○つくばみらい市情報セキュリティ基本方針に関する規程
平成20年3月31日
訓令第12号
(目的)
第1条 この訓令は、つくばみらい市が保有する情報資産(以下「情報資産」という。)を漏えい、改ざん、破壊等の脅威から保護することで、市民の財産及びプライバシーを守り、安全かつ安定的な行政サービスを提供することを目的とする。
(適用範囲)
第2条 この訓令は、情報資産の発生、利用、保管、保存又は廃棄(以下「活用」という。)に関する業務を行う職員に適用する。
(1) 情報システム コンピュータ及びネットワーク並びにそれを制御するソフトウェアにより運用されるもの
(2) 情報資産 市が保有する情報システム及び情報システムで取り扱う情報並びに紙等の有体物
(3) 職員 雇用形態にかかわらず、情報資産を活用する者
(4) 機密性 情報の活用を認められた者だけが活用できることを確実にすること。
(5) 完全性 情報又はその処理方法が完全又は正確性が高い状態を維持すること。
(6) 可用性 認められた者が必要なときに情報を活用できることを確実にすること。
(7) 情報セキュリティ 情報資産の機密性及び完全性並びに可用性が高い状態を維持すること。
(8) つくばみらい市情報セキュリティポリシー(以下「情報セキュリティポリシー」という。) この訓令及びつくばみらい市情報セキュリティ対策基準に関する要綱(以下「対策基準」という。)をもって構成するもの
(情報セキュリティ対策委員会)
第4条 市長は、情報セキュリティ対策を総合的に管理し、その効率的かつ効果的な推進を図るため、つくばみらい市情報セキュリティ対策委員会(以下「委員会」という。)を設置する。
2 委員会に、次の役職を置く。
(1) 情報セキュリティ対策全体を統括する責任者として、統括責任者を置く。
(2) 教育情報全体を統括する責任者として、教育情報統括責任者を置く。
(3) 実務責任者として、システム管理者を置く。
3 委員会に関し必要な事項は、対策基準で定める。
(情報資産の分類及び管理)
第5条 職員は、情報資産の分類について、情報の機密性及び完全性並びに可用性を考慮した分類を行い、その重要性に応じて、適切に管理するものとする。
(対策基準の策定)
第6条 市長は、情報セキュリティ対策を実施するため、次の各号に定めるところにより、対策基準を定めるものとする。
(1) 物理的セキュリティ対策は、情報システムの設置場所及び情報の保管場所並びにその管理の対策を定めるものとする。
(2) 人的セキュリティ対策は、情報セキュリティに関する権限及び責任並びに遵守すべき事項を定め、職員に対して、周知及び徹底を図るとともに、十分な教育及び啓発が行われるよう必要な対策を定めるものとする。
(3) 技術的セキュリティ対策は、機器の導入、設定、管理の手法等を定めるものとする。
(4) 情報資産の運用等におけるセキュリティ対策は、運用する上で必要な事項を定めるものとする。
(5) 緊急時におけるセキュリティ対策は、その要因別に迅速かつ適切に対応できる手順等を定めるものとする。
(6) 情報資産を含む業務委託対策は、作業状況の把握又は事故における対策を迅速に行う上で必要な事項を定めるものとする。
2 対策基準は、つくばみらい市情報公開条例(平成18年つくばみらい市条例第9号)(以下「情報公開条例」という。)第7条第7号の規定により、非公開とする。
(情報セキュリティ共通実施手順の策定)
第7条 市長は、情報セキュリティ対策を具体的に実施するため、情報セキュリティ共通実施手順(以下「共通実施手順」という。)を定めるものとする。
2 共通実施手順は、情報公開条例第7条第7号の規定により、非公開とする。
(職員の遵守義務)
第8条 職員は、この訓令及び関係法令を遵守し、市民の権利及び利益の保護に努めなければならない。
2 統括責任者は、事故の可能性があると判断したときは、情報システムの一部又は全部の利用停止措置を講じなければならない。
(情報セキュリティ監査の実施)
第9条 市長は、情報セキュリティ対策の実施状況を把握するため、委員会とは別に内部監査責任者を置く。
2 内部監査責任者は、委員会とは別に内部監査チームを組織し、定期的に、又は必要に応じて監査を実施するものとする。
(評価及び見直し)
第10条 統括責任者は、関係法令の改正又は監査の結果若しくは情報セキュリティに関する諸事情の変化が認められるときは、情報セキュリティポリシーの評価及び見直しを行うものとする。
(委任)
第11条 この訓令に定めるもののほか、情報セキュリティに関して必要な事項は、別に定める。
附則
この訓令は、平成20年4月1日から施行する。