仙台市行政情報セキュリティポリシー

http://www.city.sendai.jp/kikaku/sys-suishin/policy/index.html

序  仙台市行政情報セキュリティポリシーの構成 

第1章 情報セキュリティ基本方針 
(1)目的 
(2)定義 
  1.局等
  2.事務所管課 
  3.電子計算機 
  4.磁気ディスク等 
  5.電子計算機室等 
  6.ネットワーク 
  7.情報システム 
  8.行政情報 
  9.情報資産 
  10.情報セキュリティ  
(3)情報セキュリティポリシーの位置付け  
(4)情報セキュリティポリシーの対象範囲  
(5)職員の義務  
(6)情報セキュリティ管理体制  
(7)情報資産の分類  
(8)情報資産への脅威  
(9)情報セキュリティ対策 
  1.人的セキュリティ対策 
  2.物理的セキュリティ対策 
  3.技術的セキュリティ対策 
  4.運用  
(10)情報セキュリティ対策基準の策定  
(11)情報セキュリティ実施手順(運用マニュアル)の策定  
(12)評価・見直し 

第2章 情報セキュリティ対策基準  
(1)管理体制 
  1.統括情報管理者 
  2.局(区)情報管理者 
  3.情報管理者  
(2)行政情報の分類と管理 
  1.行政情報の分類
  2.行政情報の管理方法  
(3) 人的セキュリティ 
  1.職員 
  2.教育・訓練 
  3.外部委託に関する管理 
  4.パスワード等の管理 
  5.接続時間の制限  
(4)物理的セキュリティ 
  1.入退室の管理 
  2.職員の情報システムの機器管理 
  3.機器等の搬入・搬出 
  4.電源 
  5.配線 
  6.電子計算機の管理  
(5)技術的セキュリティ 
  1.情報システムの管理 
  2.情報システムアクセス制御
  3.情報システムの開発・導入・保守
  4.コンピュータウイルス対策 
  5.不正アクセス対策 
  6.セキュリティ情報の収集  
(6)運用 
  1.情報システムの監視
  2.情報セキュリティポリシーの遵守状況の確認 
  3. セキュリティ障害時の対応 
(7)法令等遵守  
(8)評価・見直し等 

仙台市 情報セキュリティ基本方針

(1)目的

本市が取り扱う情報資産には、市民の個人情報を始めとし行政運営上重要な情報など、部外に漏洩等 した場合には極めて重大な結果を招く情報が多数含まれており、これらの情報資産を人的脅威や災害、 事故等から防御することは、市民の財産、プライバシー等を守るためにも、また、継続的かつ安全・安定的な行政サービスの実施を確保するためにも必要不可欠である。また、近年のいわゆるIT革命の進展により、電子政府や電子自治体の実現が期侍されているところである。本市がこれらに積極的な対応をするためには、本市が管理しているすべての情報システムが高度な安全性を有することが不可欠な前提条件となる。
 このため、本市の情報資産の機密性、完全性及び可用性(注)を維持するための対策を整備するため、仙台市行政情報セキュリティポリシーを定めることとし、情報セキュリティの確保に最大限取り組むこととする。このうち情報セキュリティ基本方針においては、本市の情報セキュリティ対策の基本的な方針として、情報セキュリティポリシーの対象、位置付け等を定めるものとする。

(注):省略

(2)定義  省略

(3)情報セキュリティポリシーの位置付け

情報セキュリティポリシーは、本市の情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の最高位に位置するものである。

(4)情報セキュリティポリシーの対象範囲

情報セキュリティポリシーの対象範囲は、本市の局等における情報資産及び情報資産に接するすべての職員(非常勤職員及び臨時職員を含む。)とする。

(5)職員の義務

職員は、情報セキュリティの重要性について共通の認識を持つとともに、情報資産の利用にあたっては情報セキュリティポリシーを遵守するものとする。

(6)情報セキュリティ管理体制

本市の情報資産について、適切に情報セキュリティ対策を推進・管理するための体制を確立するものとする。

(7)情報資産の分類

情報資産をその重要度に応じて分類し、それに応じたセキュリティ対策を行うものとする。

(8)情報資産への脅威

情報セキュリティポリシーを講ずるうえで、情報資産に対する脅威の発生度合いや発生した場合の影響を考慮するものとする。
特に認識すべき脅威は以下のとおりである。

  1. 権限外者による故意の不正アクセス又は不正操作によるデータやプログラムの持出・盗聴・改ざん・消去、
  2. 機器及び記録媒体の盗難等
  3. 職員及び外部委託者による意図しない操作、故意の不正アクセス又は不正操作 によるデータやプログラムの持出・盗聴・改ざん・消去、機器及び記録媒体の盗難、規定外の情報システムの機器操作によるデータ漏洩等
  4. 地震、落雷、火災等の災害や事故、故障等

(9)情報セキュリティ対策

本市の情報資産を上記(8)の脅威から保護するため、以下の情報セキュリティ 対策を講ずるものとする。

1. 人的セキュリティ対策
情報資産に接する職員の情報セキュリティに関する権限や責任等を定めるとともに、すべての職員に情報セキュリティポリシーの内容を周知徹底するため、教育・訓練を行う。
2. 物理的セキュリティ対策
電子計算機室等について不正な立入り等から保護するため、入退室や機器管理上の物理的な対策を講ずる。
3. 技術的セキュリティ対策
情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、コンピュータウイルス対策等を実施する。
4. 運用
情報セキュリティポリシーの実効性を確保するため、また、不正アクセスされること及び不正アクセスによって他の情報システムに対して被害を及ぼすことを防ぐため、ネットワークの監視等の運用面における必要な措置を講ずる。また、障害が発生した際の迅速な対応を可能とするため、障害時の対応を講ずる。

(10)情報セキュリティ対策基準の策定

本市の情報資産について、上記(9)の情報セキュリティ対策を講ずるに当たっては、職員が遵守すべき事項及び判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。

(11)情報セキュリティ実施手順(運用マニュアル)の策定

情報セキュリティ対策を確実に実施していくためには、個々の情報資産に関する対策の手順を具体的に定めておく必要があることから、情報セキュリティ対策基準に基づき、情報セキュリティ実施手順を策定するものとする。
 なお、情報セキュリティ実施手順は、公開することにより本市の行政運営に重大な支障を及ぼす恐れのある情報であることから非公開とする。

(12)評価・見直し

情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価、情報システムの変更、新たな脅威等情報セキュリティを取り巻く状況の変化を踏まえ、適宜情報セキュリティ対策基準の見直しを実施するものとする。


本文へ