ここから本文です。
更新日:2022年5月19日
情報セキュリティ基本方針
印刷してご覧になりたい方は、情報セキュリティ基本方針(PDF:10KB)をご利用ください。
目次
はじめに
本市では、効率的で質の高い行政サービスを提供するため、各種業務の情報システム化を進めてきており、多くの情報を電子的な情報として管理している。
また、行政サービスのオンライン化に向けた取組により、情報の電子的な管理と情報通信ネットワークを活用した情報システムの導入は、今後さらに進展するものと予想される。
情報の電子的な管理と業務の情報システム化の進展は、事務処理の迅速化および効率化をもたらす反面、容易に大量の情報を記録し、または複製し、持ち出すことが可能となるほか、瞬時に破壊し、または消去することができるなど、セキュリティ面での脆弱さも併せ持っている。
本市の情報資産には、市民の個人情報や行政運営上重要な情報など、外部に漏えいした場合に極めて重大な結果を招くおそれのあるものが多く存在する。これらの情報資産を人的脅威、災害その他の様々な脅威から防御することは、市民の財産、プライバシーなどを守るため、また、行政事務の安定的な運営のために必要不可欠であり、ひいては、本市の行政に対する市民からの信頼の維持向上に結びつくものである。
このため、多賀城市情報セキュリティに関する規程(平成26年3月18日訓令第5号。以下「規程」という。)第3条の規定に基づき、ここに多賀城市情報セキュリティポリシー(以下「ポリシー」という。)を策定するものである。
なお、ポリシーは、情報セキュリティに関する統一的かつ基本的な取組姿勢を示す「情報セキュリティ基本方針」と、情報セキュリティを実施するための基本的な遵守事項、判断基準などを示す「情報セキュリティ対策基準」により構成する。
情報セキュリティ基本方針
1趣旨
情報セキュリティ基本方針は、多賀城市情報セキュリティに関する規程に基づき、情報セキュリティに関する統一的かつ基本的な取組姿勢を定めるものとする。
2定義
このポリシーにおいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1)職員
多賀城市個人情報保護条例(平成9年多賀城市条例第10号)第2条第2号に規定する実施機関の職員(多賀城市立学校の設置に関する条例(昭和39年多賀城市条例第10号)第2条に規定する小学校および中学校に勤務する職員を除く。)をいう。
(2)外部委託事業者
情報資産の取扱いを委託された事業者(公の施設の管理を行う指定管理者および市営住宅の管理を行う管理代行者を含む。)をいう。
3対象とする脅威
情報資産に対する脅威として、以下の事項を想定する。
- (1)不正アクセス、ウイルス攻撃、サービス不能攻撃その他のサイバー攻撃、部外者の侵入、内部不正その他の意図的な要因による情報資産の漏えい、破壊、改ざん、消去、詐取など
- (2)情報資産の無断持ち出し、無許可ソフトウェアの使用などの規定違反、情報システムの設計・開発の不備、プログラムの欠陥、操作・設定ミスおよびメンテナンスの不備、外部委託管理の不備、機器故障その他の非意図的要因による情報資産の漏えい、破壊、消去など
- (3)地震、落雷、火災その他の災害によるサービスおよび業務の停止など
- (4)電力供給の途絶、通信の途絶その他の提供サービスの障害からの波及など
4適用範囲
ポリシーの適用範囲は、次のとおりとする。
(1)情報資産の範囲
ポリシーが適用される情報資産は、全ての情報資産とする。
(2)対象者の範囲
ポリシーが適用される対象者は、職員および外部委託事業者(以下「職員など」という。)とする。
5情報セキュリティ対策
3の脅威から情報資産を保護するために、次の情報セキュリティ対策を講じる。
(1)情報セキュリティ管理体制の構築
情報セキュリティ対策を推進するため、情報セキュリティに係る責任および権限を明確にした管理体制を構築する。
(2)情報資産の分類と管理
情報資産を性格や内容によって分類し、当該分類に基づき管理を行う。
(3)物理的セキュリティ対策
サーバ室その他の管理が必要な区域の入退室および情報システムの管理について、物理的対策を講じる。
(4)人的セキュリティ対策
情報セキュリティに関し、職員などが遵守すべき事項を定めるとともに、ポリシーの周知徹底を図るため、十分な教育および啓発を行うなどの人的対策を講じる。
(5)技術的セキュリティ対策
コンピュータなどの管理、アクセス制御、コンピュータウイルス対策、外部ネットワークからの不正アクセス対策その他の技術的対策を講じる。
(6)運用
コンピュータなどの管理、アクセス制御、コンピュータウイルス対策、外部ネットワークからの不正アクセス対策その他の技術的対策を講じる。
6情報セキュリティ監査および自己点検の実施
情報システムの監視、ポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保その他のポリシーの運用面の対策を講じる。
7ポリシーの見直し
情報セキュリティ監査および自己点検の結果、情報セキュリティに係る新たな対策が必要なことが判明した場合その他ポリシーの見直しが必要な場合は、ポリシーの見直しを実施する。
8情報セキュリティ対策基準の策定
5、6および7に規定する対策などを実施するために、具体的な遵守事項、判断基準などを定めた情報セキュリティ対策基準を策定する。
9情報セキュリティ実施手順の策定
情報システムを所管する部などまたは課などは、情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を情報システムごとに策定する。
なお、情報セキュリティ対策基準および情報セキュリティ実施手順は、公開することにより本市の行政運営に重大な支障を及ぼすおそれがあることから、非公開とする。
10多賀城市行政経営会議との関係
情報セキュリティの運用および管理を統一的な視点で行うため、情報セキュリティに関する重要な事項は、多賀城市行政経営会議に諮るものとする。
情報セキュリティに関する統一的な窓口の連絡先(PoC)について
当市では、情報セキュリティに関するインシデント発生の情報を受け付ける統一的な窓口としてPoC(Point of Contact)を設置しております。下記のような事例にお気づきの際はPoCまでご連絡ください(PoCは、情報セキュリティインシデントに迅速かつ適切に対応するために当市に設置した多賀城市CSIRT(シーサート、Computer Security Incident Response Team)が運用しています。)。
受け付ける情報の例
(1)当市の情報システムの不具合や停止などに関する情報
(2)当市に対するサイバー攻撃に関する情報
(3)当市における重要な情報資産(住民の個人情報や重要な行政情報など)の流出や漏えい、改ざんなどに関する情報
PoCへの連絡
| PoC | 多賀城市CSIRT(企画経営部企画課ICT推進室) |
|---|---|
| 所在地 | 宮城県多賀城市中央2丁目1-1 |
| 対応時間 | 平日8時30分~17時15分 |
| 電話番号 | 022-368-1141 |
| 連絡先 | 情報セキュリティに関する通報窓口(PoC)へのお問い合わせ(外部サイトへリンク)からご連絡ください。 |
よくある質問
PDF形式のファイルをご覧いただく場合には、Adobe Acrobat Readerが必要です。Adobe Acrobat Readerをお持ちでない方は、バナーのリンク先から無料ダウンロードしてください。
お問い合わせ
より良いウェブサイトにするためにみなさまのご意見をお聞かせください
多賀城市