○印南町情報セキュリティポリシー
平成23年11月25日
訓令第3号
目次
第1章 情報セキュリティ基本方針(第1条―第10条)
第2章 情報セキュリティ対策基準
第1節 組織体制(第11条)
第2節 情報資産の分類と管理(第12条・第13条)
第3節 物理的セキュリティ(第14条―第18条)
第4節 人的セキュリティ(第19条―第25条)
第5節 技術的セキュリティ(第26条―第31条)
第6節 運用(第32条―第38条)
第7節 評価・見直し(第39条・第40条)
附則
第1章 情報セキュリティ基本方針
(目的)
第1条 この訓令は、町の情報セキュリティ対策の基本的な方針及び基準を明らかにする情報セキュリティポリシー(以下「セキュリティポリシー」という。)を定め、もって町の情報資産の機密性、完全性、及び可用性を維持し、情報セキュリティを確保することを目的とする。
(1) ネットワーク コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。
(2) 情報システム コンピュータ、ネットワーク及び記録媒体で構成され、情報処理を行う仕組みをいう。
(3) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(4) 情報セキュリティポリシー 情報セキュリティ基本方針及び情報セキュリティ対策基準をいう。
(5) 情報資産 情報システム及びネットワーク並びにこれらで取り扱われる行政情報。(これらを印刷した文書も含む)
(6) 機密性 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(7) 完全性 情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(8) 可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(対象とする脅威)
第3条 情報資産に対する脅威として、次の各号に揚げる脅威を想定し、情報セキュリティ対策を実施する。
(1) サイバー攻撃をはじめとする部外者の侵入、不正アクセス、ウイルス攻撃等の意図的な要因による情報資産の漏洩・破壊・改ざん・消去、重要情報の詐取又は機器・媒体の盗難等。
(2) 職員及び部外委託者による誤操作、不正アクセス又は不正操作によるデータ又はプログラムの持ち出し・盗聴・改ざん・消去、機器及び媒体の盗難及び規定外の端末又は媒体の接続によるデータ漏洩・ウイルス感染等。
(3) 地震、落雷、火災、津波等の災害によるサービスの停止。
(4) 事故、故障、障害などによるサービスの停止。
(セキュリティポリシーの適用範囲)
第4条 セキュリティポリシーの適用範囲を次のとおり定めるものとする。
(1) 人の範囲 印南町が保有する情報資産を扱う行政機関の内部部局、議会事務局及び印南町教育委員会が管理する職員(臨時職員・非常勤職員等含む)、その他の行政委員会(以下職員等という。)又は委託業務の受託者。
(2) 情報資産の範囲 ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体、ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む)、情報システムの仕様書及びネットワーク図等のシステム関連文書。
(職員等の遵守義務)
第5条 職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行にあたってセキュリティポリシーを遵守しなければならない。
(情報セキュリティ管理体制)
第6条 情報資産について、適切に情報セキュリティ対策を推進・管理するための体制を確立するものとする。
(情報セキュリティ対策)
第7条 情報セキュリティ対策は、次の各号に定めるところにより行うものとする。
(1) 物理的セキュリティ サーバ等、情報システム室等、通信回線等及び職員等のパソコン等の管理について、物理的な対策を講じる。
(2) 人的セキュリティ 情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。
(3) 技術的セキュリティ コンピュータ等の管理、アクセス制御、ログ管理、不正操作対策、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
(4) 運用 情報システムの監視、セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、セキュリティポリシーの運用面の対策を講じる。
(5) 外部委託対策 情報セキュリティポリシーの適用範囲内で行う作業を外部委託する場合には、セキュリティ要求事項を明記した契約を結ぶ等の必要な対策を講じる。
(情報セキュリティ監査及び自己点検の実施)
第8条 情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。
(情報セキュリティポリシーの見直し)
第9条 情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーの見直しを実施するものとする。
第2章 情報セキュリティ対策基準
第1節 組織体制
(1) 最高情報統括責任者 副町長を最高情報統括責任者とする。最高情報統括責任者は、本町における全てのネットワーク、情報システム等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。
(2) 統括情報セキュリティ責任者 電算管理担当課長を、最高情報統括責任者直属の統括情報セキュリティ責任者とし、権限及び責任を次のとおりとする。
ア 統括情報セキュリティ責任者は最高情報統括責任者を補佐しなければならない。
イ 統括情報セキュリティ責任者は、本町の主要なネットワークにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。
ウ 統括情報セキュリティ責任者は、本町の主要なネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。
エ 統括情報セキュリティ責任者は、情報セキュリティ責任者及び情報システム担当者に対して、情報セキュリティに関する指導及び助言を行う権限を有する。
オ 統括情報セキュリティ責任者は、本町の情報資産に対する侵害が発生した場合又は侵害のおそれがある場合に、最高情報統括責任者の指示に従い、最高情報統括責任者が不在の場合には自らの判断に基づき、必要かつ十分な措置を行う権限及び責任を有する。
カ 統括情報セキュリティ責任者は、本町の主要なネットワーク、情報システム及び情報資産に関する情報セキュリティ実施手順の維持・管理を行う権限及び責任を有する。
キ 統括情報セキュリティ責任者は、緊急時等の円滑な情報共有を図るため、最高情報統括責任者、統括情報セキュリティ責任者、情報セキュリティ責任者、情報システム担当者、情報システム操作者を網羅する連絡体制を整備しなければならない。
(3) 情報セキュリティ責任者 内部部局の課室長、内部部局の出張所等出先機関の長、議会事務局の局長、行政委員会事務局の局長を情報セキュリティ責任者とし、権限及び責任を次のとおりとする。
ア 情報セキュリティ責任者は、所管する課室等において所有するネットワーク、情報システムにおける情報セキュリティに関する権限及び責任を有する。
イ 情報セキュリティ責任者は、所管する課室等において所有するネットワーク、情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。
ウ 情報セキュリティ責任者は、その所管する課室等において所有する情報システムについて、緊急時等における連絡体制の整備、セキュリティポリシーの遵守に関する意見の集約及び職員等に対する教育、訓練、助言及び指示を行う。
エ 情報セキュリティ責任者は、その所掌する課室等において、情報資産に対する侵害が発生した場合又は侵害のおそれがある場合には、統括情報セキュリティ責任者及び最高情報統括責任者へ速やかに報告を行い、指示を仰がなければならない。
オ 情報セキュリティ責任者は、その所掌する課室等において、必要に応じシステム操作者を置くものとする。
(4) 情報システム担当者 電算管理担当職員を情報システム担当者とし、次の業務を行うものとする。
ア 情報システム担当者は、統括情報セキュリティ責任者の指示等に従い、情報システムの設定の変更、運用、更新等の作業を行う。
イ 統括情報セキュリティ責任者の指示等に従い、情報システムに対するユーザーの使用を許可する。
ウ システム操作者に対し、情報システムを管理・運用するための技術的な支援を行う。
エ 情報資産の損失、不正使用を発見した場合は、速やかに統括情報セキュリティ責任者及び関連する情報セキュリティ責任者に報告する。
(5) システム操作者 情報セキュリティ責任者の指示等に従い、その所管する情報システムについて設定の変更、運用、更新等の作業を行う者をシステム操作者とする。システム操作者は、ユーザーに対し、情報システムを管理・運用するための技術的な支援を行う。
(6) ユーザー 情報資産へのアクセス権限を許可された職員等及び委託業務の受託者をいう。
第2節 情報資産の分類と管理
(情報資産の分類)
第12条 町における情報資産は、機密性、完全性及び可用性により、別表のとおり分類し、必要に応じ取扱制限を行うものとする。
(情報資産の管理)
第13条 情報資産の管理は、次の各号に定めるところにより行うものとする。
(1) 管理責任
ア 情報セキュリティ責任者は、その所管する情報資産について管理責任を有する。
イ 情報資産が複製された場合には、複製等された情報資産も管理しなければならない。
ウ 職員等は、情報資産を分類に応じ適切に管理しなければならない。
エ 情報セキュリティ責任者は、住民に関する情報資産について、完全性を確保しなければならない。
(2) 情報の作成
ア 職員等は、業務上必要のない情報を作成してはならない。
イ 情報を作成する者は、作成途上の情報についても、紛失や流出等を防止しなければならない。また、情報の作成途上で不要になった場合は、当該情報を消去しなければならない。
(3) 情報資産の入手
ア 庁内の者が作成した情報資産を入手した者は、入手元の情報資産の分類に基づいた取扱いをしなければならない。
イ 庁外の者が作成した情報資産を入手した者は、当該情報資産について分類を行い、取扱い制限を定めなければならない。
ウ 情報資産を入手した者は、入手した情報資産の分類が不明な場合、情報セキュリティ責任者に判断を仰がなければならない。
(4) 情報資産の利用
ア 情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。
イ 情報資産を利用する者は、情報資産の分類に応じ、適切な取扱いをしなければならない。
(5) 情報資産の保管
ア 情報セキュリティ責任者は、情報資産の分類に従って情報資産を適切に保管しなければいけない。
イ 情報セキュリティ責任者は、所管する職員等が所有する外部記録媒体等を管理し、特に機密性2以上、完全性2又は可用性2の情報を記録した外部記録媒体については、耐火、耐熱、耐水及び耐湿を講じた施錠可能な場所に保管しなければならない。
ウ 情報セキュリティ責任者は、情報システムのバックアップで取得したデータを記録する外部記録媒体を長期間保管する場合は、自然災害を被る可能性が低い地域に保管しなければならない。
(6) 情報の送信 電子メール等により機密性2以上の情報を送信する者は、必要に応じ暗号化又はパスワード設定を行わなければならない。
(7) 情報資産の運搬
ア 車両等により機密性2以上の情報資産を運搬する者は、必要に応じ鍵付きのケース等に格納し、暗号化又はパスワードの設定を行う等、情報資産の不正利用を防止する為の措置を講じなければならない。
イ 機密性2以上の情報資産を運搬する者は、情報セキュリティ責任者に許可を得なければならない。
(8) 情報資産の提供・公表 機密性2以上の情報資産を外部に提供する者は、情報セキュリティ責任者に許可を得なければならない。
(9) 情報資産の廃棄
ア 機密性2以上の情報資産を廃棄する者は、情報を記録している記録媒体が不要になった場合、記録媒体の初期化・物理的に破壊する等、情報を復元できないように処置した上で廃棄しなければならない。
イ 情報資産の廃棄を行う者は、情報セキュリティ責任者の許可を得なければならない。
第3節 物理的セキュリティ
(サーバ等の管理)
第14条 サーバ等の管理は、次に定めるところにより行うものとする。
(1) 管理区域の設置 統括情報セキュリティ責任者は、施設管理部門と連携し、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理並びに運営を行う為の部屋(以下「情報システム室」という。)や、電磁的記録媒体の保管庫を、管理区域として設置しなければならない。
(2) 機器の設置 情報セキュリティ責任者は、サーバ等の機器の取り付けを行う場合、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないように適切に固定する等、必要な措置を講じなければならない。
(3) 機器の電源
ア 統括情報セキュリティ責任者及び情報セキュリティ責任者は、サーバ等の機器の電源について、予期せぬ停電等による電源共有の停止又は一時的な電圧の低下等に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。
イ 統括情報セキュリティ責任者は、施設管理部門と連携し、停電等による電源供給の停止が長期にわたる場合に備え、ネットワーク機器、重要情報を格納しているサーバ、セキュリティサーバ、住民サービスに関するサーバ、その他の基幹系サーバに対して安定した電力を供給し続けられる予備電源を備え付けなければならない。
ウ 情報セキュリティ責任者は、統括情報セキュリティ責任者及び施設管理部門と連携し、落雷等による過電流に対して、サーバ等の機器を保護するための措置を講じなければならない。
(4) 通信ケーブル等の配線 統括情報セキュリティ責任者、情報セキュリティ責任者は、施設管理部門と連携し、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。
(5) 機器の定期保守及び修理
ア 情報セキュリティ責任者は、可用性2のサーバ等の機器の定期保守を実施しなければならない。
イ 情報セキュリティ責任者は、記録媒体を内蔵する機器を外部の事業者に修理させる場合、修理を委託する事業者の秘密保持体制等の確認を行い、場合によっては守秘義務契約を締結する等の措置を施さなければならない。
(6) 敷地外への機器の設置 統括情報セキュリティ責任者及び情報セキュリティ責任者は、庁舎の敷地外にサーバ等の機器を設置する場合、最高情報統括責任者の承認を得なければならない。また、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。
(7) 機器の廃棄等 情報セキュリティ責任者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を削除のうえ、復元不可能な状態にする措置を講じなければならない。
(管理区域の管理)
第15条 前条第1号に定める管理区域の管理については、次に定めるとおり行うものとする。
(1) 管理区域の構造等
ア 管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理並びに運用を行うための部屋(以下「情報システム室」いう。)や電磁的記録媒体の保管庫をいう。
イ 統括情報セキュリティ責任者は、管理区域を地階又は1階に設けてはならない。また、外部からの侵入が容易にできないようにしなければならない。
ウ 統括情報セキュリティ責任者は、施設管理部門と連携して、管理区域から外部に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等によって許可されていない立入りを防止しなければならない。
エ 統括情報セキュリティ責任者は、情報システム室内の機器等に、転倒及び落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。
オ 統括情報セキュリティ責任者は、管理区域に配置する消火薬剤や消防用設備等が、機器等及び記録媒体に影響を与えないようにしなければならない。
(2) 管理区域の入退室管理等
ア 統括情報システム責任者は、管理区域への入退室を許可された者のみに制限し、ICカード、指紋認証等の生体認証又は入退室管理簿の記載による入退室管理を行わなければならない。
イ 外部委託事業者は、管理区域に入室する場合、身分証明書等を携帯し、求めにより提示しなければならない。
ウ 統括情報セキュリティ責任者は、機密性2以上の情報資産を扱うシステムを設置している管理区域について、当該情報システムに関連しないコンピュータ、通信回線装置、外部記録媒体等を持ち込ませないようにしなければならない。
(3) 機器等の搬入出
ア 統括情報セキュリティ責任者は、搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員又は委託した業者に確認を行わせなければならない。
イ 統括情報セキュリティ責任者は、情報システム室の機器等の搬入出について、職員を立ち会わせなければならない。
(通信回線及び通信回線装置の管理)
第16条 統括情報セキュリティ責任者及び情報セキュリティ責任者は、庁内の通信回線及び通信回線装置を、施設管理部門と連携し、適切に管理しなければならない。また、通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。
2 統括情報セキュリティ責任者及び情報セキュリティ責任者は、外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。
3 情報セキュリティ責任者は、ネットワーク回線を新たに設置又は廃止する場合、統括情報セキュリティ責任者の許可を得なければならない。
4 情報セキュリティ責任者は、所管するネットワークを無線化する場合は、統括情報セキュリティ責任者の許可を得なければならない。
5 統括情報セキュリティ責任者及び情報セキュリティ責任者は、機密性2以上の情報資産を取り扱う情報システムに通信回線を接続する場合、必要なセキュリティ水準を検討の上、適切な回線を選択しなければならない。また、必要に応じ、送受信される情報の暗号化を行わなければならない。
6 統括情報セキュリティ責任者及び情報セキュリティ責任者は、ネットワークに使用する回線について、伝送途上に情報が破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策を実施しなければならない。
(職員等のパソコンの管理)
第17条 情報セキュリティ責任者は、執務室等のパソコン等の端末について、盗難防止のための物理的措置を講じなければならない。
2 情報セキュリティ責任者は、情報システムへのログインパスワードの入力を必要とするように設定しなければならない。
(外部記録媒体の管理)
第18条 統括情報セキュリティ責任者は、外部記録媒体の使用について、ネットワーク又は職員等のパソコンへの接続をシステム上制御し、許可した媒体以外を使用できないようにしなければならない。
2 統括情報セキュリティ責任者は、職員等が使用する外部記録媒体について、台帳に登録し、管理しなければならない。
第4節 人的セキュリティ
(職員等の遵守事項)
第19条 情報セキュリティを確保する為に職員等が遵守すべき事項は次に揚げるとおりとする。
(1) 情報セキュリティポリシー等の遵守 職員等は、情報セキュリティポリシー及び実施手順を遵守しなければならない。また、情報セキュリティ対策について不明な点、遵守することが困難な点等がある場合は、速やかに情報セキュリティ責任者に相談し、指示を仰がなければならない。
(2) 業務以外の目的での使用の禁止 職員等は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。
(3) パソコン等の端末の持ち出し及び外部における情報処理作業の制限
ア 職員等は、本町のパソコン等の端末、記録媒体、情報資産及びソフトウェアを外部に持ち出す場合には、情報セキュリティ責任者の許可を得なければならない。
イ 職員等は、外部で情報処理業務を行う場合には、情報セキュリティ責任者の許可を得なければならない。
(4) パソコン等の端末等の持込 職員等は、情報資産を扱わない携帯電話を除き、私物のパソコン及び記録媒体等を庁舎内に持ち込んではならない。ただし、業務上必要な場合は情報セキュリティ責任者の許可を得て、これらを持ち込むことができる。
(5) パソコン等のネットワークへの接続
ア 職員等は、外部から持ち込んだパソコン等の端末等及び記録媒体等を、庁内のネットワーク又はパソコン等に接続してはならない。ただし、原則として業務上必要な場合に限り、統括情報セキュリティ責任者の許可を得て接続することができる。
イ 職員等は、庁内のパソコン等の端末及び記録媒体等を、外部のネットワーク又はパソコン等に接続してはならない。
(6) 持ち出し及び持ち込みの記録 情報セキュリティ責任者は、端末等の持ち出し及び持ち込みについて、記録を作成し、保管しなければならない。
(7) パソコン等の端末におけるセキュリティ設定変更の禁止 職員等は、パソコン等の端末のソフトウェアに関するセキュリティ機能の設定を情報セキュリティ責任者の許可なく変更してはならない。
(8) 机上の端末等の管理 職員等は、パソコン等の端末や記録媒体、情報が印刷された文書等について、第三者に使用されること、又は情報セキュリティ責任者の許可なく情報を閲覧されることがないように、離席時の端末のロックや、記録媒体・文書等の容易に閲覧されない場所への保管等、適切な措置を講じなければならない。
(9) 退職時等の遵守事項 職員等は、異動、退職等により業務を離れる場合には、利用していた情報資産を、返却しなければならない。また、その後も業務上知り得た情報を漏らしてはならない。
(非常勤及び臨時職員への対応)
第20条 情報セキュリティ責任者は、非常勤及び臨時職員に対し、採用時に情報セキュリティポリシー等のうち、非常勤及び臨時職員が守るべき内容を理解させ、また実施及び遵守させなければならない。
2 情報セキュリティ責任者は、非常勤及び臨時職員にパソコン等の端末による作業を行わせる場合において、インターネットへの接続及び電子メールの使用等が不要の場合、これを利用できないようにしなければならない。
(情報セキュリティポリシー等の掲示)
第21条 情報セキュリティ責任者は、職員等が常に情報セキュリティポリシー及び実施手順を閲覧できるように掲示しなければならない。
(外部委託事業者に対する説明)
第22条 情報セキュリティ責任者は、ネットワーク及び情報システムの開発・保守等を外部委託事業者に発注する場合、外部委託事業者から再委託を受ける事業者も含めて、情報セキュリティポリシー等のうち外部委託事業者が守るべき内容の遵守及びその機密事項を説明しなければならない。
(研修・訓練)
第23条 最高情報統括責任者は、必要に応じて情報セキュリティに関する研修・訓練を実施しなければならない。また、新規採用の職員等を対象とする情報セキュリティに関する研修を実施しなければならない。
2 すべての職員等は、定められた研修・訓練に参加しなければならない。
(事故、欠陥等の報告)
第24条 職員等は、情報セキュリティに関する事故、システム上の欠陥及び誤動作を発見又は知った場合、速やかに情報セキュリティ責任者に報告しなければならない。
2 前項の報告を受けた情報セキュリティ責任者は、速やかに統括情報セキュリティ責任者に報告しなければならない。
3 統括情報セキュリティ責任者は、前項により報告のあった事故等について、必要に応じて最高情報統括責任者に報告しなければならない。
4 統括情報セキュリティ責任者は、事故等を引き起こした部門の情報セキュリティ責任者と連携し、これらの事故等を分析し、記録を保存しなければならない。
(ID及びパスワード等の管理)
第25条 職員等は、ID及びパスワード等の管理について、次に定めるとおり行うものとする。
(1) ICカード等の取扱い
ア 職員等は、認証に用いるICカード等を、職員等間で共有してはならない。
イ 職員等は、業務上必要のないときは、ICカード等をカードリーダ若しくはパソコン等の端末のスロット等から抜いておかなければならない。
ウ 職員等は、ICカード等を紛失した場合には、速やかに情報セキュリティ責任者及び統括情報セキュリティ責任者に通報し、指示に従わなければならない。
エ 統括情報セキュリティ責任者及び情報セキュリティ責任者は、ICカード等の紛失等の通報があり次第、当該ICカード等を使用したアクセス等を速やかに停止しなければならない。
オ 統括情報セキュリティ責任者及び情報セキュリティ責任者は、ICカード等を切り替える場合、切替え前のカードを回収し、破砕するなど復元不可能な処理を行った上で廃棄しなければならない。
(2) IDの取扱い
ア 職員等は、自己が利用しているIDは、他人に利用させてはならない。
イ 職員等は、共用IDを利用する場合は、共用IDの利用者以外に利用させてはならない。
(3) パスワードの取扱い 職員等は、パスワードの取扱いについて、次の点を遵守すること。
ア パスワードは、他者に知られないように管理しなければならない。
イ パスワードを秘密にし、パスワードの照会等には一切応じてはならない。
ウ パスワードは十分な長さとし、文字列は想像しにくいものにしなければならない。
エ パスワードが流出したおそれがある場合には、情報セキュリティ責任者に速やかに報告し、パスワードを速やかに変更しなければならない。
オ パスワードは定期的に、又はアクセス回数に基づき変更し、古いパスワードを再利用してはならない。
カ 仮のパスワードは、最初のログイン時点で変更しなければならない。
キ パソコン等の端末にパスワードを記憶させてはならない。
ク 職員等間でパスワードを共有してはならない。
第5節 技術的セキュリティ
(コンピュータ及びネットワークの管理)
第26条 コンピュータ及びネットワークの管理にあたり、次に揚げるセキュリティ対策を実施しなければならない。
(1) ファイルサーバの設定等
ア 統括情報セキュリティ責任者は、職員等が使用できるファイルサーバの容量を設定し、職員等に周知しなければならない。
イ 統括情報セキュリティ責任者は、ファイルサーバを課室等の単位に分割し、職員等が他課室等のフォルダ及びファイルを閲覧及び使用できないように設定しなければならない。
(2) バックアップの実施 情報セキュリティ責任者は、ファイルサーバ等に記録された、自らが管理すべき情報について、サーバの冗長化対策に関わらず、必要に応じて定期的にバックアップを実施しなければならない。
(3) システム管理記録及び作業の確認 統括情報セキュリティ責任者及び情報セキュリティ責任者は、所管するシステムにおいて、システム変更等の作業を行った場合は、作業内容について記録を作成し、詐取、改ざん等をされないように適切に管理しなければならない。
(4) 情報システム仕様書等の管理 統括情報セキュリティ責任者及び情報セキュリティ責任者は、ネットワーク構成図、情報システム仕様書について、記録媒体に関わらず、業務上必要とする者以外の者が閲覧したり、紛失等がないよう、適切に管理しなければならない。
(5) アクセス記録の取得等
ア 統括情報セキュリティ責任者及び情報セキュリティ責任者は、各種アクセス記録及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。
イ 統括情報セキュリティ責任者及び情報セキュリティ責任者は、アクセス記録等が詐取、改ざん、誤消去等されないように必要な措置を講じなければならない。
(6) 障害記録 統括情報セキュリティ責任者及び情報セキュリティ責任者は、職員等からのシステム障害の報告、システム障害に対する処理結果又は問題等を、障害記録として記録し、適切に保存しなければならない。
(7) ネットワークの接続制御、経路制御等
ア 統括情報セキュリティ責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。
イ 統括情報セキュリティ責任者は、不正アクセスを防止するため、ネットワークに適切なアクセス制御を施さなければならない。
(8) 外部の者が利用できるシステムの分離等 情報セキュリティ責任者は、電子申請の汎用受付システム、公衆無線LANシステム等、外部の者が利用できるシステムについて、必要に応じ他のネットワーク及び情報システムと物理的に分離する等の措置を講じなければならない。
(9) 外部ネットワークとの接続制限等
ア 情報セキュリティ責任者は、所管するネットワークを外部ネットワークと接続しようとする場合には、最高情報統括責任者及び統括情報セキュリティ責任者の許可を得なければならない。
イ 情報セキュリティ責任者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内のすべてのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。
ウ 情報セキュリティ責任者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。
エ 統括情報セキュリティ責任者は、ウェブサーバ等をインターネットに公開する場合、庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界に設置したうえで接続しなければならない。
オ 情報セキュリティ責任者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、統括情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。
(10) 無線LAN及びネットワークの盗聴対策 統括情報セキュリティ責任者は、無線LANの利用を認める場合、解読が困難な暗号化及び認証技術の使用を義務づけなければならない。
(11) 電子メールのセキュリティ管理
ア 統括情報セキュリティ責任者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。
イ 統括情報セキュリティ責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。
ウ 統括情報セキュリティ責任者は、職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員等に周知しなければならない。
(12) 電子メール等の利用制限
ア 職員等は、自動転送機能を用いて、電子メールを転送してはならない。
イ 職員等は、業務上必要のない送信先に電子メールを送信してはならない。
ウ 職員等は、複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。
エ 職員等は、重要な電子メールを誤送信した場合、情報セキュリティ責任者に報告しなければならない。
オ 職員等は、ウェブで利用できるフリーメール、ネットワークストレージサービス等を使用してはならない。ただし、業務上必要な場合に限り、統括情報セキュリティ責任者の許可を得てこれらを使用することができる。
(13) 電子署名・暗号化
ア 職員等は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、最高情報統括責任者が定めた電子署名、暗号化又はパスワード設定の方法を使用して、送信しなければならない。
イ 職員等は、暗号化を行う場合に最高情報統括責任者が定める以外の方法を用いてはならない。また、最高情報統括責任者が定めた方法で暗号のための鍵を管理しなければならない。
(14) 無許可ソフトウェアの導入等の禁止
ア 職員等は、パソコン等の端末に無断でソフトウェアを導入してはならない。
イ 職員等は、業務上の必要がある場合は、統括情報セキュリティ責任者の許可を得てソフトウェアを導入することができる。なお、導入する際は、統括情報セキュリティ責任者は、ソフトウェアのライセンスを管理しなければならない。
ウ 職員等は、不正にコピーしたソフトウェアを利用してはならない。
(15) 機器構成の変更の制限
ア 職員等は、パソコン等の端末に対し機器の改造及び増設・交換を行ってはならない。
イ 職員等は、業務上、パソコン等の端末に対し機器の改造及び増設・交換を行う必要がある場合には、統括情報セキュリティ責任者の許可を得なければならない。
(16) 業務以外の目的でのウェブ閲覧の禁止
ア 職員等は、業務以外の目的でウェブを閲覧してはならない。
イ 統括情報セキュリティ責任者は、職員等のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、情報セキュリティ責任者に通知し適切な措置を求めなければならない。
(アクセス制御)
第27条 ネットワークへのアクセス制御について、次に定めるところにより行うものとする。
(1) システム上のアクセス制御 統括情報セキュリティ責任者及び情報セキュリティ責任者は、所管するネットワーク又は情報システムごとにアクセスする権限のない職員等がアクセスできないように、システム上制限しなければならない。
(2) 利用者IDの取扱い
ア 統括情報セキュリティ責任者及び情報セキュリティ責任者は、利用者の登録、変更、抹消等の情報管理、職員等の異動、出向、退職者に伴う利用者IDの取扱い等の方法を定めなければならない。
イ 職員等は、業務上必要がなくなった場合は、利用者登録を抹消するよう、統括情報セキュリティ責任者又は情報セキュリティ責任者に通知しなければならない。
ウ 統括情報セキュリティ責任者及び情報セキュリティ責任者は、利用されていないIDが放置されないよう、人事管理部門と連携し、点検しなければならない。
(3) 特権を付与されたIDの管理等
ア 統括情報セキュリティ責任者及び情報セキュリティ責任者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。
イ 統括情報セキュリティ責任者は、特権を付与されたID及びパスワードの変更について、外部委託事業者に行わせてはならない。
(4) 外部からのアクセス等の制限
ア 外部委託事業者が外部から内部のネットワーク又は情報システムにアクセスする場合は、統括情報セキュリティ責任者及び当該情報システムを管理する情報セキュリティ責任者の許可を得なければならない。
イ 統括情報セキュリティ責任者は、内部のネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。
ウ 統括情報セキュリティ責任者は、外部からのアクセスを認める場合、通信途上の盗聴を防御する措置を講じなければならない。
(5) パスワードに関する情報の管理
ア 統括情報セキュリティ責任者及び情報セキュリティ責任者は、職員等のパスワードに関する情報を厳重に管理しなければならない。
イ 統括情報セキュリティ責任者及び情報セキュリティ責任者は、職員等に対してパスワードを発行する場合は、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。
(6) 特権による接続時間の制限 統括情報セキュリティ責任者及び情報セキュリティ責任者は、特権によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。
(システム開発、導入、保守等)
第28条 統括情報セキュリティ責任者及び情報セキュリティ責任者は、情報システムの開発、導入、保守等にあたり、事故、不正行為の防止のため、次の事項を行わなければならない。
(1) 情報システムの調達
ア 統括情報セキュリティ責任者及び情報セキュリティ責任者は、情報システム開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。
イ 統括情報セキュリティ責任者及び情報セキュリティ責任者は、機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。
(2) 情報システムの開発 情報セキュリティ責任者は、情報システムを開発又は導入する場合、あらかじめ当該情報システムに必要な実施手順を作成したうえで、統括情報セキュリティ責任者の許可を得なければならない。
(3) 開発委託業者の管理 新たなシステムの開発を外部の業者に委託する場合、信頼できる業者に委託するために、必要な資格等を十分に検討しなければならない。また、必要があると認められた場合はソースコードの提出を求め、再委託契約を行う際には、再委託先の経営状況等、契約履行が可能であるか確認しなければならない。
(不正プログラム対策)
第29条 統括情報セキュリティ責任者及び情報セキュリティ責任者は、不正プログラム対策として、次の事項を措置しなければならない。
ア 統括情報セキュリティ責任者は、外部ネットワークから受信したファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムのシステムへの侵入を防止しなければならない。
イ 統括情報セキュリティ責任者は、外部ネットワークに送信するファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等不正プログラムのチェックを行い、不正プログラムの外部への拡散を防止しなければならない。
ウ コンピュータウイルス等の不正プログラム情報を収集し、必要に応じ職員等に対して注意喚起しなければならない。
エ 統括情報セキュリティ責任者及び情報セキュリティ責任者は、所掌するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させなければならない。
オ 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保たなければならない。
カ 不正プログラム対策のソフトウェアは、常に最新の状態に保たなければならない。
キ インターネットに接続していないシステムにおいて、記録媒体を使う場合、コンピュータウイルス等の感染を防止するために、町が管理している媒体以外を職員等に利用させてはならない。ただし、業務上必要な場合は統括情報セキュリティ責任者の許可を得て利用することができる。また、不正プログラムの感染、侵入が生じる可能性が著しく低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施しなければならない。
2 職員等は、不正プログラム対策に関し、次の事項を遵守しなければならない。
ア パソコン等の端末において、不正プログラム対策ソフトウェアが導入されている場合は、当該ソフトウェアの設定を変更してはならない。
イ 外部からデータ又はソフトウェアを取り入れる場合には、必ず不正プログラム対策ソフトウェアによるチェックを行わなければならない。
ウ 差出人が不明又は不自然に添付されたファイルを受信した場合は、速やかに削除しなければならない。
エ 端末に対して、不正プログラム対策ソフトウェアによるフルチェックを定期的に実施しなければならない。
オ 添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックを行わなければならない。
カ 統括情報セキュリティ責任者が提供するウイルス情報を、常に確認しなければならない。
キ コンピュータウイルス等の不正プログラムに感染した場合は、LANケーブルの即時取り外しを行わなければならない。
(不正アクセス対策)
第30条 最高情報統括責任者及び統括情報セキュリティ責任者は、不正アクセス対策として、次の事項に定めるとおり措置しなければならない。
(1) ポートの閉鎖 統括情報セキュリティ責任者は、不正アクセス対策として、使用されていないポートを閉鎖しなければならない。
(2) 攻撃の予告 最高情報統括責任者及び統括情報セキュリティ責任者は、サーバ等に攻撃を受けることが明確になった場合、システムの停止を含む必要な措置を講じなければならない。また、関係機関と連絡を密にして情報の収集に努めなければならない。
(3) 記録の保存 最高情報統括責任者及び統括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。
(4) 内部からの攻撃 統括情報セキュリティ責任者は、職員等及び外部委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。
(5) 職員等による不正アクセス 統括情報セキュリティ責任者は、職員等による不正アクセスを発見した場合は、当該職員等が所属する課室等の情報セキュリティ責任者に通知し、適切な処置を求めなければならない。
(セキュリティ情報の収集)
第31条 統括情報セキュリティ責任者は、セキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。
2 統括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。
3 統括情報セキュリティ責任者は、情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合は、セキュリティ侵害等を未然に防止するための対策を速やかに講じなければならない。
第6節 運用
(情報システムの監視)
第32条 統括情報セキュリティ責任者は、セキュリティに関する事案を検知するため、情報システムを常時監視し、次に揚げる事項について実施しなければならない。
ア 統括情報セキュリティ責任者は、重要なアクセスログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。
イ 統括情報セキュリティ責任者は、外部と常時接続するシステムを常時監視しなければならない。
ウ 統括情報セキュリティ責任者は、職員等のパソコン等の使用状況、ウェブ閲覧の履歴、ソフトウェアのインストール状況を監視し、又はログ情報を取得し、一定期間保存しなければならない。
(情報セキュリティポリシーの遵守状況の確認)
第33条 情報セキュリティ責任者は、必要に応じ情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合には、速やかに最高情報統括責任者及び統括情報セキュリティ責任者に報告しなければならない。
2 最高情報統括責任者は、発生した問題について、適切かつ速やかに対処しなければならない。
3 統括情報セキュリティ責任者及び情報セキュリティ責任者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合には適切かつ速やかに対処しなければならない。
4 最高情報統括責任者及び統括情報セキュリティ責任者が指名した者は、不正アクセス、不正プログラム等の調査のために、職員等が使用しているパソコン等の端末、記録媒体のアクセス記録、電子メールの送受信記録等の利用状況を調査することができる。
5 職員等は、情報セキュリティポリシーに対する違反行為を発見した場合、直ちに統括情報セキュリティ責任者に報告を行わなければならない。
6 前項の違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると統括情報セキュリティ責任者が判断した場合は、緊急時対応計画に従って適切に対処しなければならない。
(侵害時の対応)
第34条 最高情報統括責任者又は情報セキュリティ委員会は、情報セキュリティに関する事故、情報セキュリティポリシーの違反等により情報資産への侵害が発生した場合又は発生するおそれがある場合において連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適切に実施するために、緊急時対応計画を定めておき、侵害時には当該計画に従って適切に対処しなければならない。
2 前項に定める緊急時対応計画の策定に関して、留意すべき事項を次のとおり定める。
(1) 緊急時対応計画に盛り込むべき内容 緊急時対応計画には、以下の内容を定めなければならない。
ア 関係者の連絡先
イ 発生した事案に係る報告すべき事項
ウ 発生した事案への対応措置
エ 再発防止措置の策定
(2) 業務継続計画との整合性確保 本町が自然災害、大規模・広範囲にわたる疾病等に備えて業務継続計画を策定する場合、情報セキュリティ委員会は当該計画と情報セキュリティポリシーの整合性を確保しなければならない。
(3) 緊急時対応計画の見直し 最高情報統括責任者又は情報セキュリティ委員会は、情報セキュリティを取り巻く状況の変化や組織体制の変動等に応じ、必要に応じて緊急時対応計画の規定を見直さなければならない。
(外部委託)
第35条 情報システムの開発、保守、運用管理等を外部委託する場合に、統括情報セキュリティ責任者及び情報セキュリティ責任者が遵守すべき事項について次のとおり定める。
(1) 情報セキュリティ責任者は、外部委託先の選定に当たり、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。
(2) 情報システムの運用、保守等を外部委託する場合には、委託事業者との間で必要に応じて次の情報セキュリティ要件を明記した契約を締結しなければならない。
ア 情報セキュリティポリシー及び情報セキュリティ実施手順の遵守
イ 委託先の責任者、委託内容、作業者、作業場所の特定
ウ 提供されるサービスレベルの保証
エ 従業員に対する教育の実施
オ 提供された情報の目的外利用及び受託者以外の者への提供の禁止
カ 業務上知り得た情報の守秘義務
キ 再委託に関する制限事項の遵守
ク 委託業務終了時の情報資産の返還、廃棄等
ケ 委託業務の定期報告及び緊急時報告義務
コ 町による監査、検査
サ 町による事故時等の公表
シ 情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)
(3) 情報セキュリティ責任者は、外部委託事業者において必要なセキュリティ対策が確保されていることを定期的に確認し、必要に応じ、その契約に基づき措置しなければならない。また、その内容を統括情報セキュリティ責任者に報告するとともに、その重要度に応じて最高情報統括責任者に報告しなければならない。
(例外措置)
第36条 情報セキュリティ責任者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、最高情報統括責任者及び統括情報セキュリティ責任者の許可を得て、例外措置を取ることができる。
2 情報セキュリティ責任者は、行政事務の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避のときは、事後速やかに最高情報統括責任者及び統括情報セキュリティ責任者に報告しなければならない。
(法令遵守)
第37条 職員等は、職務の遂行において使用する情報資産を保護するために、次の法令のほか関係法令を遵守し、これに従わなければならない。
(1) 地方公務員法(昭和25年法律第261号)
(2) 著作権法(昭和45年法律第48号)
(3) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(4) 個人情報の保護に関する法律(平成15年法律第57号)
(懲戒処分等)
第38条 情報セキュリティポリシーに違反した職員等及びその監督責任者は、その重大性、発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とする。
2 職員等の情報セキュリティポリシーに違反する行動を確認した場合には、速やかに次の措置を講じなければならない。
(1) 統括情報セキュリティ責任者が違反を確認した場合は、統括情報セキュリティ責任者は当該職員等が所属する課室等の情報セキュリティ責任者に通知し、適切な措置を求めなければならない。
(2) 情報システム担当者等が違反を確認した場合は、違反を確認した者は速やかに統括情報セキュリティ責任者及び当該職員等が所属する課室等の情報セキュリティ責任者に通知し、適切な措置を求めなければならない。
(3) 情報セキュリティ責任者の指導によっても改善されない場合、統括情報セキュリティ責任者は、当該職員等のネットワーク又は情報システムを使用する権利を停止あるいは剥奪することができる。その後速やかに、統括情報セキュリティ責任者は、職員等の権利を停止あるいは剥奪した旨を最高情報統括責任者及び当該職員等が所属する課室等の情報セキュリティ責任者に通知しなければならない。
第7節 評価・見直し
(評価)
第39条 情報セキュリティ委員会は、必要に応じ統括情報セキュリティ責任者及び情報セキュリティ責任者に対して、セキュリティポリシーの遵守状況を点検させることができる。
2 統括情報セキュリティ責任者及び情報セキュリティ責任者は、前項の点検結果をセキュリティ委員会に報告しなければならない。
3 職員等は、自己の権限の範囲内で必要に応じて自己点検を実施し、結果に基づいて、自己の権限の範囲内で改善を図らなければならない。
4 情報セキュリティ委員会が必要に応じて不定期に外部団体に要請して外部監査を行う。
5 情報セキュリティ委員会は、監査の実施を通して収集した監査証拠、監査報告書の作成のための監査調書を、紛失等が発生しないように適切に保管しなければならない。
(見直し)
第40条 情報セキュリティ委員会は、前条の監査結果を踏まえ、最高情報統括責任者及び統括情報セキュリティ責任者及び指摘事項を所管する情報セキュリティ責任者に対し、当該事項への対処を指示しなければならない。また、指摘事項を所管していない情報セキュリティ責任者に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。
2 情報セキュリティ委員会は、監査結果を情報セキュリティポリシーの見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。
3 情報セキュリティ委員会は、情報セキュリティポリシーについて情報セキュリティ監査及び自己点検の結果並びに情報セキュリティに関する状況の変化等をふまえ、必要があると認めた場合評価を行い、改善を行うものとする。
附則
この訓令は、平成23年12月1日から施行する。
附則(令和5年訓令第4号)
この訓令は、令和5年4月1日から施行する。
別表(第12条関係)
分類 | 分類基準 | 取扱制限 |
機密性による分類と取扱制限 | ||
機密性3 | 行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性を要する情報資産 | ・必要以上の複製及び配付禁止 ・保管場所の制限、保管場所への必要以上の外部記録媒体等の持ち込み禁止 ・情報の送信、情報資産の運搬・提供時における暗号化・パスワード設定や鍵付きケースへの格納 ・復元不可能な処理を施しての廃棄 ・信頼のできるネットワーク回線の選択 ・外部で情報処理を行う際の安全管理措置の規定 ・外部記録媒体の施錠可能な場所への保管 |
機密性2 | 行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産 | |
機密性1 | 機密性2又は機密性3の情報資産以外の情報資産 | |
完全性による分類と取扱制限 | ||
完全性2 | 行政事務で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、住民の権利が侵害される、又は行政事務の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 | ・バックアップ、電子署名付与 ・外部で情報処理を行う際の安全管理措置の規定 ・外部記録媒体の施錠可能な場所への保管 |
完全性1 | 完全性2の情報資産以外の情報資産 | |
可用性による分類と取扱制限 | ||
可用性2 | 行政事務で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、住民の権利が侵害される、又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 | ・バックアップ、指定する時間以内の復旧 ・外部記録媒体の施錠可能な場所への保管 |
可用性1 | 可用性2の情報資産以外の情報資産 |