組合の概要

Union Overview

一関地区広域行政組合議会情報セキュリティポリシー

 組合議会が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的にとりまとめたものを「情報セキュリティポリシー」といいます。

 情報セキュリティポリシーは、基本方針と対策基準で構成され、対策基準に基づいて実施手順を策定していますが、公表による組合議会運営への影響を考慮し、情報セキュリティ対策に関する統一的かつ基本的な方針(情報セキュリティ基本方針)を公表します。

情報セキュリティ基本方針

1. 目的

 本基本方針は、組合議会が保有する情報資産の機密性、完全性及び可用性を維持するため、組合議会が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

2. 定義

(1)ネットワーク

   コンピュータ等を相互に接続するための通信網とその構成機器(ハードウェア及びソ

  フトウェア)をネットワークといい、ネットワークのうち組合が構築している組織内の

  ネットワークを庁内ネットワークという。

(2)情報システム

   コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組み

  をいう。

(3)情報セキュリティ

   情報資産の機密性、完全性及び可用性を維持することをいう。

(4)機密性

   情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保す

  ることをいう。

(5)完全性

   情報が破壊、改ざん又は消去されていない状態を確保することをいう。

(6)可用性

   情報にアクセスすることを認められた者が、必要な時に中断されることなく、情報に

  アクセスできる状態を確保することをいう。

3. 対象とする脅威

 情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

(1)不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等

  の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部

  不正等

(2)情報資産の無断持ち出し、無許可ソフトウェアの仕様等の規定違反、設計・開発の不

  備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の

  不備、委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資

  産の漏えい・破壊・消去等

(3)地震、落雷、火災等の災害によるサービス及び業務の停止等

(4)大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等

(5)電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等

4. 適用範囲

(1)情報資産の範囲

   本基本方針が対象とする情報資産は、次のとおりとする。

  ① ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体

  ② ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む)

  ③ 情報システムの仕様書及びネットワーク図等のシステム関連文書

5. 議員の遵守義務

 議員は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって一関地区広域行政組合議会情報セキュリティ基本方針を遵守しなければならない。

6. 情報セキュリティ対策

 対象とする脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

(1)組織体制

   組合議会の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。

(2)情報資産の分類と管理

   組合議会の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。

(3)物理的セキュリティ

   通信回路等及び職員等の端末等の管理について、物理的な対策を講じる。

(4)人的情報セキュリティ

   情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及

  び啓発を行う等の人的な対策を講じる。

(5)技術的セキュリティ

   コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の

  技術的対策を講じる。

(6)運用

   情報システムの管理、情報セキュリティポリシーの遵守状況の確認、業務委託を行う

  際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとす

  る。また、情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適切に対応

  するため、緊急時対応計画を策定する。

(7)業務委託と外部サービスの利用

   ① 業務委託を行う場合には、委託事業者を選定し、情報セキュリティ要件を明記し

    た契約を締結し、委託事業において必要なセキュリティ対策が確保されていること

    を確認し、必要に応じて契約に基づき措置を講じる。

   ② 外部サービスを利用する場合には、利用にかかる規定を整備し対策を講じる。

   ③ ソーシャルメディアサービスを利用する場合には、ソーシャルメディアサービス

    の運用手順とソーシャルメディアサービスで発信できる情報を規定し、利用するソ

    ーシャルメディアサービスごとの責任者を定める。

7. 情報セキュリティ監査及び自己点検の実施

 情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。

8. 情報セキュリティポリシーの見直し

 情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要となった場合には、情報セキュリティポリシーを見直す。

9. 情報セキュリティ対策基準及び情報セキュリティ実施手順の策定

 組合議会は、必要に応じて情報セキュリティ対策基準及び情報セキュリティ実施手順を整備する。

 なお、公開することにより組合議会の運営に重大な支障を及ぼすおそれがあることから非公開とする。