大府市情報セキュリティ基本方針
大府市情報セキュリティ基本方針
1 目的
大府市の各情報システムが取り扱う情報には、市民の個人情報のみならず行政運営上重要な情報など、部外に漏洩等した場合には極めて重大な結果を招く情報が多数含まれている。したがって、これらの情報及び情報を取り扱う情報システムを様々な脅威から防御することは、市民の財産、プライバシー等を守るためにも、また、事務の安定的な運営のためにも必要不可欠である。ひいては、このことが大府市に対する市民からの信頼の維持向上に寄与するものである。
そのため、大府市の情報資産の機密性、完全性及び可用性を維持するため、情報セキュリティ対策の基本方針を定めることを目的とする。
2 定義
- セキュリティポリシー
大府市情報セキュリティ基本方針と別に定める大府市情報セキュリティ対策基準をいう。 - ネットワーク
大府市における市長、選挙管理委員会、公平委員会、監査委員、農業委員会、固定資産評価審査委員会、消防長及び議会事務局並びに教育委員会(各教育機関(事務室を除く)は対象外とする。)を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。 - 情報システム
ネットワーク、ハードウェア、ソフトウェア及び記録媒体で構成され、処理を行う仕組みをいう。 - 情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。 - マイナンバー利用事務系
個人番号利用事務又は戸籍事務等に関わる情報資産をいう。 - LGWAN接続系
人事給与、財務会計、文書管理等LGWANに接続された情報資産をいう。 - インターネット接続系
インターネットメール、ファイル交換システム等に関わるインターネットに接続された情報資産をいう。 - 通信経路の分割
LGWAN接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された通信だけを許可できるようにすることをいう。 - 無害化通信
インターネットメール本文のテキスト化や端末への画面転送等により、コンピュータウィルス等の不正プログラムの付着がない等、安全が確保された通信をいう。
3 情報セキュリティポリシーの位置付けと職員の責務
情報セキュリティポリシーは、大府市が所掌する情報資産に関する情報セキュリティ対策についての基本的な考え方及び方策を定めたものであり、情報セキュリティ対策の頂点に位置するものである。
したがって、大府市長をはじめとして大府市が所掌する情報資産に関する業務に携わる全ての職員等及び受託者は、情報セキュリティポリシーの重要性について共通の認識を持つとともに業務の遂行に当たって情報セキュリティポリシーを遵守する義務を負うものとする。
4 情報セキュリティ管理体制
大府市の情報資産について、幹部が率先して情報セキュリティ対策を推進・管理するための体制を確立するものとする。
5 情報資産の分類
情報資産をその内容に応じて分類し、その重要度に応じた情報セキュリティ対策を行うものとする。
6 情報資産への脅威
情報セキュリティ対策基準等を策定するうえで、特に認識すべき脅威は以下のとおりである。
- 部外者による故意の不正アクセス又は不正操作による情報資産の漏えい、破壊、改ざん、消去、機器及び媒体の盗難等
- 職員等及び受託者による意図しない操作、故意の不正アクセス又は不正操作による情報資産の漏えい、破壊、改ざん、消去、機器及び媒体の盗難等
- 地震、落雷、火災等の災害並びに事故、故障等によるサービス及び業務の停止
- 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
- 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
7 情報セキュリティ対策
上記6で示した脅威から情報資産を保護するために、以下の情報セキュリティ対策を講ずるものとする。
- 情報システム全体の強靭性の向上
情報システム全体に対し、次の三段階の対策を講じる。
ア. マイナンバー利用事務系においては、原則として、他の領域との通信を出来ないようにした上で、端末からの情報持ち出し不可設定や端末への多要素認証の導入等により、市民の個人情報の流出を防ぐ。
イ. LGWAN接続系においては、LGWANと接続する業務用システムと、インターネット接続系の情報 システムとの通信経路を分割する。なお、両システム間で通信する場合には、無害化通信を行う。
ウ. インターネット接続系においては、自治体情報セキュリティクラウドを導入する等、不正通信の監視機能の強化等の高度なセキュリティ対策を行う。 - 物理的セキュリティ対策
サーバー等、情報システムを設置する施設、通信回線等及び職員等のパソコン等の管理について、物理的な対策を講ずる。 - 人的セキュリティ対策
情報セキュリティに関する権限や責任を定め、職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講ずる。 - 技術的セキュリティ対策
コンピュータ等の管理、アクセス制御、不正プログラム対応、ネットワーク管理等の技術的な対策を講ずる。 - 運用
システム開発等の外部委託、ネットワークの監視、情報セキュリティポリシー遵守状況の確認等の運用面の対策を講ずる。また、緊急事態が発生した際に迅速な対応を可能とするための危機管理対策を講ずる。
8 情報セキュリティ対策基準の策定
上記7に規定する対策等を実施するために、具体的な遵守事項、判断基準等を定める情報セキュリティ対策基準を策定する。
9 情報セキュリティ実施手順の策定
情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。なお、情報セキュリティ対策基準及び情報セキュリティ実施手順は、公にすることにより大府市の行政運営に重大な支障を及ぼす恐れのある情報であることから非公開とする。
10 情報セキュリティ監査の実施
情報セキュリティポリシーが遵守されていることを検証するため、定期的に監査を実施する。
11 評価及び見直しの実施
情報セキュリティ監査の結果等により、情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するために、情報セキュリティポリシーの見直しを実施する。
第1版 平成15年4月30日
第2版 平成23年4月1日
第3版 平成31年4月1日
第4版 令和4年4月1日
このページに関するお問い合わせ
総務部 デジタル戦略室
電話:0562-45-6253
ファクス:0562-47-7320
総務部 デジタル戦略室へのお問い合わせは専用フォームをご利用ください。