | | | ・情報セキュリティ対策について不明な点、遵守することが困難な点等については、速やかに情報セキュリティ担当者に相談し、指示等を仰がなければならない。 |
| | | | (イ) | 非常勤及び臨時職員の雇用及び契約 |
| | | | | ・非常勤及び臨時職員には、雇用及び契約時に必ず情報セキュリティポリシーのうち、非常勤及び臨時職員が守るべき内容を理解させ、また実施及び遵守させなければならない。 |
| | | | | ・非常勤及び臨時職員には、雇用及び契約の際、必要な場合は情報セキュリティポリシーを遵守する旨の同意書への署名を求めるものとする。 |
| | | | | ・非常勤及び臨時職員に端末による操作を行わせる場合においては、インターネットへの接続及び庁内LANのメールの使用が不要の場合には、これを利用できないように設定しなければならない。 |
| | | | (ウ) | その他 |
| | | | | ・全ての非常勤及び臨時職員は、使用する端末や記録媒体について、第三者に使用されること又は許可なく情報資産を閲覧されることがないように、適切な措置を施さなければならない。 |
| | | | | ・全ての非常勤及び臨時職員は、情報セキュリティ担当者の許可を得ず、端末等を執務室外に持ち出してはならない。 |
| | | | | ・全ての非常勤及び臨時職員は、異動、退職等により業務を離れる場合には、知り得た情報資産を秘匿しなければならない。 |
| | | コ | 外部委託に関する管理 |
| | | | (ア) | ネットワーク及び情報システムの開発・保守を外部委託業者に発注する場合は、外部委託業者から再委託を受ける事業者も含めて、下記事項を明記した契約を締結しなければならない。 |
| | | | | ・情報セキュリティポリシー及び情報セキュリティ実施手順の遵守 |
| | | | | ・業務上知り得た情報の守秘義務 |
| | | | | ・提供された情報の目的外利用及び受託業者以外の者への提供の禁止 |
| | | | | ・提供された情報の返還義務 |
| | | | | ・産山村に対する報告義務 |
| | | | | ・産山村による定期的な報告徴収、監査・検査の実施 |
| | | | | ・従業員に対する教育の実施 |
| | | | | ・情報セキュリティポリシー遵守のために構築する体制 |
| | | | | ・情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等) |
| | | | | 特に、重要性分類I以上の情報資産に関しては、情報システムにおける取扱いのみでなく、データバックアップのための外部施設等への搬送時においても情報資産を暗号化したうえで盗難、不正コピー等の防止を厳重に実施する旨を契約書に明記しなければならない。 |
| | (2) | 教育・訓練 |
| | | ア | 最高情報統括責任者は、説明会の実施等により幹部を含め全ての職員等及び関係するものに対し情報セキュリティポリシーについての啓発をしなければならない。また、新規採用の職員等を対象とする情報セキュリティポリシーに関する研修を設けなければならない。 |
| | | | 情報セキュリティポリシーに関する教育・訓練プログラムは、情報化推進委員会で承認されたものを使用する。 |
| | | | また、最高情報統括責任者は、一般職員とは別に、ネットワーク管理者、統括情報セキュリティ担当者、情報セキュリティ担当者、情報システム管理者及び情報システム担当者に対して、それぞれの役割、情報セキュリティに関する理解度等に応じた研修を実施しなければならない。 |
| | | イ | ネットワーク管理者は、最新の技術力を維持するための研修を常に受けなければならない。 |
| | | | ネットワーク管理者は、緊急時対応を想定した訓練を職員等に計画的に行わせなければならない。訓練の計画に当たっては、ネットワーク及び各情報システムの規模等を考慮し、訓練実施の範囲等を適宜定めることとする。また、効果的に実施できるように計画を立てることとする。 |
| | | ウ | 情報システム管理者及び情報システム担当者は、情報システムに関する研修を受けなければならない。 |
| | | エ | 職員等は、定められた研修に参加し情報セキュリティポリシー及び実施手順を理解し、情報セキュリティ上の問題が生じないようにしなければならない。 |
| | (3) | 事故、欠陥に対する報告 |
| | | ア | 職員等は、情報セキュリティに関する事故、システム上の欠陥及び誤動作を発見した場合には、速やかにネットワーク管理者に報告し、ネットワーク管理者の指示に従い必要な措置を講じなければならない。また、別途、職員等は、情報セキュリティ担当者に報告し、情報セキュリティ担当者は、報告のあった事故等について全て最高情報統括責任者及び統括情報セキュリティ担当者に報告しなければならない。 |
| | | イ | 職員等は、産山村が管理するネットワーク及び情報システムに関する事故、欠陥に関する住民からの報告・連絡を受けた場合には、速やかにネットワーク管理者に報告し、ネットワーク管理者の指示に従い必要な措置を講じなければならない。また、別途、職員等は、情報セキュリティ担当者に報告し、情報セキュリティ担当者は、報告のあった事故等について全て最高情報統括責任者及び統括情報セキュリティ担当者に報告しなければならない。 |
| | | ウ | ネットワーク管理者は、これらの事故等を分析し、再発防止のための情報資産として記録を保存しなければならない。 |
| | (4) | アクセスのための認証情報及びパスワードの管理 |
| | | ア | ICカードの管理 |
| | | | 職員等は、自己の管理するICカードに関し、次の事項を遵守しなければならない。 |
| | | | ・ICカード等の認証に用いるカード類は、職員等間で共有してはならない。 |
| | | | ・ICカード等は、カードリーダ又は端末のスロット等に常時挿入してはならない。 |
| | | | ・職員等はICカード等を紛失した場合には、速やかにネットワーク管理者及び情報システム管理者に通報し、指示を仰がなければならない。 |
| | | | ・ネットワーク管理者及び情報システム管理者は通報があり次第速やかに当該ICカード等を使用したアクセス等を停止しなければならない。 |
| | | イ | パスワードの管理 |
| | | | 職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。 |
| | | | ・パスワードを秘密にし、パスワードの照会等には一切応じないこと。 |
| | | | ・パスワードのメモを作らないこと。 |
| | | | ・パスワードの長さは十分な長さとし、文字列は想像しにくいものとすること。 |
| | | | ・情報システム又はパスワードに対する危険の恐れがある場合には、パスワードを速やかに変更すること。 |
| | | | ・パスワードは定期的に、又はアクセス回数に基づいて変更し、古いパスワードの再利用はしないこと。管理者用パスワードはさらにこのサイクルを頻繁にしなければならない。 |
| | | | ・複数の情報システムを扱う職員等は、パスワードをシステム間で共有しないこと。 |
| | | | ・仮のパスワードは、最初のログイン時点で変更すること。 |
| | | | ・端末にパスワードを記憶させないこと。必要に応じて暗号化等を行うことによって他者がパスワードを読めないようにすること。 |
| | | | ・職員等間でパスワードを共有しないこと。 |
| 6 | 技術的セキュリティ |
| | (1) | ネットワーク、情報システム及び情報資産の管理 |
| | | 情報資産の重要性分類に従ってネットワーク、情報システム及び情報資産を以下のとおり管理する。 |
| | | ア | I及びII |
| | | | ・ネットワーク管理者及びシステム管理者は、アクセス記録及び情報セキュリティの確保に必要な記録を全て取得し、盗難、改ざん、消去等を防止する措置を施したうえで一定期間保存しなければならない。また、定期的にそれらを分析、監視しなければならない。 |
| | | | ・ネットワーク管理者及び情報システム管理者は、ネットワーク構成図、情報システム仕様書等に関し、記録媒体の形態に関わりなく適切な保管をしなければならない。 |
| | | | ・情報システム管理者は、所管する重要性分類I以上の情報資産を最高情報統括責任者が定めた暗号により暗号化しなければならない。また、重要性分類II以上の情報資産を外部へ送信又は搬出する際には、最高情報統括責任者が定めた電子署名方式及び暗号を使用しなければならない。 |
| | | | ・緊急時に直ちに対処できるようにするため、最高情報統括責任者が定めた特に重要な情報システムは、ミラーリングにより常時バックアップしなければならない。また、最高情報統括責任者が定めた重要なネットワーク及び情報システムは、システムを二重化しなければならない。 |
| | | | ・ネットワーク管理者及び情報システム管理者は、ミラーリング及び二重化したネットワーク及び情報システムの動作検証を少なくとも四半期ごとに行わなければならない。 |
| | | | ・情報システム管理者は、情報システムのミラーリング等に関わりなく情報資産の重要度に応じて期間を設定し、定期的に情報資産のバックアップ用の複製を取らなければならない。 |
| | | | ・ネットワーク管理者及び情報システム管理者は、所管するシステムのディスクフォーマット及びOSの再インストールを少なくとも四半期毎に行わなければならない。 |
| | | | ・ネットワーク管理者は、職員等が送信等により情報資産を外部に持ち出すことが不可能となるように、システム上制限しなければならない。 |
| | | | ・情報システム管理者は、閲覧権限がない職員等が所管するシステムにアクセスすることが不可能となるように、システム上制限しなければならない。 |
| | | | ・汎用受付システム等、外部の者が利用できるシステムにおいては、必要に応じ他のネットワーク及び情報システムと物理的に分ける等、情報セキュリティ対策について特に強固に対策をとらなければならない。 |
| | | イ | III及びIV |
| | | | ・原則、重要性分類II以上に分類される情報資産の管理に準拠するが、重要性分類III以下の情報資産は公開を前提としているため、この範囲において基準を緩和することができる。ただし、Webサイトにより情報を公開・提供する場合には、当該サイトに係るシステムにおいて盗難、改ざん、消去、踏み台、Dos等を防止しなければならない。また、メールシステム等においても、他のシステムに対する攻撃の踏み台とならないように適切な管理を実施しなければならない。 |
| | (2) | ネットワーク及び情報システムを使用する際の規定 |
| | | ア | 業務目的以外の使用の原則禁止 |
| | | | 職員等によるネットワーク及び情報システム資源の使用は、業務目的に沿ったもののみが許可される。業務目的以外での情報システムへのアクセス、メールアドレスの使用及びインターネットへのアクセスを行ってはならない。 |
| | | イ | 情報資産の持ち出し及びインターネット等による情報資産の送信禁止職員等は、重要性分類上II以上に該当する情報資産を取り扱う場合、下記の行為を行ってはならない。特に、重要性分類II以上に該当する情報資産のインターネットへの自動転送は厳禁する。 |
| | | | ・庁外への持ち出し |
| | | | ・インターネット等による庁外との送受信 |
| | | | ・個人の所有する情報が記録された媒体の管理区域への持ち込み |
| | | | ただし、情報資産のバックアップ等、合理的理由のある場合、かつ最高情報統括責任者の事前の了解を得た場合に限り、庁外への持ち出し又は庁外との送受信ができるものとする。 |
| | | ウ | 無許可ソフトウエアの導入禁止 |
| | | | 職員等は、各自に共用された端末等に対して、最高情報統括責任者が定める以外のソフトウエアの導入を行ってはならない。特にネットワーク上の情報資産を盗聴するような監視ソフトウエアやネットワークの状態を探索するセキュリティ関連のソフトウエア及びハッキングソフトウエアの使用は厳禁し、導入又は使用した職員等は地方公務員法による懲戒処分の対象とする。ただし、業務を円滑に遂行するために必要なソフトウエアについては、合理的理由のある場合、かつネットワーク管理者及び情報システム管理者の事前の了解を得た場合に限り、利用することができる。 |
| | | エ | 機器構成の変更の禁止 |
| | | | 職員等は、各自に共用された端末等に対して機器の増設又は改造を行ってはならない。特にモデム等の機器を増設して他の環境(インターネット等)へのネットワーク接続を行うことや、庁外からのアクセスを可能とする仕組みを構築した職員等は地方公務員法による懲戒処分の対象とする。ただし、業務を円滑に遂行するための合理的理由がある場合、かつネットワーク管理者及び情報システム管理者の事前の了解を得た場合に限り、機器の増設又は変更を行うことができる。 |
| | | オ | 情報及びソフトウエアの交換 |
| | | | 組織間において、情報システムに関する情報及びソフトウエアを交換する場合は、その取扱いに関する事項をあらかじめ定め、ネットワーク管理者及び統括情報セキュリティ担当者の許可を得なければならない。 |
| | | カ | メール |
| | | | ・メールの容量は5MBを上限とし、5MBを超えるメールの送受信を不可能としなければならない。 |
| | | | ・職員等が使用できるメールボックスの容量は20MBを上限とし、20MBを超えた場合には職員等が自らメールを削除し、メールの総量が20MB未満になるまで一時的にメールの使用を停止するような設定を施さなければならない。 |
| | | キ | 文書サーバ |
| | | | ・職員等が使用できる文書サーバの容量は職員等1人当たり平均1GB以上とする。 |
| | | | ・文書サーバは課室等単位で構成し、他課室等のフォルダ及びファイルを閲覧及び使用できないような設定を施さなければならない。 |
| | | | ・同一課室等であっても、住民の個人情報、人事記録等特定の職員等しか取扱えないデータについては、別途ディレクトリを作成し、担当職員等以外の職員等が閲覧及び使用できないような設定を施さなければならない。 |
| | | ク | 情報システムの入出力データ |
| | | | ・情報システムに入力されるデータは、適切なチェック等を行い、それが正確であることを確実にするための対策を施さなければならない。 |
| | | | ・エラー又は故意の行為により情報が改ざんされる恐れがある場合、これを検出する手段を講じなければならない。 |
| | | | また、改ざんの有無を検出し、必要な場合は情報の修復を行う手段を講じなければならない。 |
| | | | ・情報システムから出力されるデータは、保存された情報の処理が正しく反映され、出力されることを確保しなければならない。 |
| | | ケ | その他 |
| | | | 職員等が利用できるプロトコルは、業務上必要最低限のものとする。 |
| | (3) | アクセスの制御 |
| | | ア | 利用者登録 |
| | | | ネットワーク管理者及び情報システム管理者は、利用者の登録、変更、抹消、登録した情報資産の管理、異動や産山村外への出向等の職員等及び退職者における利用者IDの取扱い等については、定められた方法に従って行わなければならない。 |
| | | | 必要な利用者登録・変更は、ネットワーク管理者又は情報システム管理者に対する申請により行う。 |
| | | イ | 管理者権限 |
| | | | (ア) | ネットワークの管理者権限は、1人の者に与え厳重に管理しなければならない。 |
| | | | | ネットワーク管理者の権限を代行する者は、ネットワーク管理者が指名し、最高情報統括責任者が認めた者でなければならない。代行者を認めた場合、最高情報統括責任者は速やかに統括情報セキュリティ担当者、情報セキュリティ担当者及び情報システム管理者に周知しなければならない。 |
| | | | (イ) | 情報システムの管理者権限は、必要最小限の者に与え、厳重に管理しなければならない。 |
| | | | | 情報システム管理者の権限を代行する者は、情報システム管理者が指名し、最高情報統括責任者が認めた者でなければならない。代行者を認めた場合、最高情報統括責任者は速やかにネットワーク管理者、統括情報セキュリティ担当者及び情報セキュリティ担当者に周知しなければならない。 |
| | | ウ | インターネット以外のネットワークにおけるアクセス制御 |
| | | | ネットワーク管理者は、アクセス可能なネットワーク又はネットワーク上のサービス毎にアクセス出来る者を定めなければならない。 |
| | | | ネットワーク管理者及び情報システム管理者は、ネットワークサービスを使用する権限を有しない職員等が当該サービスを使用できるようにしてはならない。 |
| | | エ | 強制的な経路制御 |
| | | | ネットワーク管理者は、不正アクセスを防止するため、適切なネットワーク経路制御を施さなければならない。 |
| | | オ | 外部からのアクセス |
| | | | (ア) | 外部からのアクセスの許可は、必要最低限にしなければならない。 |
| | | | | 外部からのアクセスを認める場合には、内部のネットワーク及び情報システムとの間にIPリーチャビリティが発生しないように機器を構成しなければならない。 |
| | | | | アクセス方法及び使用方法等は、利用者の真正性の確保が確定できるものでなければならない。 |
| | | | (イ) | モバイル端末による内部のネットワーク及び情報システムに対するアクセスは、合理的理由を有し、かつネットワーク管理者が定める必要最小限度の者に限定しなければならない。 |
| | | カ | 総合行政ネットワーク及び住民基本台帳ネットワークシステムとの接続 |
| | | | 総合行政ネットワーク及び住民基本台帳ネットワークシステムについては、当該接続において取り扱う情報資産の重要性を考慮し、適切なアクセス制御を実施する。 |
| | | キ | 外部ネットワークとの接続 |
| | | | (ア) | 外部ネットワークとの接続にあたり、当該外部ネットワークのネットワーク構成、機器構成、セキュリティレベル等を詳細に検討し、産山村の全てのネットワーク、情報システム及び情報資産に影響が生じないと明確に確認したうえで、最高情報統括責任者及びネットワーク管理者の許可に基づき接続しなければならない。 |
| | | | | その利用はネットワーク管理者の適切な管理下で行い、接続に際しては情報セキュリティに留意したネットワーク構成を採らなければならない。 |
| | | | | この場合、当該外部ネットワークの瑕疵により産山村のデータの漏洩、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。 |
| | | | (イ) | 接続した外部ネットワークのセキュリティに問題が認められ、産山村の情報資産に脅威が生じることが想定される場合には、ネットワーク管理者の判断に従い速やかに当該外部ネットワークを物理的に遮断しなければならない。 |
| | | ク | 自動識別 |
| | | | 産山村で使用されるネットワーク機器については、機器固有情報によってアクセスの可否を自動的に判別しなければならない。 |
| | | ケ | ログイン手順 |
| | | | ログイン手順中におけるメッセージ及びログイン試行回数の制限、アクセスタイムアウトの設定、ログイン・ログアウト時刻の表示等、正当なアクセス権を持つ職員等がログインしたことを確認することができる手順を定めなければならない。 |
| | | コ | パスワードの管理方法 |
| | | | (ア) | ネットワーク管理者又は情報システム管理者は、職員等のパスワードに関する情報を厳重に管理しなければならない。職員等のパスワードを発行する場合は、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。 |
| | | | (イ) | ネットワーク管理者又は情報システム管理者は、パスワードの変更を行わない職員等にパスワードを変更する旨勧告し、当該職員等が勧告に従わない場合には速やかに当該職員等のアクセス権を一定期間経過後に停止しなければならない。 |
| | | | (ウ) | ネットワーク管理者又は情報システム管理者は、当該職員等からパスワード変更の申告があり次第当該職員等のアクセス権の停止を解除するものとする。 |
| | | | (エ) | ネットワーク管理者及び情報システム管理者は、職員等のパスワードについて、定期的にその妥当性について調査を行わなければならない。 |
| | | | (オ) | ネットワーク管理者及び情報システム管理者は第三者に読まれることのないよう、暗号化等パスワードを扱う方法を定めなければならない。 |
| | | サ | 接続時間の制限 |
| | | | 管理者権限によるネットワーク及び情報システムへの接続については、必要最小限度の接続時間に制限しなければならない。 |
| | (4) | システム開発、導入、保守等 |
| | | ア | 情報システムの調達 |
| | | | (ア) | 高情報統括責任者は対応ソフトウエアの開発、変更及び運用についての手順及び基準を明らかにしなければならない。 |
| | | | (イ) | 最高情報統括責任者は機器及び基本ソフトウエアの導入、保守及び撤去についての手順及び基準を明らかにしなければならない。 |
| | | | (ウ) | ネットワーク管理者及び情報システム管理者は、情報システムの調達にあっては、一般に公開する調達仕様書が情報セキュリティ確保の上で問題のないようにしなければならない。 |
| | | | (エ) | ネットワーク管理者及び情報セキュリティ管理者は、機器及びソフトウエアを購入等する場合は、当該製品が情報セキュリティ上問題にならないかどうか、確認しなければならない。 |
| | | イ | ネットワーク及び情報システムの更新 |
| | | | ネットワーク管理者及び情報システム管理者は、ネットワーク及び情報システムを更新するに当たり、更新の内容、必要性、計画等を文書にして最高情報統括責任者に提出し承認を得なければならない。ネットワーク及びシステムの移行は、擬似環境による動作確認後に行わなければならない。移行の際にはシステムに記録されている情報資産の保存を確実に行い、復帰が即座に可能な状態にしておき、原則として執務時間外に行わなければならない。また、作業を行う際には、職員2名以上で互いに確認しながら実施するとともに、作業内容を記録しなければならな |
| | | ウ | 情報システムの開発及び導入 |
| | | | (ア) | 最高情報統括責任者はシステム開発及び保守時の事故・不正行為対策のため、次の事項を定めなければならない。 |
| | | | | ・責任者及び監督者 |
| | | | | ・作業者及び作業範囲 |
| | | | | ・システム開発及び保守等の事故・不正行為に係るリスク分析 |
| | | | | ・開発・保守するシステムと運用システムとの分離 |
| | | | | ・開発・保守に関するソースコードの提出 |
| | | | | ・開発・保守の際のセキュリティ上問題となりうる恐れのあるOS、ミドルウエア及びアプリケーションソフトの使用禁止 |
| | | | | ・開発・保守の際のアクセス制限 |
| | | | | ・機器の搬出入の際の、情報システム管理者の許可及び確認 |
| | | | | ・開発・保守記録の提出義務 |
| | | | | ・マニュアル等の定められた場所への保管 |
| | | | | ・開発・保守を行った者の利用者ID、パスワード等の当該開発・保守終了後に不要となった時点での速やかな抹消 |
| | | | | ・守秘義務 |
| | | | | ・再委託管理 |
| | | | (イ) | 情報システム管理者はシステム開発及び保守時の事故、不正行為対策のため、次の事項を実施しなければならない。 |
| | | | | ・責任者及び監督者 |
| | | | | ・作業者及び作業範囲 |
| | | | | ・システム開発及び保守等の事故・不正行為に係るリスク分析 |
| | | | | ・開発・保守するシステムと運用システムとの分離 |
| | | | | ・開発・保守に関するソースコードの提出 |
| | | | | ・開発・保守の際のセキュリティ上問題となりうる恐れのあるOS、ミドルウエア及びアプリケーションソフトの使用禁止 |
| | | | | ・開発・保守の際のアクセス制限 |
| | | | | ・機器の搬出入の際の、情報システム管理者の許可及び確認 |
| | | | | ・開発・保守記録の提出義務 |
| | | | | ・マニュアル等の定められた場所への保管 |
| | | | | ・開発・保守を行った者の利用者ID、パスワード等の当該開発・保守終了後に不要となった時点での速やかな抹消 |
| | | | | ・守秘義務 |
| | | | | ・再委託管理 |
| | | エ | システムの導入 |
| | | | (ア) | 情報システム管理者は、新たなシステムを導入する際には、既に稼働しているシステムに接続する前に十分な試験を行わなければならない。 |
| | | | (イ) | 情報システム管理者は、試験に使用したデータ及びその結果を最高情報統括責任者及びネットワーク管理者へ提出するとともに厳重に保管しなければならない。 |
| | | オ | ソフトウエアの保守及び更新 |
| | | | ソフトウエア(独自開発ソフトウエア及び汎用ソフトウエア)等を更新、又は修正プログラムを導入する場合は、不具合及び他のシステムとの相性の確認を行い、計画的に更新し又は導入しなければならない。 |
| | | | 情報システム管理者は、情報セキュリティに重大な影響を及ぼす不具合に対する修正プログラムについて、速やかな対応を行うこととし、その他のソフトウエアの更新等については、計画的に実施しなければならない。 |
| | | カ | システムの受託事業者への規定 |
| | | | (ア) | 新たなシステムの開発を外部の事業者に委託する場合は、ソースコードの提出を求め、再委託契約を行う際には再委託先について総務課において経営状況等、契約履行が可能であるか確認をとり、導入前の検査要求事項等を契約に定めなければならない。 |
| | | | (イ) | 信頼のおける事業者に委託するために、必要な資格等を定めなければならない。 |
| | | | (ウ) | 情報システム管理者は、作業中に身分証明書の提示を事業者に求め、契約で定められた資格を有するものが作業に従事しているか確認を行わなければならない。 |
| | | | | また、守秘のための契約を事業者と結ばなければならない。 |
| | | キ | 機器の修理及び廃棄 |
| | | | (ア) | 記憶媒体の含まれる機器について、外部の事業者に修理させ又は廃棄する場合は、その内容が消去された状態で行わなければならない。 |
| | | | (イ) | 故障を外部の事業者に修理させる際、情報資産を消去することが難しい場合は、修理を委託する事業者に対し秘密を守ることを契約に定めなければならない。また重要な機器については、復元不可能な廃棄を行わなければならない。 |
| | | ク | 管理記録 |
| | | | ネットワーク管理者及び情報システム管理者は、担当するシステムにおいて行ったシステム変更等の作業については、記録を作成し適切に管理を行わなければならない。 |
| | (5) | コンピュータウイルス対策 |
| | | ア | 無許可ソフトウエアの導入は禁止する。 |
| | | イ | 外部ネットワークから情報又はソフトウエアを取り入れる際には、FW段階でウイルスチェックを行うとともに、サーバ側、端末側においてもウイルスチェックを行わなければならない。 |
| | | ウ | 外部のネットワークへ情報又はソフトウエアを送信する際にもFW段階でウイルスチェックを行い外部へウイルスが拡散することを未然に防止しなければならない。 |
| | | エ | ネットワーク管理者は、次の事項を実施しなければならない。 |
| | | | ・ウイルス情報について職員等に対する注意喚起を行うこと。 |
| | | | ・常時ウイルスに関する情報収集に努めること。 |
| | | | ・サーバ及び端末において、ウイルスチェックを行うこと。 |
| | | | ・ウイルスチェック用のパターンファイルは常に最新のものに保つこと。 |
| | | オ | 情報システム管理者は、次の事項を実施しなければならない。 |
| | | | ・サーバ及び端末において、ウイルスチェックを行うこと。 |
| | | | ・ウイルスチェック用のパターンファイルは常に最新のものに保つこと。 |
| | | カ | 職員等は、次の事項を遵守しなければならない。 |
| | | | ・外部からデータ又はソフトウエアを取り入れる場合には、必ずウイルスチェックを行うこと。 |
| | | | ・差出人が不明又は不自然に添付されたファイルは速やかに削除すること。 |
| | | | ・ウイルスチェックの実行を途中で止めないこと。 |
| | | | ・ネットワーク管理者が提供するウイルス情報を常に確認すること。 |
| | | | ・添付ファイルのあるメールを送受信する場合は、ウイルスチェックを行うこと。 |
| | | キ | ネットワーク管理者及び情報システム管理者は、職員等から報告のあった情報、システムの障害に対する処理又は問題等は障害記録として体系的に記録し、常に活用できるよう保存しなければならない。 |
| | (6) | 不正アクセス対策 |
| | | ア | ネットワーク管理者は、次の事項を実施しなければならない。 |
| | | | ・使用終了若しくは使用される予定のないポートを長時間空けた状態のままにしてはならない。 |
| | | | ・サーバのOSは四半期に1回以上ディスクをフォーマットしたうえで再インストールしなければならない。 |
| | | | 再インストールのためのシステム停止は執務時間外とする。 |
| | | | ・セキュリティホールの発見に努め、メーカー等からパッチの提供があり次第速やかにパッチをあてなければならない。 |
| | | | ・不正アクセスによるウェブページ書換防止を確実にするために、担当職員等によるものであるか否かに関わりなくデータの書換を検出し、ネットワーク管理者及び情報システム管理者へ通報する設定を施さなければならない。 |
| | | | ・重要なシステムの設定に係るファイル等について、定期的に当該ファイルの改ざんの有無を検査すること。 |
| | | イ | 攻撃を受けることが明確な場合には、ネットワーク管理者はシステムの停止を含む必要な措置を講じなければならない。 |
| | | | また、関係機関との連絡を密にして情報の収集に努めなければならない。 |
| | | ウ | 攻撃を受け、当該攻撃が不正アクセス禁止法違反等犯罪の可能性がある場合には記録の保存に努めるとともに、警察・関係機関との緊密な連携に努めなければならない。 |
| | | エ | 攻撃の可能性が明確であるにもかかわらず職員等の怠惰が原因でデータの漏洩、破壊、改ざん又はシステムダウン等により行政業務に深刻な影響をもたらした場合、当該職員等を地方公務員法による懲戒の対象とする。 |
| | | オ | 職員等による不正アクセスがあった場合、ネットワーク管理者又は情報システム管理者は当該職員等が所属する課室等の情報セキュリティ担当者に通知し、適切な処理を求めなければならない。 |
| | | | 職員等による不正アクセスの結果、データの漏洩、破壊、改ざん又はシステムダウン等により行政業務に深刻な影響をもたらした場合、当該職員等を地方公務員法による懲戒の対象とし、悪質な場合には刑事告発の対象とする。 |
| | (7) | セキュリティ情報の収集 |
| | | | (ア) | ネットワーク管理者は、情報セキュリティに関する情報を収集し産山村の全てのネットワーク及び情報システムについてソフトウエアにパッチを当てる等、セキュリティ対策上必要な措置を講じなければならない。 |
| | | | (イ) | 最高情報統括責任者は、これらの情報を定期的に取りまとめ、関係部局等に通知するとともに、情報セキュリティポリシーの改定につながる情報については情報化推進委員会に報告しなければならない。 |
| | | | (ウ) | ネットワーク管理者は、緊急時対応計画に定める緊急に連絡すべき情報を入手した場合は当該計画に定める情報連絡先に連絡しなければならない。 |
| 7 | 運用 |
| | (1) | 情報システムの監視 |
| | | | (ア) | セキュリティに関する事案を検知するため、ネットワーク管理者及び情報システム管理者は、常に情報システムの監視を行わなければならない。 |
| | | | (イ) | 外部と常時接続するシステムについては、ネットワーク侵入監視装置を設置し、24時間監視を行わなければならない。 |
| | | | (ウ) | 内部システムについて、アクセスコントロール等を行い、異常な運用等の監視を行わなければならない。 |
| | | | (エ) | 監視により得られた結果については、盗難、改ざん、消去等を防止するために必要な措置を施し、安全な場所に保管しなければならない。また、これらの記録の正確性を確保するため、正確な時刻の設定を行わなければならない。 |
| | (2) | 情報セキュリティポリシーの遵守状況の確認 |
| | | | (ア) | 統括情報セキュリティ担当者及び情報セキュリティ担当者は、情報セキュリティポリシーが遵守されているかどうかについて、また、問題が発生していないかについて常に確認を行い問題が発生していた場合には速やかに最高情報統括責任者及びネットワーク管理者に報告しなければならない。 |
| | | | (イ) | 最高情報統括責任者は速やかに発生した問題に適切に対処しなければならない。 |
| | | | (ウ) | 職員等は、情報セキュリティポリシーの違反が発生した場合は、直ちにネットワーク管理者及び情報セキュリティ担当者に報告を行わなければならない。違反の発生時には、それが直ちに情報セキュリティ上重大な影響を及ぼす可能性があるとネットワーク管理者が判断した場合は、緊急時対応計画に従って連絡を行わなければならない。 |
| | | | (エ) | ネットワーク管理者及び情報システム管理者は、サーバ等のシステム設定が情報セキュリティポリシーを遵守しているかどうかについて、また問題が発生していないかについて定期的に確認を行い、問題が発生していた場合には速やかに適切に対処しなければならない。 |
| | (3) | 運用管理における留意点 |
| | | | (ア) | 最高情報統括責任者は、アクセス記録、メール等個人のプライバシーに係る情報を閲覧できる権限を有する職員を情報セキュリティ実施手順に定めなければならない。ただし、法令で定められた個人情報の保護に関係する情報の閲覧に関しては、当該法令に定められた手続きに従う。 |
| | | | (イ) | 情報セキュリティ担当者は、職員等が常に情報セキュリティポリシー及び実施手順を参照できるよう配慮しなければならない。 |
| | (4) | 侵害時の対応 |
| | | 情報資産への侵害が発生した場合における連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速かつ円滑に実施し、再発防止の措置を講じるために、緊急時対応計画を次のとおり定める。 |
| | | ア | 連絡先 |
| | | | 具体的には、各情報システムごとに情報セキュリティ実施手順に明記する。 |
| | | | ・産山村長 |
| | | | ・最高情報統括責任者 |
| | | | ・ネットワーク管理者 |
| | | | ・情報システム管理者 |
| | | | ・ネットワーク及び情報システムに係る外部委託事業者 |
| | | | ・熊本県企画部情報政策課 |
| | | | ・企画観光課(広報) |
| | | | ・警察 |
| | | | ・関係機関 |
| | | | ・影響が考えられる個人及び法人 |
| | | イ | 事案の調査 |
| | | | セキュリティに関する事案を認めた者は、次の項目について、すみやかにネットワーク管理者に報告しなければならない。 |
| | | | ・症状の分類 |
| | | | ・事案が発生した原因として、想定される行為 |
| | | | ・確認した被害、影響範囲 |
| | | | ・記録 |
| | | | ネットワーク管理者は、事案の詳細な調査を行うとともに、最高情報統括責任者との情報共有及び情報化推進委員会への報告を行わなければならない。 |
| | | ウ | 事案への対処 |
| | | | ネットワーク管理者は、事案に対処するために次の項目を実施しなければならない。 |
| | | | (ア) | ネットワーク管理者は、次の事案が発生した場合、それぞれ定められた連絡先へ連絡しなければならない。 |
| | | | | ・サイバーテロその他の村民に重大な被害が生じる恐れがあるとき(産山村長、最高情報統括責任者、警察、影響が考えられる個人及び法人) |
| | | | | ・不正アクセスその他犯罪と思慮されるとき(産山村長、最高情報統括責任者、警察) |
| | | | | ・踏み台となって他者に被害を与える恐れがあるとき(産山村長、最高情報統括責任者、警察) |
| | | | | ・情報システムに関する被害(情報システム管理者、必要と認められる事業者等) |
| | | | | ・その他情報資産に係る被害(関係部局等) |
| | | | (イ) | ネットワーク管理者は、次の事案が発生し情報資産の防護のためにネットワークの切断がやむを得ない場合は、ネットワークを切断する措置を講ずる。 |
| | | | | ・異常なアクセスが継続しているとき、又は不正アクセスが判明したとき。 |
| | | | | ・システムの運用に著しい支障をきたす攻撃が継続しているとき。 |
| | | | | ・コンピュータウイルス等不正プログラムがネットワーク経由で広がっているとき。 |
| | | | | ・情報資産に係る重大な被害が想定されるとき。 |
| | | | (ウ) | 情報システム管理者は、次の事案が発生し情報資産の防護のために情報システムの停止がやむを得ない場合は、情報システムを停止する。 |
| | | | | ・コンピュータウイルス等不正プログラムが情報資産に深刻な被害を及ぼしているとき |
| | | | | ・災害等により電源を供給することが危険又は困難なとき |
| | | | | ・その他の情報資産に係る重大な被害が想定されるとき |
| | | | (エ) | 個々の端末のネットワークからの切断については、ネットワーク管理者の許可が必要である。ただし、情報資産の被害の拡大を直ちに停止させる必要がある場合には、事後報告とすることができる。 |
| | | | (オ) | 事案に係るシステムのアクセス記録及び現状を保存する。 |
| | | | (カ) | 事案に対処した経過を記録する。 |
| | | | (キ) | 事案に係る証拠保全の実施を完了するとともに、再発防止の暫定措置を検討する。 |
| | | | (ク) | 再発防止の暫定措置を講じた後、復旧する。 |
| | | | (ケ) | 復旧後、必要と認められる期間、再発監視を行う。 |
| | | エ | 再発防止の措置 |
| | | | (ア) | ネットワーク管理者は、当該事案に係るリスク分析を実施し、情報セキュリティポリシー及び実施手順の改善に係る再発防止計画を策定し、情報化推進委員会へ報告しなければならない。 |
| | | | | 情報化推進委員会は、情報セキュリティポリシー及び実施手順の改善に係る再発防止計画が有効であると認められる場合は、これを承認する。 |
| | | | (イ) | ネットワーク管理者は、各種セキュリティ対策の改善に係る再発防止計画を策定し、最高情報統括責任者へ報告しなければならない。最高情報統括責任者は、これらの再発防止計画が有効であると認められる場合は、これを承認し、事案の概要と併せ職員等に周知しなければならない。 |
| | | オ | 外部委託による運用契約 |
| | | | 運用を外部委託する場合は、委託に関する責任を有する部署を明確にするとともに、外部委託事業者に対し必要なセキュリティ要件を記載した契約書による契約を締結しなければならない。 |
| | | | 委託に関する責任を有する部署は、委託先において必要なセキュリティ対策が確保されていることを確認し、その内容をネットワーク管理者に報告するとともに、その重要度に応じて最高情報統括責任者に報告しなければならない。 |
| 8 | 法令遵守 |
| | 職員等は、職務の遂行において使用する情報資産について、次の法令等を遵守しこれに従わなければならない。 |
| | ・不正アクセス行為の禁止等に関する法律(平成11年法律第128号) |
| | ・著作権法(昭和45年法律第48号) |
| 9 | 情報セキュリティに関する違反に対する対応 |
| | 情報セキュリティポリシーに違反した職員等及びその監督責任者に対しては、その重大性、発生した事案の状況等に応じて地方公務員法による懲戒処分の対象とする。 |
| | なお、職員等に情報セキュリティポリシーに違反する行動がみられた場合には、速やかに次の措置を講じなければならない。 |
| | ・ネットワーク管理者が違反を確認した場合は、ネットワーク管理者は当該職員等が所属する課室等の情報セキュリティ担当者に通知し、適切な処理を求めなければならない。 |
| | ・情報システム管理者等が違反を確認した場合は、違反を確認した者は速やかにネットワーク管理者及び当該職員等が所属する課室等の情報セキュリティ担当者に通知し、適切な措置を求めなければならない。 |
| | ・情報セキュリティ担当者の指導によっても改善されない場合、ネットワーク管理者は、当該職員等のネットワーク又は情報システムの使用に関する権利を停止あるいは剥奪することができる。その後速やかに、ネットワーク管理者は、職員等の権利を停止あるいは剥奪した旨を最高情報統括責任者及び当該職員等が所属する課室等の情報セキュリティ担当者に通知しなければならない。 |
| 10 | 評価・見直し |
| | (1) | 監査 |
| | | | (ア) | 情報化推進委員会の内部監査班は、ネットワーク及び情報システムの情報セキュリティについて監査を定期的に行わなければならない。 |
| | | | | なお、ネットワーク管理者及び情報システム管理者は、監査とは別に所管するネットワーク及び情報システムについて点検を実施しなければならない。 |
| | | | | 監査を行う者は、十分な専門的知識を有する者でなければならない。 |
| | | | (イ) | 外部委託事業者に委託している場合、内部監査班は外部委託業者から下請けとして受託している事業者も含めて、情報セキュリティポリシーの遵守について監査を定期的に行わなければならない。 |
| | | | (ウ) | 内部監査班は監査結果をとりまとめ、情報化推進委員会に報告する。情報化推進委員会は、この報告結果を最高情報統括責任者及びネットワーク管理者に通知するとともに、情報セキュリティポリシーの更新の際に参照する情報資産として活用しなければならない。 |
| | (2) | 点検 |
| | | 統括情報セキュリティ担当者は、情報セキュリティポリシーに沿った情報セキュリティ対策が実施されているかどうかについて職員等にアンケート等を行い、また自己点検を行わなければならない。統括情報セキュリティ担当者はこれをとりまとめ、情報化推進委員会に報告する。情報化推進委員会は、この報告結果を情報セキュリティポリシーの更新の際に参照する情報資産として活用することとする。 |
| | (3) | 情報セキュリティポリシーの更新 |
| | | 新たに必要な対策が発生した場合は又は監査の結果及び点検の結果を踏まえ、情報化推進委員会において情報セキュリティポリシーの実効性を評価し、必要な部分を見直し、内容、時期について決定を行う。この決定に基づき、情報セキュリティポリシーの更新を実施する。更新の内容については、情報化推進委員会が決定しなければならない。 |