青森県情報セキュリティ基本方針

Size: px

Start display at page:

Download "青森県情報セキュリティ基本方針"

せぴあさくいし
5 years ago
Views:

1 青森県情報セキュリティ基本方針平成 28 年 8 月 26 日青森県

2 青森県情報セキュリティ基本方針平成 15 年 5 月 2 日制定施行平成 16 年 4 月 1 日一部改正平成 19 年 8 月 30 日一部改正平成 28 年 8 月 26 日一部改正序文青森県では行政の情報化や公共分野における情報通信技術の活用を推進するため必要となる様々な情報システムを運用していますがこれら情報システムが取扱う情報には県民の方々の個人情報や行政運営上重要な情報など外部への漏えいや改ざんにより極めて重大な影響を及ぼす可能性がある情報も多数含まれています情報システムの構築によりこれら重要な情報が漏えいや改ざんといった故意による事件停電や作業員のミスあるいは天災といった偶発的な事故に遭遇する機会は相対的に増えていますこうした事件事故から重要な情報を適切に保護するためには青森県として統一された方針に基づく対策によりそれぞれの情報システムがお互いを補完しあいながら保護することが必要ですこのため青森県は情報資産を適切に保護するための組織としての継続的かつ計画的な取り組みである情報セキュリティマネジメントにより情報を適切に保護し責任を持って管理する青森県情報セキュリティ基本方針 ( 以下本方針という ) を定めます青森県の業務に携わる全ての職員及び青森県から情報関連施策の委託を受けた全ての事業者一人一人が情報セキュリティマネジメントに関する意識を持ち本方針の内容を理解し本方針に定められた対策等を遵守することで青森県が保有する情報資産を適切に保護します - 1 -

3 第 1 章総則 ( 目的 ) 第 1 条本方針は青森県の所有する情報資産を利用運用開発及び保守する者が情報セキュリティの確保に関する包括的な対策を図ることにより青森県の情報資産を適切に保護することを目的とする ( 定義 ) 第 2 条本方針において使用する用語の定義はそれぞれ次のとおりとする (1) 情報セキュリティ : 情報資産の機密性完全性及び可用性を維持することをいう (2) 機密性 : 許可された者だけが情報資産にアクセスできることを保証することをいう (3) 完全性 : 情報資産が正確及び完全であることを常に維持することをいう (4) 可用性 : 許可された者が確実に情報資産を利用できることをいう (5) 情報 : 青森県情報公開条例 ( 平成 11 年 12 月 24 日青森県条例 55 号 ) 第 2 条第 2 号に規定される行政文書及び職員等が職務上作成した全ての文書等のうち電磁的に記録されたものをいう (6) 情報システム : ハードウェアソフトウェアネットワーク記録媒体等で構成されるものであってこれら全体で業務処理を行うものこれらの仕組みを開発運用及び保守するために作成された資料等を含むもの ( 紙等の電磁的記録されたもの以外を含む ) をいう (7) 情報資産 : 情報及び情報システムの総称をいう (8) 情報セキュリティポリシー ( 以下ポリシーという ) : 本県が所有する情報資産の情報セキュリティ対策について総合的体系的かつ具体的に取りまとめたものであって青森県情報セキュリティ基本方針青森県情報セキュリティ対策基準からなるものをいう (9) 職員等 : 知事副知事職員非常勤職員及び臨時職員をいう (10) 外部委託事業者等 : 本県から情報関連施策の委託を受けた全ての事業者等及び指定管理者 ( 地方自治法 ( 昭和 22 年法律第 67 号 ) 第 244 条の 2 第 3 項に規定する指定管理者をいう ) をいう ( 適用範囲 ) 第 3 条本方針の適用範囲は以下のとおりとする (1) 地方公共団体としての青森県のうち以下に掲げる組織 ( 以下本県という ) ア知事部局イ青森県公営企業の設置等に関する条例 ( 昭和 41 年 12 月 26 日青森県条例第 85 号 ) 第 4 条に規定される組織ウ議会人事委員会労働委員会監査委員選挙管理委員会海区漁業調整委員会の事務部局エ教育庁学校以外の教育機関 (2) 本県が所有する以下に掲げる情報資産であって本県が所管するものただし本県に設置されたシステムのうちポリシーを独自に定め運用している情報システム ( 総合行政ネットワーク住民基本台帳ネットワーク等 ) については当該システムが定めるポリシーを優先し当該ポリシーに定められていない事項でかつ本県のポリシーに定められている事項がある場合には本県のポリシーを適用するアネットワーク情報システムこれらに関する設備電磁的記録媒体イネットワーク及び情報システムで取り扱う情報 ( これらを印刷した文書を含む ) ウ情報システムの仕様書及びネットワーク図等のシステム関連文書 (3) 本県の情報資産を利用運用管理保守する全ての職員等及び外部委託事業者等 ( 対象とする脅威 ) 第 4 条情報資産に対する脅威として以下の脅威を想定し情報セキュリティ対策を実施する (1) 部外者の侵入不正アクセスウイルス攻撃サービス不能攻撃等の意図的な要因による情報資産の漏えい破壊改ざん消去重要情報の詐取内部不正等 (2) 情報資産の無断持ち出し無許可ソフトウェアの使用等の規定違反設計開発の不備プログラム上の欠陥操作設定ミスメンテナンス不備内部外部監査機能の不備外部委 - 2 -

4 託管理の不備マネジメントの欠陥機器故障等の非意図的な要因による情報資産の漏えい破壊消去等 (3) 地震落雷火災等の災害によるサービス及び業務の停止等 (4) 大規模広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等 (5) 電力供給の途絶通信の途絶水道供給の途絶等のインフラの障害からの波及等 ( 実施手順 ) 第 5 条本県はポリシーに基づき情報セキュリティ対策の具体的な手順等を定めた情報セキュリティ実施手順 ( 各種手順及びマニュアルを含む以下実施手順という ) を個別の情報システム又は業務ごと等に作成する ( 下図参照 ) 情報セキュリティポリシー基本方針対策基準基本方針対策基準青森県における情報セキュリティに関する基本的な考え方を述べたもの基本方針に定められた情報セキュリティを確保するために遵守すべき行為及び判断基準をまとめたもの手順マニュアル実施手順対策基準に定められた内容を具体的な情報システム又は業務においてどのような手順に従って実施していくかを記したもの第 2 章基本方針 ( 組織体制 ) 第 6 条本県は CIO( 副知事 ) を長とする組織的な体制の中で責任や役割を明確にし情報セキュリティマネジメントを実施する ( 職員等の遵守義務 ) 第 7 条職員等及び外部委託事業者等は情報セキュリティの重要性について共通の認識を持ち業務の遂行に当たってはポリシー及び実施手順を遵守しなければならない ( 情報資産の分類と管理 ) 第 8 条本県は本県が有する情報資産について機密性完全性及び可用性に応じて分類し当該分類に基づき情報セキュリティ対策を行う ( 物理的セキュリティ ) 第 9 条本県はサーバ等のハードウェア情報システム室等の管理区域ネットワーク利用における通信回線及び通信回線装置並びにパソコン等の端末について適切に管理するため物理的な対策を講ずる ( 人的セキュリティ ) 第 10 条本県は情報セキュリティ対策に関し職員等及び外部委託事業者等が遵守すべき事項を - 3 -

5 定めるとともに十分な教育及び啓発を行う等の人的対策を講ずる ( 技術的セキュリティ ) 第 11 条本県はコンピュータ等の管理アクセス制御不正プログラム対策不正アクセス対策等の技術的対策を講ずる ( 運用 ) 第 12 条本県は情報システムの監視ポリシーの遵守状況の確認外部委託を行う際のセキュリティ確保等ポリシーの運用面の対策を講ずるまた情報資産への侵害が発生した場合等に迅速かつ適切に対応するため緊急時対応計画を策定する ( 情報セキュリティ監査及び自己点検の実施 ) 第 13 条本県はポリシーの遵守状況を検証するため定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する ( 準拠 ) 第 14 条本県の職員等及び外部委託事業者等はポリシーに定められた条項のほか情報資産の利用において不正アクセス行為の禁止等に関する法律著作権法等の関連法令及び本県が定める各種の規則等を遵守しこれに従わなければならないまた一般的に用いられている慣行や業界団体等のガイドライン等に対してもその内容を十分に尊重し可能な限り準拠に努めなければならない ( ポリシーの見直し ) 第 15 条本県は情報セキュリティ監査及び自己点検の結果ポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合にはポリシーを見直す第 3 章雑則 ( 公開範囲 ) 第 16 条本方針は広く一般に公開するただし本方針第 5 条に規定する本方針以外のものについては情報セキュリティマネジメントを確実に実施し情報セキュリティに関する事案の発生を防止するため情報資産を利用運用管理保守する全ての職員等及び外部委託事業者等の情報セキュリティマネジメントの推進上必要な者に限定して公開する附則 ( 施行事項 ) 1 その他必要な事項は別に定める 2 本方針は平成 15 年 5 月 2 日開催のあおもり IT 戦略推進本部による決定により同日から施行する附則本方針は平成 16 年 4 月 1 日から施行する附則本方針は平成 19 年 8 月 30 日から施行する附則本方針は平成 28 年 8 月 26 日から施行する - 4 -

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令各省庁のガイドライン及び当法人の関連規程を遵守すると共にこれらに違反した場合には厳正に対処すること ( 個人情報保護 )

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令各省庁のガイドライン及び当法人の関連規程を遵守すると共にこれらに違反した場合には厳正に対処すること ( 個人情報保護 ) 情報セキュリティ基本規程特定非営利活動法人せたがや子育てネット第 1 章総則 ( 目的 ) 第 1 条この規程は当法人の情報セキュリティ管理に関する基本的な事項を定めたものです ( 定義 ) 第 2 条この規程に用いる用語の定義は次のとおりです (1) 情報資産とは情報処理により収集加工蓄積される情報データ類情報処理に必要な情報システム資源 ( ハードウェアソフトウェア等 )