茅ヶ崎市情報セキュリティ基本方針

（趣旨）

第1　茅ヶ崎市情報セキュリティ基本方針（以下「基本方針」という。）は、茅ヶ崎市が所管する情報資産の機密性、完全性及び可用性を確保し、及び維持するため、様々な脅威に対する抑止、予防、検知及び回復について、組織的かつ計画的に取り組むために統一的な対策及び基本的な考え方を示すものである。

（用語の定義）

第2　基本方針において次に掲げる用語の定義は、次のとおりとする。

(1) ネットワーク　コンピュータ等を相互に接続するための通信網をいう。

(2) 情報システム　コンピュータ、ネットワーク及びコンピュータ又はネットワークに付随するハードウエア、ソフトウエア等の全部又は一部で構成された情報処理に用いる仕組みをいう。

(3) 情報セキュリティ　情報資産の機密性、完全性及び可用性を確実に確保し、及び維持されることをいう。

(4) 情報セキュリティポリシー　本基本方針及び茅ヶ崎市情報セキュリティ対策基準（以下「対策基準」という。）をいう。

(5) 機密性　情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。

(6) 完全性　情報が破壊、改ざん又は消去されていない状態を確保することをいう。

(7) 可用性　情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。

(8) 電子情報　情報システムにより通信し、又は処理され、記録媒体により保管されるすべての電子的な情報をいう。

(9) 印刷情報　情報システムの開発と運用にかかわるすべての文書及び図画を記した紙並びに情報システムから出力され、印刷された情報をいう。

(10) 情報資産　市の所管する情報システム、電子情報及び印刷情報をいう。

（対象範囲）

第3　基本方針の対象範囲は、次に掲げるとおりとする。

(1) 組織の範囲

本基本方針が適用される組織は、市長、議会、教育委員会、選挙管理委員会、公平委員会、監査委員、農業委員会、固定資産評価審査委員会及び病院事業管理者とする。

(2) 人の範囲

本市が所管する情報資産を職務上取り扱う全ての者（以下「職員等」という。）とする。

(3) 情報資産の範囲

本基本方針が対象とする情報資産は、次のとおりとする。

ア　ネットワーク及び情報システム並びにこれらに関する設備及び電磁的記録媒体

イ　ネットワーク及び情報システムで取り扱う情報（これらを印刷した文書を含む。）

ウ　情報システムの仕様書及びネットワーク図等のシステム関連文書

（職員等の遵守義務）

第4　職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行にあたって情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。

（情報資産への脅威）

第5　情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

(1)不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等

(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等

(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等

(4) 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等

(5) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等

（情報セキュリティ対策）

第6　第5に示した脅威から情報資産を保護するために、次に掲げる情報セキュリティ対策を講ずるものとする。

(1) 組織体制

情報資産について、統一的な情報セキュリティ対策を維持し、及び管理するため、全庁的組織体制を確立する。

(2) 電子情報及び印刷情報（以下「情報」という。）の分類と管理

権限を持たない者による不正な情報の取り扱いを防止するとともに、情報の利用者が適正に情報を取り扱うため、情報の分類と管理方法の対策を講ずる。

(3) 情報システムの管理

権限を持たない者による不正な情報システムの運用を防止するとともに、情報システムの利用者が適正に情報システムを運用及び管理できる対策を講ずる。

(4) 物理的セキュリティ対策

情報システムを設置する施設への不正な立入り及び情報資産への損傷、妨害等から保護するために物理的な対策を講ずる。

(5) 人的セキュリティ対策

情報セキュリティに関する権限や責任を定め、職員等に情報セキュリティポリシー及び情報セキュリティに関する法令等の内容を周知徹底する等、十分な教育及び啓発が行われるよう必要な対策を講ずる。

(6) 技術的セキュリティ

コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的な対策を講ずる。

(7) 運用

緊急時に迅速かつ適切な対応を可能とするための危機管理及び情報セキュリティ対策の遵守状況の確認等、運用面の対策を講ずる。

(8) 業務委託と外部サービス（クラウドサービス）の利用

業務委託を行う場合には、委託事業者を選定し、情報セキュリティ要件を明記した契約を締結し、委託事業者において必要なセキュリティ対策が確保されていることを確認し、必要に応じて契約に基づき措置を講ずる。

外部サービス（クラウドサービス）を利用する場合には、利用に係る規定を整備し対策を講ずる。

(9) 評価・見直し

情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施し、実用改善を行い、情報セキュリティの向上を図る。情報セキュリティポリシーの見直しが必要な場合は、適宜情報セキュリティポリシーの見直しを行う。

（対策基準の策定）

第7　第6に示した情報セキュリティ対策を講ずるにあたり、遵守すべき行為及び判断等の統一的な基準を規程等で定めるために必要となる基本的な要件を明記した対策基準を策定する。

（情報セキュリティ実施手順書の策定）

第8　対策基準に基づき整備された規程等を遵守して情報セキュリティ対策を実施するため、各情報システムの主管課等は、主管する情報システムについて具体的な実施手順を明記した「情報セキュリティ実施手順書」を策定する。

（職員等の教育）

第9　情報セキュリティを統括する者は、情報セキュリティポリシーの職員等への啓発及び職員等の情報セキュリティ意識の向上のため、情報セキュリティに関する教育プログラムを策定し、それを実施する。

（規程等の整備）

第10　情報セキュリティ対策を講ずるにあたり関係する課等は、情報セキュリティポリシーにより、情報セキュリティに関する規程等を整備する。

（情報セキュリティ監査及び自己点検の実施）

第11　情報セキュリティ対策の遵守状況及び実効性の有無等を検証するため、定期的に情報セキュリティ監査及び自己点検を実施する。

（評価及び見直し）

第12　情報セキュリティの監査結果等により、情報セキュリティ対策の実効性を評価するとともに、情報セキュリティを取り巻く状況の変化に対応するため、情報セキュリティポリシーの見直しを実施する。