第1　大玉村情報セキュリティ基本方針(以下「基本方針」という。)は、村が所管する情報資産の機密性、完全性及び可用性の維持を確保するため、情報資産の取り扱いと情報セキュリティ対策の基本的な考え方及び方策を定め、村における情報資産の管理を徹底することを目的とする。

(適用範囲及び対象者)

第2　基本方針の適用範囲は、本庁部局及び出先機関、各行政委員会、議会事務局、及び水道事業管理者とし、各教育機関については、村長が管理運用する情報システムを利用する部署とする。

2　基本方針の対象者は、村が所管する情報資産の生成、運用、管理及び利用に携わる以下の者に適用する。

(1)　地方公務員法第3条に定める村の地方公務員

(2)　契約により操作を認められた事業者

(用語の定義)

第3　基本方針において、次の各号に掲げる用語の定義は、当該各号に定める通りとする。

(1)　情報セキュリティ　情報資産の機密性、完全性の維持及び定められた範囲での利用可能な状態を維持すること。

(2)　情報資産　情報システム及び情報システムの開発と運用に係る全てのデータ並びに情報システムで取り扱う全てのデータ

(3)　情報システム　コンピュータやネットワークを用いて事務処理を行うための情報処理の体系

(4)　記録媒体　ハードディスク、フロッピーディスク、MO、CD、DVD及び磁気テープ等、電子データを記録するための装置

(5)　ネットワーク　コンピュータ相互間及び関連機器を接続し、データの伝送や共有を目的として構築された情報通信基盤(通信網)

(6)　サーバ　ネットワークで接続された情報システムにおいて、サービスを提供するコンピュータ

(7)　サービス　ネットワークでサーバがクライアントに提供する機能(データベース管理機能)や資源(ハードディスクやプリンタ)

(8)　クライアント(端末)　サーバからサービスの提供を受ける、あるいはサーバに処理を依頼する側のコンピュータ

(管理体制)

第4　村の保有する情報資産について、情報セキュリティ対策を推進・管理するための全庁的な組織体制を確立する。

(情報の管理及び分類)

第5　情報資産については、情報の機密性、完全性及び可用性等を踏まえて、その内容に応じて分類し、その重要性に応じ、適切な管理を行うものとする。

(情報資産への脅威)

第6　情報資産に対する脅威の発生度合や発生した場合の影響を考慮すると、特に認識すべき脅威は以下のとおりである。

(1)　部外者による故意の不正アクセス又は不正操作によるデータやプログラムの持出・盗聴・改ざん・消去、機器及び媒体の盗難、故意の障害発生行為によるサービスの停止

(2)　職員等及び委託先事業者の従事者による意図しない操作、行為の不正アクセス又は不正操作によるデータやプログラムの持出・盗聴・改ざん・消去、機器及び媒体の盗難及び規定外の端末接続によるデータ漏洩等

(3)　地震、落雷、火災等の災害並びに事故、故障等によるサービスの停止

(情報セキュリティ対策)

第7　前記第6で示した脅威から情報資産を保護するために、以下の情報セキュリティ対策を講ずるものとする。

(1)　人的セキュリティ対策　情報セキュリティに関する権限や責任及び遵守すべき事項を明確に定め、職員等に対して周知徹底を図るとともに、十分な教育・啓発が行われるよう必要な対策を講ずる。

(2)　物理的セキュリティ対策　情報システムを設置する施設への不正な立入り、情報資産への損害及び利用の妨害等から保護するための物理的な対策を講ずる。

(3)　技術的セキュリティ対策　情報資産を不正アクセス等から保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術的対策を講ずる。

(4)　運用におけるセキュリティ対策　情報システムの監視、基本方針の遵守状況、確認等の運用面の対策を講ずる。

(5)　緊急時におけるセキュリティ対策　緊急事態が発生した場合に、迅速かつ適切な対応が可能となるための危機管理対策を講ずる。

(情報セキュリティ対策基準の策定)

第8　前記第7の対策を講ずるに当たって、遵守すべき行為及び判断等の基準を統一的に定めるため、必要となる基本的な要件を明記した「情報セキュリティ対策基準」(以下「対策基準」という。)を策定するものとする。

(情報セキュリティ実施手順の策定)

第9　基本方針及び対策基準に基づき、個々の情報システムについて情報セキュリティ対策を実施するため、具体的な実施手順を明記した「情報セキュリティ実施手順」(以下「実施手順」という。)を策定するものとする。

(対策基準及び実施手順の扱い)

第10　対策基準及び実施手順は、公にすることにより村の行政運営に重大な支障を及ぼすおそれのある情報であることから非公開とする。

(情報セキュリティに関する違反への対応)

第11　基本方針及び対策基準等関係規定に違反した者については、地方公務員法等に基づき、懲戒処分等の対象とする。

(情報セキュリティ実施状況の検証)

第12　基本方針及び対策基準が遵守されていることを確認するため、定期的に情報セキュリティ実施状況の検証を行う。

(評価及び見直しの実施)

第13　情報セキュリティ実施状況の検証結果等により、基本方針及び対策基準に定める事項及び情報セキュリティ対策の評価を実施すると共に、情報セキュリティを取り巻く状況の変化等を踏まえ、情報セキュリティ基本方針、対策基準及び実施手順の見直しを適宜行う。

附則

附則(平成29年告示第2号)