(趣旨)

第1条　この訓令は、生駒市情報セキュリティに関する規則(平成16年2月生駒市規則第1号。以下「規則」という。)に基づき、情報セキュリティを確保するために遵守すべき行為等の基準に関する事項を定めるものとする。

(定義)

第2条　この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(情報セキュリティ委員会)

第3条　本市における情報セキュリティに関する最高意思決定を行うため、生駒市情報セキュリティ委員会(以下「委員会」という。)を置く。

(最高情報統括責任者)

第4条　本市に最高情報統括責任者を置く。

(ネットワーク管理者)

第5条　本市にネットワーク管理者を置く。

(統括情報セキュリティ責任者)

第6条　本市に統括情報セキュリティ責任者を置く。

(情報セキュリティ責任者)

第7条　本市に情報セキュリティ責任者を置く。

(システム管理者)

第8条　情報セキュリティ責任者は、所管組織内に情報システムを有するときは、その運用及び管理を行うシステム管理者を指名し、情報システムを適切に管理しなければならない。

(研修責任者)

第9条　本市に研修責任者を置く。

(専門家による助言)

第10条　情報セキュリティについて高度な専門的知識を必要とするときは、外部の専門家の助言を得ることができる。

(情報の分類)

第11条　本市の情報は、次のとおり分類を行い、その重要性を踏まえた管理を行わなければならない。

(情報の管理)

第12条　情報セキュリティ責任者は、職員等が作成し、入手し、利用し、保管し、送信し、運搬し、提供し、公表し、及び廃棄する情報について管理責任を有する。

(外部での情報処理)

第13条　最高情報統括責任者は、職員等が外部で情報処理を行う場合における安全管理措置を定めなければならない。

(職員等の責務)

第14条　職員等は、情報セキュリティ対策の実施に当たり、次に掲げる事項を遵守しなければならない。

(ID及びパスワードの管理)

第15条　職員等は、自己の管理するIDに関し、次に掲げる事項を遵守しなければならない。

(カード等の管理)

第16条　職員等は、認証に用いるカード等(以下「カード等」という。)に関し、不正利用を防止するため厳重に管理しなければならない。

(個人が所有する情報機器等の利用禁止)

第17条　職員等は、個人が所有する情報機器等を庁舎内に持ち込み、業務に利用してはならない。

(情報セキュリティ責任者の責務等)

第18条　情報セキュリティ責任者は、職員等が常にポリシー及び情報セキュリティ実施手順を閲覧できるように掲示しなければならない。

(職員等以外の者による情報資産の利用)

第19条　情報セキュリティ責任者は、外部委託事業者等に情報資産を利用させるときは、ポリシーの内容を遵守させる等利用に関する適切な指導を行わなければならない。

(研修の実施)

第20条　最高情報統括責任者は、職員等に対し、ポリシーについての啓発を行わなければならない。

(研修計画の作成)

第21条　研修責任者は、毎年度、情報セキュリティに関する研修について、対象者、内容、実施時期等を定めた研修計画を作成しなければならない。

(研修結果の評価及び見直し)

第22条　研修責任者は、アンケート調査等により、研修を受講した者が目標とする水準に達したかどうか評価を行わなければならない。

(事務室等での管理)

第23条　業務を行う場所(以下「事務室等」という。)の施設に関する情報セキュリティ対策は、各施設の管理責任者及び情報セキュリティ責任者が行わなければならない。

(電算室の設置)

第24条　ネットワーク管理者は、重要性分類Aに該当する情報システム等を設置するときは、原則として外部からの侵入が容易にできないよう外壁等に囲まれた管理区域(以下「電算室」という。)に設置しなければならない。

(電算室の入退室管理)

第25条　ネットワーク管理者は、電算室への入退室を許可された者に限定し、利用者の記録を行う等の適切な管理を行わなければならない。

(取付け)

第26条　情報セキュリティ責任者は、情報機器等の取付けを行うときは、動作環境及び情報セキュリティに配慮しなければならない。

(停電、落雷等への対策)

第27条　システム管理者は、停電による電力供給停止等及び落雷等による過電流から情報機器等を保護するため、適切な措置を講じなければならない。

(物理的損傷への対応)

第28条　システム管理者は、物理的損傷から通信回線、電源ケーブル等を保護するため、適切な措置を講じなければならない。

(外部に設置するサーバ等)

第29条　情報セキュリティ責任者は、外部にサーバ等を設置するときは、その設置場所について、最高情報統括責任者の承認を受けなければならない。

(外部への端末及び記録媒体等の持ち出し)

第30条　職員等は、ネットワーク管理者の許可なく端末を外部へ持ち出してはならない。

(情報機器等の廃棄)

第31条　職員等は、情報機器等の廃棄に関し、次に掲げる事項を実施しなければならない。

(アクセス制御)

第32条　ネットワーク管理者及びシステム管理者は、サーバ等の情報を適切に保護するため、サーバ等のアクセス制御を行わなければならない。

(アクセス記録等の取得及び管理)

第33条　ネットワーク管理者及びシステム管理者は、重要度に応じてアクセス記録等を取得し、取得したアクセス記録等について、厳重に管理しなければならない。

(システム変更等の記録及び作業の確認)

第34条　ネットワーク管理者及びシステム管理者は、情報システムの変更等に当たって、作業内容の記録を作成し、かつ、盗難、改ざん等を防止するため、当該記録を適切に管理しなければならない。

(障害に係る記録等)

第35条　ネットワーク管理者及びシステム管理者は、情報システムの障害に対する処理を体系的に記録し、必要なときに活用できるよう管理しなければならない。

(情報システム仕様書等の管理)

第36条　ネットワーク管理者及びシステム管理者は、ネットワーク構成図、情報システムに関する仕様書等(電磁的に記録されたものを含む。以下これらを「仕様書等」という。)を厳重に管理しなければならない。

(ファイルサーバの設定)

第37条　ネットワーク管理者は、ファイルサーバ(ファイルを保存し、ファイル共有の機能を提供するサーバをいう。)を課等の単位で構成し、職員等が他の課等のフォルダ及びファイルを閲覧及び使用を行うことができないよう設定しなければならない。

(バックアップ)

第38条　ネットワーク管理者及びシステム管理者は、サーバ等に記録された情報について、完全性又は可用性に応じてバックアップを行わなければならない。

(サーバ等の二重化)

第39条　ネットワーク管理者及びシステム管理者は、サーバ等の障害発生時における情報等の滅失及び情報システムの運用停止を回避するため、情報システムの可用性に応じて、サーバ等を二重化しなければならない。

(メールサーバの運用)

第40条　ネットワーク管理者は、メールサーバを運用するときは、第三者からの不正な利用等を防止するため、適切な措置を講じなければならない。

(電子署名、暗号化等)

第41条　ネットワーク管理者は、電子署名及び暗号化の方法並びに鍵の管理方法について、適切な手順を定めなければならない。

(情報システムの監視等)

第42条　ネットワーク管理者及びシステム管理者は、情報セキュリティに関する事案を検知するため、情報システムの監視を行わなければならない。

(情報の調査)

第43条　情報セキュリティに関する事案等の対処のため、委員会により承認された者は、アクセス記録、電子メールの送受信記録等の情報を調査することができる。

(利用者ID及びパスワードの管理)

第44条　ネットワーク管理者及びシステム管理者は、所管する情報システムにおける利用者IDに関して、適切に管理しなければならない。

(管理者権限)

第45条　ネットワーク管理者及びシステム管理者は、サーバ等の誤操作による意図しない動作及び不正利用を防止するため、管理者権限等の特権を付与したIDを利用できる者を必要最小限とし、当該IDのパスワードの漏えい等が発生しないよう、厳重に管理しなければならない。

(サーバ等へのログイン)

第46条　システム管理者は、サーバ等へのログインについて、不正なログインを防止するため、適切な情報セキュリティ対策を施すとともに、その手順を定めなければならない。

(情報機器等の変更等)

第47条　職員等は、端末に対し、改造、機器の増設及び設定の変更を行ってはならない。ただし、業務上特別の理由があるときは、ネットワーク管理者の許可を得て行うことができる。

(ネットワークへの接続)

第48条　職員等は、端末をネットワークに接続するときは、ネットワーク管理者の許可を得なければならない。

(業務目的以外の使用の禁止等)

第49条　職員等は、端末及び情報システムを業務目的以外に使用してはならない。

(離席時の端末設定)

第50条　職員等は、端末の操作中に離席するときは、離席中の不正操作等を防止するため、ログオフ等必要な措置を講じなければならない。

(業務に利用するソフトウェア)

第51条　ネットワーク管理者は、業務において利用するソフトウェアの使用許諾要件を定めなければならない。

(電子メールの利用)

第52条　職員等は、電子メールの利用において公序良俗に反することのないよう、情報セキュリティ実施手順に定める利用方法を遵守しなければならない。

(通信回線及び通信回線装置の管理)

第53条　ネットワーク管理者は、ネットワークの構築に当たり、適切な通信回線及び通信回線装置を使用し、十分なセキュリティ対策を講じなければならない。

(ネットワークのアクセス制御)

第54条　ネットワーク管理者は、ネットワークにおけるアクセス制御について、不正利用等を防止するため、適切な措置を講じなければならない。

(外部からのアクセス等)

第55条　情報セキュリティ責任者は、本市が管理するネットワーク及びサーバ等に外部からアクセスする仕組みを構築するときは、最高情報統括責任者の承認を受けなければならない。

(外部にある情報システムへのアクセス)

第56条　情報セキュリティ責任者は、本市が管理する区域から、専用回線、インターネット等を通じて、外部にある情報システムにアクセスする仕組みを構築するときは、あらかじめネットワーク管理者の承認を受けなければならない。

(外部へのネットワーク接続)

第57条　情報セキュリティ責任者は、外部へのネットワーク接続を行うときは、あらかじめ最高情報統括責任者の承認を受けなければならない。

(無線LANの使用)

第58条　情報セキュリティ責任者は、無線LANを構築するときは、あらかじめネットワーク管理者の許可を得なければならない。

(不正プログラム対策)

第59条　ネットワーク管理者は、コンピュータウイルス等の不正プログラム対策に関し、次に掲げる事項を実施しなければならない。

(情報セキュリティ責任者による不正プログラム対策)

第60条　情報セキュリティ責任者は、所管するサーバ等及び端末の不正プログラム対策に関し、次に掲げる事項を実施しなければならない。

(職員等による不正プログラム対策)

第61条　職員等は、次に掲げる事項を遵守しなければならない。

(不正アクセス対策)

第62条　ネットワーク管理者及びシステム管理者は、アクセス権限のない者が情報システムにアクセスすることを防止するため、不正アクセス対策を講じなければならない。

(攻撃への対応)

第63条　最高情報統括責任者及びネットワーク管理者は、サーバ等に攻撃を受けることが明確になったときは、システムの停止その他必要な措置を講じなければならない。

(攻撃の監視)

第64条　ネットワーク管理者及び統括情報セキュリティ責任者は、職員等及び外部委託事業者の端末等からの内部のサーバ等又は外部に対する攻撃を監視しなければならない。

(職員等による不正アクセス)

第65条　ネットワーク管理者及び統括情報セキュリティ責任者は、職員等による不正アクセスが明らかになったときは、当該職員等が所属する課等の情報セキュリティ責任者に通知し、適切な措置を求めなければならない。

(情報システムの調達)

第66条　情報セキュリティ責任者は、情報システムを調達するときは、仕様書等が情報セキュリティ確保の上で問題のないようにしなければならない。

(情報システムの変更管理)

第67条　情報セキュリティ責任者は、所管する重要な情報システムを変更するときは、あらかじめネットワーク管理者及び統括情報セキュリティ責任者と協議しなければならない。

(情報システムの開発、運用及び保守)

第68条　情報セキュリティ責任者は、情報システムの開発、運用及び保守に関し、あらかじめ統括情報セキュリティ責任者と協議しなければならない。

(情報システムの入出力データ)

第69条　システム管理者は、情報システムに入力されるデータについて、それが正確であることを確実にするため、適切な措置を講じなければならない。

(ソフトウェアの保守及び更新)

第70条　システム管理者は、ソフトウェア(修正プログラムを含む。)の保守及び更新を行うときは、情報システムに影響を与えないかどうかを調査しなければならない。

(機器等の定期保守及び修理)

第71条　システム管理者は、機器等の保守を定期的に実施しなければならない。

(情報システムの外部委託)

第72条　情報セキュリティ責任者は、情報システムの開発、運用及び保守を外部委託事業者に委託するときは、必要に応じて機密保持等の情報セキュリティに関する事項を契約書に明記しなければならない。

(外部委託事業者の管理状況等の調査)

第73条　情報セキュリティ責任者は、委託を行うときは、事前に外部委託事業者における情報の保護等に関する管理体制等について調査しなければならない。

(情報セキュリティに関する情報の収集等)

第74条　ネットワーク管理者は、情報セキュリティ技術の向上、情報セキュリティに関する事案の発生時の対応方法等に関する情報について、収集を行わなければならない。

(情報セキュリティに関する事案への対応)

第75条　情報セキュリティに関する事案が発生したときは、連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速かつ円滑に実施し、再発防止の措置を講ずるため、次に掲げる手順により対応しなければならない。

(例外措置の許可)

第76条　情報セキュリティ責任者及びシステム管理者は、ポリシーを遵守することが困難な状況で、行政事務の適正な遂行を継続するため、ポリシーと異なる方法を採用し、又はポリシーを遵守しないことについて合理的な理由がある場合には、最高情報統括責任者の許可を得て、例外措置を講ずることができる。

(緊急時の例外措置)

第77条　情報セキュリティ責任者及びシステム管理者は、行政事務の遂行に緊急を要する等の場合であって、例外措置を講ずることが不可避のときは、事後速やかに最高情報統括責任者に報告しなければならない。

(例外措置の申請書等の管理)

第78条　最高情報統括責任者は、例外措置の申請書及び審査結果を適切に保管しなければならない。

(法令等の遵守)

第79条　職員等は、情報資産を適切に保護し、及び管理するため、次に掲げる法令等を遵守しなければならない。

(ポリシーの遵守状況の確認)

第80条　職員等は、情報システムの利用等におけるポリシーに対する違反を認めたときは、直ちに所管の情報セキュリティ責任者及びネットワーク管理者に報告しなければならない。

(情報セキュリティに関する事案の原因に対する警告)

第81条　最高情報統括責任者は、情報セキュリティに関する事案の原因となる情報システム及び職員等については、その所管する情報セキュリティ責任者に対して、注意又は警告を発することができるものとする。

(違反への対応)

第82条　職員等がポリシーに違反したときは、その重大性、状況等に応じて地方公務員法等に基づき、処分等の対象とする。

(監査の実施等)

第83条　委員会は、本市におけるポリシーの遵守状況を客観的に評価するため、必要に応じて監査を実施する者を指名し、監査を実施しなければならない。

(点検)

第84条　ネットワーク管理者及びシステム管理者は、サーバ等への擬似攻撃によるぜい弱性調査等、情報システムの設定がポリシーに準拠しているかどうかについて定期的に点検を行い、所管の情報セキュリティ責任者に報告しなければならない。

(ポリシーの見直し)

第85条　委員会は、監査及び点検の結果等を踏まえてポリシーの実効性を評価し、見直しが必要なときは、これを更新しなければならない。