○苫前町情報セキュリティ基本規則
平成18年1月31日
規則第2号
(目的)
第1条 この規則は、町の情報システムが取り扱う個人情報及び行政運営上重要な情報の破壊、改ざん又は外部への漏えいが生じた場合の被害の重大性にかんがみ、町の保有する情報資産を様々な脅威から防御し、その機密性、完全性及び可用性を維持するための基本的かつ包括的な事項を定め、もつて個人の財産及びプライバシーの保全並びに安定的な町行政の実現に資することを目的とする。
(1) プライバシー 個人が自己に関する情報を開示する範囲を選択できる権利をいう。
(2) ネットワーク 複数の電子計算機を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェアをいう。)及び記録媒体で構成され、処理を行う仕組みをいう。
(3) 情報システム 電子計算機(ネットワーク、ハードウェア及びソフトウェアを含む。)及び記録媒体で構成され、処理を行う仕組みをいう。
(4) 情報資産 情報システムの開発と運用に係る全ての情報、情報システムで取り扱う全ての情報及び情報システムから紙等の有体物(記録媒体を含む。)に出力された情報をいう。
(5) 情報セキュリティ 情報資産の機密の保持、正確性及び完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。
(6) 情報セキュリティに対する脅威 情報セキュリティを脅かす好ましからぬ事態及び事故をいう。
(適用対象者)
第3条 この規則の適用対象者は、苫前町に勤務する地方公務員法(昭和25年法律第261号)第3条第2項に規定する一般職の職員及び同条第3項に規定する特別職の職員(以下「職員」という。)とする。
(位置付け)
第4条 この規則及び苫前町情報セキュリティ対策基準(平成18年訓令第 号。以下「対策基準」という。)(以下「セキュリティポリシー」と総称する。)は、町の情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ管理の最上位の位置付けとする。
(職員の責務)
第5条 職員は、情報セキュリティ対策の重要性を認識するとともに、業務の遂行に当たつては、情報セキュリティ対策に関係する法令及びセキュリティポリシーを遵守しなければならない。
2 職員は、町の情報資産を取り扱う委託事業者等に対し、契約締結その他の機会において、セキュリティポリシーを遵守させるための措置を講じなければならない。
(管理体制)
第6条 町の情報資産に関する情報セキュリティ対策を推進し、管理するため、次に掲げる体制を整備する。
(1) 情報セキュリティ最高責任者
(2) 情報セキュリティ総括管理者
(3) 情報セキュリティ責任者
(4) 情報セキュリティ担当者
(5) 情報システム管理者
(6) 情報システム担当者
2 情報セキュリティ最高責任者は、副町長をもつて充てる。
3 情報セキュリティ総括管理者は、総務財政課長をもつて充てる。
4 情報セキュリティ責任者は、苫前町職員定数条例(昭和36年条例第8号)第2条各号に掲げる事務部局の課長及びこれに相当する職にある者(以下「課長等」という。)をもつて充てる。
(情報セキュリティ最高責任者)
第7条 情報セキュリティ最高責任者は、情報セキュリティ対策を統括する。
(情報セキュリティ総括管理者)
第8条 情報セキュリティ総括管理者は、情報資産の管理を統括する。
2 情報セキュリティ総括管理者は、情報セキュリティ最高責任者を補佐し、情報セキュリティ最高責任者に事故があるとき又は欠けたときは、その職務を代行する。
(情報セキュリティ責任者)
第9条 情報セキュリティ責任者は、情報セキュリティ担当者及び情報システム管理者に対し、情報セキュリティ対策に係る作業の指示及び管理を行う。
(情報セキュリティ担当者)
第10条 情報セキュリティ担当者は、所属する課及び課に相当する組織(以下「課等」という。)において情報セキュリティ対策を推進する。
(情報システム管理者)
第11条 情報システム管理者は、所管する情報システムについて情報セキュリティ対策を実施する。
(情報システム担当者)
第12条 情報システム担当者は、情報システム管理者の指示に基づき、情報システムを適正に運用する。
(情報資産の分類)
第13条 情報資産は、その内容に応じて分類され、その重要性に応じた情報セキュリティ対策が行われなければならない。
(情報セキュリティに対する脅威)
第14条 職員が特に認識すべき情報セキュリティに対する脅威は、次に掲げるとおりとする。
(1) 意図的又は計画的な人為的脅威 故意の不正アクセス又は不正操作による機器又は情報資産の破壊、盗難、改ざん又は消去等
(2) 偶発的な人為的脅威 誤操作等によつて生じる情報資産の破壊、漏えい又は消去等、搬送中の事故等による情報資産の盗難又は漏えい等及びアクセスのための認証情報等の不適切な管理等
(3) 環境的脅威 コンピュータウイルス、地震、落雷、火災若しくは風水害等の災害又は停電等の事故若しくは故障等による情報資産の破壊若しくは消失等又はサービス若しくは業務の停止等
(1) 物理的セキュリティ対策 情報資産の物理的な保護
(2) 人的セキュリティ対策 情報セキュリティ対策を組織的に推進するための体制の整備並びにセキュリティポリシーを理解し、実践するための職員に対する啓発及び研修等
(3) 技術的セキュリティ対策 アクセス制御、コンピュータウイルス及び他の悪意のあるソフトウェアの予防及び検出並びにセキュリティ情報の収集等の技術面での情報資産の適正な管理
(4) 運用におけるセキュリティ対策 大規模災害、不正アクセス及び情報漏えい等への適正な対応及び迅速な報告、緊急時対応計画の策定並びに情報セキュリティ対策に関する監査及び点検
2 前項に規定する基準は、対策基準において定める。
(情報セキュリティ対策実施手順の策定)
第16条 情報セキュリティ対策を実施するために必要となる具体的な手順は、情報セキュリティ対策実施手順(以下「実施手順」という。)として文書により定める。
2 前項に規定する実施手順には、情報システムごとに作成された仕様書、手引書又は手順書等を含むものとする。
(情報セキュリティ監査の実施)
第17条 セキュリティポリシーが遵守されていることを検証するため、定期的に監査を実施する。
(評価及び見直し)
第18条 情報セキュリティ監査の結果等により、セキュリティポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するため、セキュリティポリシーの見直しを実施する。
(違反への対応)
第19条 セキュリティポリシー及び実施手順に違反した職員は、当該違反の重大性、違反時の状況等に応じ、地方公務員法に基づく懲戒処分等の対象とする。
(公開方針)
第20条 対策基準及び実施手順は、非公開とする。
2 第17条の規定に基づき実施された監査の概要については、公開とする。
附則
この規則は、平成18年2月1日から施行する。
附則(平成19年規則第2号)
この規則は、平成19年4月1日から施行する。