○新島村情報セキュリティ基本方針に関する規則
平成27年12月10日
規則第11号
(目的)
第1条 この規則は、当村が保有する情報資産の機密性、完全性及び可用性を維持するため、当村が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。
(1) 電子計算機 ハードウェア及びソフトウェアで構成するコンピュータ、周辺機器並びに記録媒体(磁気ディスク、フロッピーディスク、光磁気ディスクその他これらに類するもの並びに入出力帳票及び情報システム仕様書等をいう。以下同じ。)をいう。
(2) ネットワーク 電子計算機を相互に接続するための通信網及びその構成機器で構成され、情報処理を行う仕組みをいう。
(3) 情報システム 電子計算機及びネットワークにより業務処理を行う仕組みをいう。
(4) 行政情報 行政事務の執行に関わる情報の内、情報システムで取り扱うものをいう。
(5) 情報資産 情報システム及び行政情報をいう。
(6) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(7) 情報セキュリティポリシー この規則及び第9条の規定に基づき定める情報セキュリティ対策基準の総称をいう。
(8) 機密性 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(9) 完全性 情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(10) 可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(対象とする脅威)
第3条 セキュリティポリシーの対象とする脅威は、次に掲げるものとし、それぞれの発生頻度、被害の程度等を考慮して対策を講じるものとする。
(1) サイバー攻撃をはじめとする部外者の侵入、不正アクセス、ウイルス攻撃、サービス不能攻撃等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等
(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
(4) 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(5) 電力供給の途絶、通信の途絶、水道供給の途絶等の提供サービスの障害からの波及等
(適用範囲)
第4条 セキュリティポリシーの適用範囲は、村の職員(定年前再任用短時間勤務職員、非常勤嘱託職員及び臨時職員を含む。以下同じ。)並びに村が管理する情報システム及び情報資産とする。
(1) 行政機関の範囲 この規則が適用される行政機関は、内部課、行政委員会、議会事務局とする。
(2) 情報資産の範囲 この規則が対象とする情報資産は、次のとおりとする。
ア ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体
イ ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)
ウ 情報システムの仕様書及びネットワーク図等のシステム関連文書
(情報セキュリティ対策)
第5条 第3条の脅威から情報資産を保護するために、次の情報セキュリティ対策を講じる。
(1) 組織体制
当村の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。
(2) 情報資産の分類と管理
当村の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。
(3) 物理的セキュリティ
情報機器類を設置する場所の安全性の確保、当該場所への入退室の管理等の物理的な対策を講じる。
(4) 人的セキュリティ
情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。
(5) 技術的セキュリティ
コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的な対策を講じる。
(6) 運用
情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産への侵害が発生した場合等に迅速かつ適切に対応するため、緊急時対応計画を策定する。
(情報セキュリティ監査及び自己点検の実施)
第6条 情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。
(情報セキュリティポリシーの見直し)
第7条 情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。
(情報セキュリティ対策基準の策定)
第8条 この規則に基づき、情報セキュリティ対策を具体的に実施するに当たっての遵守すべき事項や、判断等の基本的な基準として、情報セキュリティ対策基準(以下「対策基準」という。)を策定するものとする。
(情報セキュリティ実施手順の策定)
第9条 基本方針及び対策基準に基づき、情報セキュリティ対策を実施するため、個々の情報システムについて、具体的な実施手順を明記した情報セキュリティ実施手順(以下「実施手順」という。)を策定するものとする。実施手順は、公開することにより村の行政運営に支障を及ぼす可能性がある情報であることから非公開とする。
(職員等の遵守義務)
第10条 職員は、情報セキュリティの重要性について共通の認識を持ち、情報資産の取扱いに当たっては、個人情報の保護に関する法律(平成15年法律第57号)、新島村個人情報保護法施行条例(令和5年新島村条例第7号)、新島村議会の個人情報の保護に関する条例(令和5年新島村条例第10号)その他の関係法令等並びにこの基本方針、対策基準及び実施手順を遵守しなければならない。
附則
この規則は、平成27年12月10日から施行する。
附則(令和4年規則第12号)抄
(施行期日)
第1条 この規則は、令和5年4月1日から施行する。
(定義)
第2条 この附則において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
(1) 令和3年改正法 地方公務員法の一部を改正する法律(令和3年法律第63号)をいう。
(2) 暫定再任用職員 令和3年改正法附則第4条第1項若しくは第2項(これらの規定を令和3年改正法附則第9条第3項の規定により読み替えて適用する場合を含む。)、第5条第1項若しくは第3項、第6条第1項若しくは第2項(これらの規定を令和3年改正法附則第9条第3項の規定により読み替えて適用する場合を含む。)又は第7条第1項若しくは第3項の規定により採用された職員をいう。
(3) 暫定再任用短時間勤務職員 令和3年改正法附則第6条第1項若しくは第2項(これらの規定を令和3年改正法附則第9条第3項の規定により読み替えて適用する場合を含む。)又は第7条第1項若しくは第3項の規定により採用された職員をいう。
(4) 定年前再任用短時間勤務職員 地方公務員法(昭和25年法律第261号)第22条の4第1項又は第22条の5第1項の規定により採用された職員をいう。
(新島村情報セキュリティ基本方針に関する規則の一部改正に伴う経過措置)
第3条 暫定再任用職員は、定年前再任用短時間勤務職員とみなして、第1条の規定による改正後の新島村情報セキュリティ基本方針に関する規則の規定を適用する。
附則(令和5年規則第4号)
この規則は、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。