目的

第1条 本町が取り扱う情報資産には、町民の個人情報を始めとし行政運営上重要な情報など、外部に漏洩等した場合には極めて重大な結果を招く情報が含まれており、これらの情報資産を人的脅威や災害、事故等から防御することは、町民の財産、プライバシー等を守るためにも、また、安全・安定的な行政サービスの実施を確保するためにも必要不可欠である。

このため、本町の情報資産の機密性、完全性及び可用性(注)を維持するための対策を整備するため、情報セキュリティポリシーを定めることとし、情報セキュリティの確保に最大限取り組むこととする。

(注)
国際標準化機構(ISO)が定めるもの(ISO 7498-2:1989)
機密性:情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。
完全性:情報及び処理の方法の正確さ及び完全である状態を完全防護すること。
可用性:許可された利用者が必要なときに情報にアクセスできることを確実にすること。

定義

第2条 この基本方針において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
  1. ネットワーク 箱根町役場内における各部署を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。
  2. 情報 文書、図面、写真、図書、それらが表示された画面及び磁気テープまたはフロッピーディスク等の記憶媒体に記録したデータ並びに業務遂行上必要な事実、概念、指示をいう。
  3. 情報システム ハードウェア、ソフトウェア、ネットワーク及び記録媒体で構成されるものであって、これら全体で業務処理を行うものをいう。
  4. 情報資産 情報及び情報を管理する仕組み(情報システム並びにシステム開発運用及び保守のための資料等)の総称をいう。
  5. 情報セキュリティ 情報資産の機密性、完全性及び可用性を確保、維持することにより、情報資産を様々な脅威から保護し、危険のない、不安のない、安全な状態に維持することをいう。
  6. 情報セキュリティポリシー 情報資産の情報セキュリティ対策について総合的・体系的かつ具体的に取りまとめたものをいう。情報セキュリティ基本方針及び情報セキュリティ対策基準からなる。
  7. 情報セキュリティ基本方針 情報セキュリティ対策に関する統一的かつ基本的な方針を規定したものをいう。
  8. 情報セキュリティ対策基準 情報セキュリティ基本方針に基づき、情報セキュリティ確保のために遵守すべき行為及び判断等の基準を示すものをいう。
  9. 情報セキュリティ実施手順 情報セキュリティ対策基準に基づき、具体的な情報システム又は業務において、どのような手順に従って実行していくかを示すものをいう。

対象範囲

第3条 情報セキュリティポリシーの対象範囲は、ハードウェア、ソフトウェア、記録媒体等の情報システム等(情報システム構成図等の文書を含む。)及びすべての情報のうち、情報システムに電磁的に記録される情報、並びにこれらの情報に接するすべての職員および委託業者とする。

管理体制

第4条 情報資産について、適切に情報セキュリティ対策を推進・管理するための体制を確立するものとする。

情報分類及び管理

第5条 情報資産をその重要度に応じて分類し、それに応じた情報セキュリティ対策を行うものとする。

情報セキュリティ対策

第6条 情報資産をさまざまな脅威から保護するため、次の情報セキュリティ対策を講ずるものとする。

  1. 物理的セキュリティ対策 施錠による不正侵入防止、機器の盗難防止等。
  2. 人的セキュリティ対策 権限や責任の明確化、教育・訓練の実施等。
  3. 技術的セキュリティ対策 アクセス制御による不正アクセス防止、コンピュータウイルス対策ソフトの導入等。
  4. 運用管理 情報システムの監視、障害対応及び情報セキュリティポリシー遵守状況の確認等。

情報セキュリティ対策基準の策定

第7条 情報資産について情報セキュリティ対策を講ずるにあたって、職員等が遵守すべき事項及び判断等の基準を統一的なレベルで定める必要がある。

そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。

情報セキュリティ実施手順の策定

第8条 情報セキュリティ対策を確実に実施していくためには、個々の情報資産に関する対策手順を具体的に定めておく必要があることから、情報セキュリティ対策基準に基づき、情報セキュリティ実施手順を策定することとする。

なお、情報セキュリティ実施手順は、公開することにより行政運営に重大な支障を及ぼす恐れのある情報であることから非公開とする。

遵守義務

第9条 すべての職員および委託業者は、情報セキュリティの重要性について共通の認識を持つとともに、情報資産の利用にあたっては情報セキュリティポリシーを遵守するものとする。

評価及び見直し

第10条 情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価、情報システムの変更、新たな脅威等情報セキュリティを取り巻く状況の変化を踏まえ、適宜情報セキュリティポリシーの評価及び見直しを実施するものとする。