○最上広域市町村圏事務組合情報セキュリティポリシーに関する規程
令和4年3月1日
訓令第1号
(目的)
第1条 この規程は、本組合における情報資産の機密性、完全性、及び可用性を維持するため、組合が実施する情報セキュリティを確保するための基本方針等について必要な事項を定めることを目的とする。
(1) 情報資産 ネットワーク及び情報システムで取り扱う構成機器並びにネットワーク及び情報システムで取り扱うすべての情報(紙等に印刷したものを含む。)をいう。
(2) 機密性 情報資産を利用する権限を有する者だけが当該情報を利用することができることをいう。
(3) 完全性 情報資産の内容及び処理の方法が正確に保護されている状態にあることをいう。
(4) 可用性 情報資産を利用する権限を有する者が必要なときに利用できることをいう。
(5) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(6) 情報セキュリティポリシー ネットワーク又は情報システムにおいて、情報セキュリティを確保するための基本方針及び対策基準を定めたものをいう。
(7) ネットワーク 電子計算機を相互に接続するための通信網及び構成機器で構成された仕組みをいう。
(8) 情報システム 電子計算機を用いて特定の業務を処理するための仕組みをいう。
(職員の責務)
第3条 職員は、情報セキュリティの重要性について共通の認識を持つとともに、情報資産の利用に当たっては情報セキュリティポリシーを遵守しなければならない。
(組織体制)
第4条 理事長は、情報セキュリティの確保のための対策を適切に講じるため必要な体制の整備に努めるものとする。
(情報資産の分類及び管理)
第5条 職員は、理事長が別に定めるところにより、情報資産をその重要度に応じて分類し、及び管理することにより、情報セキュリティの確保のための対策に努めるものとする。
(情報資産への脅威)
第6条 職員が十分認識しなければならない情報資産に対する脅威は、次に掲げるもののほか、情報資産への脅威の内容、その発生の度合及びネットワーク又は情報システムの正常な動作環境への影響を考慮して理事長が定めるものとする。
(1) ネットワーク又は情報システムへの不正なアクセス又は不正な操作による情報資産の持出、閲覧及び聴取並びに改ざん、消去及び漏えい
(2) ネットワーク又は情報システムの構成機器又は記録媒体の破損又は盗難
(3) 地震、落雷、火災その他の災害若しくはその他の障害又は故障によるネットワーク又は情報システムの停止
(情報セキュリティの確保)
第7条 職員は、情報資産を前条に定める脅威に対処するため、次に掲げる事項について理事長が別に定める情報セキュリティ対策基準を遵守するものとする。
(1) 職員の情報セキュリティに関する権限や責任に関すること。
(2) 職員に対する情報セキュリティポリシーに関する研修等に関すること。
(3) 外部委託を行う場合の情報資産の管理方法等に関すること。
(4) パスワード等によるアクセス管理に関すること。
(5) 電子計算機室等への入退室の制限に関すること。
(6) 情報資産、ネットワーク又は情報システムの構成機器及び記録媒体の管理方法に関すること。
(7) ネットワーク及び情報システムに対する監視体制に関すること。
(8) ネットワーク及び情報システムの正常な動作を妨害する目的で作成されたプログラムの対策に関すること。
(9) 情報セキュリティに障害が生じた場合の緊急の対応に関すること。
(情報セキュリティ実施手順の策定)
第8条 職員は、情報セキュリティの対策を確実に実施するため、情報セキュリティポリシーに基づき、理事長が別に定める実施手順を遵守するものとする。
(監査)
第9条 理事長は、ネットワーク及び情報システムに係る情報セキュリティの対策状況を確認するため、必要に応じて監査を実施することができる。
(情報セキュリティポリシーの見直し)
第10条 理事長は、情報セキュリティポリシーについて、必要があると認めたときは、前条の監査又は点検の結果を踏まえ、情報セキュリティポリシーの見直しを実施するものとする。
(その他)
第11条 この規程に定めるもののほか必要な事項は、理事長が別に定める。
附則
この規程は、公布の日から施行する。