吹田市情報セキュリティポリシーの策定について

 

1.背景


 吹田市では、コンピュータを使用し住民情報や税情報のほか、住民基本台帳ネットワークシステム*1や総合行政ネットワーク*2など様々なシステムを運用しています。
 これにより大量の情報が共有され、事務の効率化や市民の利便性が図られた一方で、多くの情報システムや情報資産を様々な脅威から守るべき必要が一層高まってきました。
 このような状況の中、市では情報化施策を進めるうえで、情報の保護、いわゆるセキュリティ対策を実施するときに事前に決めておくべき規則、守るべき対象や職員とその責任範囲、対応手順を定めた「吹田市情報セキュリティポリシー」を策定しました。このポリシーは、
「情報セキュリティ基本方針」*3と「情報セキュリティ対策基準」*4から構成されています。
 今後は、このポリシーに基づき情報セキュリティ対策を推進し、市のセキュリティレベルの向上を目指します。

*1住民基本台帳ネットワークシステム(住基ネット)

本人確認情報(氏名・生年月日・性別・住所・住民票コード)とこれらの変更情報により全国共通の本人確認を可能とする地方公共団体共同のシステム

 

*2総合行政ネットワーク(LGWAN:えるじーわん)

地方公共団体の組織内ネットワークを総合に接続するとともに、高度情報流通を可能とする通信ネットワークとして整備された各地方公共団体と国の各省庁及び住民等との間の情報交換手段のための基盤

 

*3情報セキュリティ基本方針

吹田市の情報セキュリティ対策に対する基本的な考え方

 

*4情報セキュリティ対策基準

情報セキュリティを確保するために遵守すべき行為及び判断等の基準

 

 

2.吹田市情報セキュリティポリシー


吹田市情報セキュリティポリシー(平成29年8月2日改正) (PDFファイル; 80KB)

 

このファイル形式は、PDFファイルになっています。
内容を読んだり、フロッピーディスクなどの媒体に保存するためには、AdobeReader(Adobe社)が必要です。
お持ちでない方はこちらからダウンロードしてください。
PDFファイル

 


 

3.吹田市情報セキュリティ基本方針

 

(1) 目的

 本基本方針は、本市が保有する情報資産の情報セキュリティを維持するため、本市が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。



(2)定義

ア.ネットワーク

 コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。

イ.情報システム

 コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。

ウ.情報セキュリティ

 情報資産の機密性、完全性及び可用性を維持することをいう。

エ.機密性

 情報資産にアクセスすることを認められた者だけが、情報資産にアクセスできる状態を確保することをいう。

オ.完全性

 情報資産が破壊、改ざん又は消去されていない状態を確保することをいう。

カ.可用性

 情報資産にアクセスすることを認められた者が、必要なときに中断されることなく、情報資産にアクセスできる状態を確保することをいう。

(3)対象とする脅威

 情報資産に対する脅威として、次の脅威を想定し、情報セキュリティ対策を実施する。


ア.不正アクセス、ウイルス攻撃、サービス不能攻撃、重要情報の詐取、内部不正等の意図的な要因による脅威


イ.プログラム上の欠陥、操作、設定ミス、機器故障等の非意図的要因による脅威

ウ.地震、落雷、火災、停電等の災害によるサービス、業務停止等の脅威

 

(4)対象範囲

ア.実施機関の範囲

 本基本方針が対象とする実施機関は、吹田市個人情報保護条例(平成14年条例第7号)第 2 条第1項第4 号に規定する実施機関とする。

イ.情報資産の範囲

 本基本方針が対象とする情報資産は、次のとおりとする。

(ア)ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体

(イ)ネットワーク及び情報システムで取り扱う情報

(ウ)情報システムの仕様書及びネットワーク図等のシステム関連文書

 

(5)職員等の順守義務

 吹田市職員、常勤嘱託員、非常勤職員及び臨時雇用員(以下「職員等」という。)は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たってセキュリティポリシー、情報セキュリティに関連する規定等を順守しなければならない。

 

(6)情報セキュリティ対策

 上記(3)の脅威から情報資産を保護するために、次の情報セキュリティ対策を実施する。

ア.組織体制

 情報セキュリティ対策を強力に推進するため、その責任及び権限を明確にした全庁的な管理体制を確立するものとする。

イ.情報資産の分類と管理

 本市の保有する情報資産を機密性、完全性、可用性の3つの側面から分析し、重要性に応じた分類に基づき情報セキュリティ対策を実施する。

ウ.物理的なセキュリティ対策

 情報処理機器、通信回線及びそれらを設置している施設等の管理について、物理的な対策を実施する。

エ.人的なセキュリティ対策

 情報セキュリティに関する権限及び責任を明確にし、職員等が順守すべき事項を定めるとともに、セキュリティポリシーの意義を全ての職員等が理解できるように教育及び啓発に努める。

オ.技術的なセキュリティ対策

 ネットワーク管理、外部及び内部からのアクセス制御、ウイルス対策等の技術面での対策を実施する。

カ.運用面におけるセキュリティ対策

 情報システムの監視、セキュリティポリシーの順守状況の確認、外部委託を行う際のセキュリティ確保等、セキュリティポリシーの運用面の対策を実施する。また、情報資産に対するセキュリティ侵害が発生した場合等に、迅速かつ適切に対応する。

(7)情報セキュリティ監査及び自己点検の実施

 セキュリティポリシーの順守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。

 

(8)評価及び見直し

 情報セキュリティ監査及び自己点検による評価の結果、セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、セキュリティポリシーを見直す。

 

(9)情報セキュリティ対策基準

 上記(6)、(7)及び(8)に規定する対策等を実施するために、具体的な順守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。
  なお、情報セキュリティ対策基準は、公にすることにより本市の行政運営に重大な支障を及ぼすおそれがあることから、原則として非公開とする。

 

(10)情報セキュリティ実施手順

 セキュリティポリシーに基づき情報セキュリティ対策を実施するため、具体的な順守事項を明記した情報セキュリティ実施手順(以下「実施手順」という。)を策定する。
   なお、実施手順は、公にすることにより本市の行政運営に重大な支障を及ぼすおそれがあることから、原則として非公開とする。

〒564-8550  大阪府吹田市泉町1丁目3番40号   (高層棟9階)

Tel:

【情報化推進担当】

06-6384-1443

【アプリケーション担当】

06-6384-1438

【インフラ担当】 

06-6384-1433

Fax: 06-6384-3234

mail: den_joka@city.suita.osaka.jp