更新日:2020年4月1日

ここから本文です。

第2章 情報セキュリティ対策基準

情報セキュリティ対策基準

情報セキュリティ対策基準とは,情報セキュリティ基本方針を実行に移すための,本市の情報資産に関する情報セキュリティ対策の基準である。


(1)管理體制


情報セキュリティの管理體制は下記のとおりとする。
1.最高情報セキュリティ責任者

  • 本市の情報資産に関する情報セキュリティを統括する最高責任者として最高情報セキュリティ責任者(CISO:ChiefInformation_Security_Officer,以下「CISO」という。)を置き,まちづくり政策局長をもってこれに充てる。

2.局(區)情報管理者

  • 局等の情報セキュリティに関する適正な運用及び管理を監理するため,局等に総括的な権限及び責任を有する局(區)情報管理者を置き,局等の長をもってこれに充てる。

3.情報管理者

  • 情報セキュリティの適正な運用及び管理を行うため,情報資産を取り扱う課(これに準ずるものを含む。以下同じ。)に情報セキュリティに関する権限及び責任を有する情報管理者を置き,當該課の長をもってこれに充てる。

4.システム管理者

  • 情報管理者のうち,重要な情報システムの情報セキュリティを維持し,情報システムの適正な管理並びに効率的な運用を図るため,システム管理者を置き,重要な情報システムに係る業務を所管する課の長をもってこれに充てる。

5.ネットワーク管理者

  • 情報システムセンターで運用する情報システムのネットワークの情報セキュリティを維持し,効率的な運用を図るためネットワーク管理者を置き,情報システムセンターの長をもってこれに充てる。

6.副情報管理者

  • 情報セキュリティの適正な運用及び管理に関して情報管理者の補佐を行うため,情報資産を取り扱う課に副情報管理者を置き,原則として,係長職の職員の中から情報管理者が指名する。

7.システム擔當者

  • 重要な情報システムにおける情報セキュリティの維持に関してシステム管理者の補佐を行うため,重要な情報システムに係る業務を所管する課にシステム擔當者を置き,當該課の職員の中からシステム管理者が指名する。

8.CSIRT責任者

  • 本市のセキュリティ障害等に対応する組織(CSIRT:Computer_Security_Incident_Response_Team,以下「CSIRT」という。)の責任者としてCSIRT責任者を置き,まちづくり政策局ICT推進課長をもってこれに充てる。

9.CSIRT管理者

  • セキュリティ障害の発生連絡等のために,CSIRT管理者を置き,局等の主管課長をもってこれに充てる。

10.CSIRT擔當者

  • CSIRT擔當者は,まちづくり政策局ICT推進課セキュリティ対策係をもってこれに充てる。

ページの先頭へ戻る

(2)権限,役割及び責任

情報セキュリティの権限,役割及び責任は下記のとおりとする。
1.CISO

  • CISOは,情報セキュリティに関して局(區)情報管理者及び情報管理者に対して,必要な指示及び助言を行う。
  • CISOは,CSIRTをまちづくり政策局ICT推進課に設置し,その役割を明確にしなければならない。
  • CISOは,全庁的に共通する情報資産の取扱いを定める情報セキュリティ実施手順(以下「共通実施手順」という。)を策定しなければならない。
  • CISOは,まちづくり政策局の局(區)情報管理者の役割を兼ねる。

2.局(區)情報管理者

  • 局(區)情報管理者は,情報セキュリティに関し情報管理者に対して,必要な指示及び助言を行う。
  • 局(區)情報管理者は,所掌する局等に設置している情報システムで事務所管課を橫斷する情報システムの開発,設定の変更,運用及び更新等,當該システムに関する情報セキュリティ実施手順の策定,維持及び管理等の承認を行う。
  • 局(區)情報管理者は,所管する局等における情報セキュリティポリシーの遵守に関し,職員に対し教育,訓練,助言及び指示を行わなければならない。

3.情報管理者

  • 情報管理者は,使用する情報システムの機器や記録媒體について,第三者に使用させること,又は許可なく情報を閲覧させることがないように,適切な措置を施さなければならない。
  • 情報管理者は,非常勤囑託職員,會計年度任用職員,臨時的任用職員及びアルバイトを雇用する場合に,必ず情報セキュリティポリシーのうち,職員が守るべき內容を理解させ,また実施及び遵守させなければならない。
  • 情報管理者は,所管する情報システムの開発,設定の変更,運用,更新等を行う権限及び責任を有する。
  • 情報管理者は,情報セキュリティに関する適正な運用及び管理を補佐する副情報管理者を1名以上指名し,情報管理者不在時における緊急時などの対応を予め定めておかなければならない。
  • 情報管理者は,所管する三種公所の長を副情報管理者に指名しなければならない。

4.システム管理者

  • システム管理者は,重要な情報システムの開発,設定の変更,運用,更新等を行う権限及び責任を有する。
  • システム管理者は,重要な情報システムに係る情報セキュリティ実施手順の策定,維持,管理等を行うとともに,當該情報システムが事務所管課を橫斷する場合は,當該実施手順について局(區)情報管理者の承認を得なければならない。また,定められている事項について職員に実施及び遵守させなければならない。
  • システム管理者は,職員に対して必要な知識や技能を習得させる研修を受けさせなければならない。

5.ネットワーク管理者

  • ネットワーク管理者は,情報システムセンターで運用する情報システムのネットワークについて,設定の変更,運用,更新等を行う権限及び責任を有する。
  • ネットワーク管理者は,必要に応じシステム管理者の支援を行わなければならない。
  • ネットワーク管理者は,情報システムセンターにおける情報管理者及び所管する重要な情報システムに係るシステム管理者の役割を兼ねる。

6.副情報管理者

  • 副情報管理者は,情報管理者に情報セキュリティに必要な情報を提供するとともに,その指示により課內の情報セキュリティ対策を推進する。
  • 副情報管理者は,情報管理者不在の場合は,情報管理者に代わり,予め定めてある緊急時の対応等を行わなければならない。

7.システム擔當者

  • システム擔當者は,システム管理者に重要な情報システムの運用,管理等に必要な情報を提供するとともに,その指示によりシステムの開発,設定の変更,運用,更新等を行う。
  • システム擔當者は,システム管理者不在の場合は,システム管理者に代わり,予め定めてある緊急時の対応等を行わなければならない。

8.CSIRT責任者

  • CSIRT責任者は,セキュリティ障害の発生について局等より報告を受けた場合には,その狀況を確認し,セキュリティ障害対応に必要な報告等が行われる體制の整備を行う。
  • 本市における情報セキュリティに関する施策等の內容を関係部局等に提供する。
  • セキュリティ障害の発生を認めた場合には,必要に応じて,CISO,國,都道府県等へ報告する。
  • 情報セキュリティに関して,必要に応じて,國及び関係団體,民間事業者等との情報共有を行う。

9.CSIRT管理者

  • CSIRT管理者は,セキュリティ障害の発生についてシステム管理者又は情報管理者より報告を受けた場合には,その狀況を確認し,CSIRT責任者に報告する。

10.CSIRT擔當者

  • CSIRT擔當者は,CSIRT責任者に情報セキュリティに必要な情報を提供するとともに,その指示により本市の情報セキュリティ対策を推進する。

ページの先頭へ戻る

(3)情報資産の分類と管理

1.行政情報の分類

情報管理者は,行政情報を脅威から保護するために,対象となるすべての行政情報を,重要度の高いものから重要性分類S,I,II及びIIIとし,以下の要件に従って分類する。

(1)重要性分類I
  • 仙臺市情報公開條例(平成12年仙臺市條例第80號)第7條第1號から第4號に定義されている非開示情報。
  • 情報システムの運用管理に関する情報で,情報セキュリティを維持するため,機密の取扱いを要する情報。
  • 上記に掲げる場合のほか,情報管理者が,情報の機密性,完全性及び可用性その他の事情を考慮して,重要性分類Iとして管理することが適當と認める行政情報。
(2)重要性分類S
  • 重要性分類Iに分類される行政情報のうち,滅失又はき損した場合,復元が著しく困難となり,行政の円滑な執行に重大な支障をきたすおそれのある行政情報。
(3)重要性分類II
  • 仙臺市情報公開條例第7條第5號及び第6號に定義されている非開示情報。
  • 上記に掲げる場合のほか,情報管理者が,情報の機密性,完全性及び可用性その他の事情を考慮して,重要性分類IIとして管理することが適當と認める行政情報。
(4)重要性分類III
  • 重要性分類S,I及びII以外の行政情報。
2.情報システムの分類

情報管理者は,情報システムを脅威から保護するために,所管する情報システムのうち,以下のいずれかに該當する情報システムを重要な情報システムに分類する。

  • 複數の課公所で業務に利用されている情報システム。
  • 重要性分類Sの行政情報を取扱っている情報システム。
  • セキュリティ障害により一週間以上情報システムの通常運用が不可能になった場合に,行政の円滑な執行や組織の運営に重大な支障をきたすおそれのある情報システム。
  • 上記に掲げるもののほか,情報管理者が,情報システムの情報の機密性,完全性及び可用性その他の事情を考慮して,重要な情報システムとして管理することが適當と認める情報システム。

3.情報システムが接続するネットワークの分類

情報管理者及びシステム管理者は,情報システムを脅威から保護するために,所管する情報システムが接続するネットワークを,以下の要件に従って分類する。

(1.)個人番號利用事務系ネットワーク

 個人番號利用事務(社會保障,地方稅若しくは防災に関する事務)を取扱う情報システムが接続する共用ネットワーク及び當該情報システム専用のネットワークは,個人番號利用事務系ネットワークに分類する。

(2.)LGWAN接続系ネットワーク

 LGWANにアクセスする情報システムが接続する共用ネットワーク及び當該情報システム専用のネットワークは,LGWAN接続系ネットワークに分類する。

(3.)インターネット接続系ネットワーク

 インターネットにアクセス又はインターネットからのアクセスを許可する情報システムが接続するネットワークは,インターネット接続系ネットワークに分類する。ただし,インターネットを利用した仮想専用線は,インターネット接続系には含めないものとする。

(4.)獨立系ネットワーク

 上記の(1.)から(3.)の要件に該當しない情報システムが接続する共用ネットワーク及び當該情報システム専用のネットワークは,獨立系ネットワークに分類する。

4.行政情報の管理方法
(1)
行政情報の管理及び取扱い
  • 情報管理者は,パスワード等によるアクセス制限を適切に行わなければならない。
  • 情報管理者は,重要性分類S,I及びIIの行政情報について,原則として,臺帳を作成して管理しなければならない。
  • 職員は,業務目的以外に行政情報を利用してはならない。
  • 職員は,行政情報の不用意な複製,送付及び送信を行ってはならない。
  • 職員は,業務上必要な場合は,情報管理者の許可を得た上で行政情報の送付及び送信を行わなければならない。
  • 職員は,インターネットに接続するモバイル端末に,重要性分類S,I及びIIの行政情報の記録を行ってはならない。また,インターネットに接続しないモバイル端末であっても,重要性分類S,I及びIIの行政情報の記録は必要最小限としなければならない。
  • 職員は,行政情報を執務室外へ持ち出す場合は,情報管理者の許可を得なくてはならない。
  • 職員は,行政情報を持ち出す場合は,適切な保護対策を講じなければならない。
  • 職員は,行政情報を情報管理者の許可なく部外者へ提供してはならない。
  • 職員は,離席する場合及び退庁する場合は,行政情報を記録した電子計算機,情報システム及び行政情報を印刷した書類を容易に使用又は閲覧できる狀態で放置してはならない。
  • 職員は,記録した情報の消去が可能な記録媒體に記録した行政情報について,保存しておく必要がなくなった場合は速やかに,當該行政情報を消去しなければならない。
(2)外部記録媒體及びモバイル端末の管理
  • 外部記録媒體及びモバイル端末は,未使用のものも含め,行政情報の無斷持ち出しや漏えいを防止するため,施錠可能な安全な場所に保管する等適切に管理するとともに,その狀況等を記録しなければならない。
  • 行政情報を記録した外部記録媒體及びモバイル端末を送る場合は,物理的な保護措置を講じなければならない。また,重要性分類S,I及びIIの行政情報を記録した外部記録媒體の送付を外部業者に委託する場合は守秘義務を明記した契約を締結しなければならない。
  • 職員は,離席する場合及び退庁する場合は,外部記録媒體及びモバイル端末を容易に使用又は閲覧できる狀態で放置してはならない。
  • 外部記録媒體及びモバイル端末を保管する場合は,行政情報を消去した狀態であっても,記録する行政情報の重要性分類に応じた管理をしなければならない。
(3)行政情報のバックアップ
  • 情報管理者は,重要性分類Sの行政情報について,外部記録媒體等へのバックアップを取り,施錠等の出來る安全な場所へ保管しなければならない。また,保管狀況等を記録しなければならない。
  • 情報管理者は,重要性分類I及びIIの行政情報について,必要に応じバックアップを取り,行政情報の管理に努めなければならない。
(4)行政情報を記録した記録媒體の廃棄
  • 重要性分類S,I及びIIの行政情報を記録した記録媒體を廃棄する場合は,當該媒體に記録されている行政情報をいかなる方法によっても復元できないように消去を行うか,消去できないものにあっては物理的破壊を行った上で廃棄しなければならない。
  • 行政情報を記録した記録媒體の廃棄にあたり,當該行政情報の消去を外部業者に行わせる場合は,守秘義務を明記した契約を締結しなければならない。
  • 重要性分類S,I及びIIの行政情報を記録した記録媒體を廃棄する場合は,情報管理者の許可を得ることとし,廃棄を行った日時,擔當者及び処理內容を記録しなければならない。
  • 廃棄する記録媒體は,廃棄されるまでの間,記録されている行政情報の重要度に応じた管理をしなければならない。
(5)ウェブページ等における行政情報の取扱い
  • 情報管理者は,ウェブページ等により外部へ行政情報を発信する場合,その內容について正確かつ適切なものとするとともに,不正アクセス等により行政情報が改ざんされないよう対策を講じなければならない。

(6)約款による外部サービスの利用

  • 職員は,オンラインストレージサービス等の約款による外部サービスを利用し,重要性分類S,I及びIIの行政情報の保存,送信等を行ってはならない。
  • 職員は,重要性分類IIIの行政情報の保存,送信等に當該サービスを利用する場合には,利用するサービスの約款,その他提供條件から,利用に當たってのリスクが許容出來ることを確認し,情報管理者の許可を得た上で約款による外部サービスの利用を申請しなければならない。
  • 職員は,適切な措置を講じた上で,當該サービスを利用しなければならない。
5.情報システムの管理方法
  • 情報管理者及びシステム管理者は,本章(6)物理的セキュリティ及び(7)技術的セキュリティに基づき情報システムを管理しなければならない。

6.情報システムが接続するネットワークの管理方法

ネットワーク管理者及び情報システムが接続するネットワークを所管する情報管理者及びシステム管理者は,ネットワーク毎の要件に基づいた対策を行い,適切に管理しなければならない。

(1.)個人番號利用事務系ネットワーク

 個人番號利用事務系ネットワークは,以下の対策を行わなければならない。

  ア 個人番號利用事務系ネットワークと他のネットワークとの分離

  • 個人番號利用事務系ネットワークは,原則として,外部ネットワークとの接続又は通信を行ってはならない。ただし,セキュリティ確保等のため,やむを得ず個人番號利用事務系ネットワークと他のネットワークとの接続又は通信を行う必要がある場合は,安全が確認された通信対象に限定した上で,セキュリティ障害が生じないよう,フィルタリング及びルーティング等の必要な対策を講じなければならない。

  イ 情報へのアクセス及び持ち出しにおける対策

  • 個人番號利用事務系ネットワークに接続する情報システムは,複數要素による利用者認証の導入や端末からの行政情報の持ち出し制限等により,情報漏えい対策を実施しなければならない。

  ウ コンピュータウイルス対策

  • 複數の情報システムが接続する個人番號利用事務系ネットワークは,ネットワーク全體として均質なウイルス対策を講じなければならない。

(2.)LGWAN接続系ネットワーク

 LGWAN接続系ネットワークは,以下の対策を行わなければならない。

  ア LGWAN接続系とインターネット接続系ネットワークとの分離

  • LGWAN接続系ネットワークは,原則として,インターネット接続系ネットワークとの接続又は通信を行えないようにしなければならない。ただし,セキュリティ確保等のため,やむを得ずLGWAN接続系ネットワークとインターネット接続系ネットワークとの接続又は通信を行う必要がある場合は,安全が確認された通信対象に限定した上で,セキュリティ障害が生じないよう,フィルタリング及びルーティング等の必要な対策を講じなければならない。

  イ コンピュータウイルス対策

  • 複數の情報システムが接続するLGWAN接続系ネットワークは,ネットワーク全體として均質なウイルス対策を講じなければならない。

(3.)インターネット接続系ネットワーク

 インターネット接続系ネットワークは,以下の対策を行わなければならない。

  ア 情報セキュリティクラウドへの參加

  • インターネット接続系ネットワークは,市區町村のインターネット接続口を集約する宮城県自治體情報セキュリティクラウドに參加し,國及び関係団體,民間事業者等と連攜しながら,情報セキュリティ対策を推進しなければならない。

  イ 獨自にインターネット接続を行うネットワークにおける対策

  • 宮城県自治體情報セキュリティクラウドに參加しないインターネット接続系ネットワークは,セキュリティ障害の検知と対応及び不正アクセスの監視等の対策を講じなければならない。

(4.)獨立系ネットワーク

獨立系ネットワークは,接続する情報システムの機密性,完全性,可用性を確保するために必要な対策を講じなければならない。また,複數の情報システムが接続する獨立系ネットワークは,ネットワーク全體として均質なウイルス対策を講じなければならない。

ページの先頭へ戻る

(4)人的セキュリティ

1.職員の遵守事項

  • 職員は,情報セキュリティポリシー及び情報セキュリティ実施手順(共通実施手順及び情報システム毎の実施手順。以下同じ。)に定めている事項を遵守しなければならない。
  • 職員は,情報セキュリティポリシー及び情報セキュリティ実施手順について不明な點,遵守することが困難な點がある場合には,直ちに情報管理者に相談し,指示を仰がなければならない。
  • 職員は,情報管理者の指示等に従い,情報システムの開発,設定の変更,運用及び更新等の作業を行わなければならない。
  • 職員は,パソコン等の端末のソフトウェアに関するセキュリティ機能の設定をシステム管理者(システム管理者を置かない情報システムにおいては情報管理者)の許可なく変更してはならない。
  • 職員は,情報管理者の許可なく情報システムの機器を執務室外に持ち出してはならない。
  • 職員は,個人で所有する電子計算機,外部記録媒體及び電子機器等と,本市の電子計算機,ネットワーク及び外部記録媒體等を接続してはならない。
  • 職員は,本市の保有する行政情報を漏らしてはならない。その職を退いた後も同様とする。
2.外部委託に関する管理
  • システム管理者及び情報管理者は,情報システムの開発,保守,運用管理等の業務を外部業者に委託する場合は,守秘義務等,情報セキュリティポリシーのうち外部委託業者が守るべき內容の遵守及びその守秘義務を明記した契約を締結し,その遵守狀況を管理しなければならない。
3.パスワードの管理
  • 職員は,自己の保有するパスワードについて,不用意にもらしたり他者に知られることのないよう適切に管理しなければならない。
  • パスワードは,原則として職員等の間で共有してはならない。ただし,共有ID等で使用するパスワードを除く。
  • 共有ID等で使用するパスワードは,人事異動等によりパスワードの機密性が低下した場合は,変更等を行わなければならない。
4.IDカードの管理
  • 職員は,情報システムの認証等に用いるため個別に貸與されているIDカードを,職員間で共有してはならない。
  • 職員は,業務上必要のないときは,IDカードをカードリーダもしくは端末のスロット等から抜いておかなければならない。
  • 職員は,IDカードを紛失した場合には,速やかにシステム管理者及び情報管理者に通報し,指示に従わなければならない。
  • システム管理者及び情報管理者は,IDカードの紛失の通報があり次第,當該IDカードを使用したアクセス等を速やかに停止しなければならない。
  • システム管理者及び情報管理者は,利用しなくなったIDカードを回収し,破砕するなど復元不可能な処理を行ったうえで廃棄しなければならない。
5.アクセスの制限
  • 職員は,重要な情報システムへの接続については,必要最小限の接続時間で行うように努めるものとする。
  • 職員は,業務目的外の行政情報にアクセスしてはならない。

ページの先頭へ戻る

(5)セキュリティ教育,訓練

1.研修の受講

  • CISOは,情報セキュリティポリシーについて啓発に努めるとともに,職責に応じた情報セキュリティに関する研修を定期的に実施しなければならない。
  • 局(區)情報管理者は,局(區)情報管理者として必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を受講しなければならない。
  • 情報管理者は,情報管理者として必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を受講しなければならない。
  • 副情報管理者は,情報管理者を補佐する者として必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を受講しなければならない。
  • 職員は,情報セキュリティポリシーに関する研修を受講し,情報セキュリティポリシー及び情報セキュリティ実施手順を理解し,情報セキュリティ上の問題が生じないようにしなければならない。
  • 情報システムの開発,保守及び運用管理等に攜わる職員は,擔當者として必要な知識や技能を習得及び維持するための研修を受講しなければならない。
  • CISOは,職員の情報セキュリティの研修の実施狀況について,必要に応じて「仙臺市情報化推進本部」に報告するものとする。
2.セキュリティ障害等の緊急時の訓練
  • システム管理者は,重要な情報システムの運用に支障を來さない範囲において,緊急時の対応を想定した訓練等を実施しなければならない。

ページの先頭へ戻る

(6)物理的セキュリティ

1.入退室の管理

  • 情報管理者は,重要性分類S及びIの行政情報の記録されている媒體保管場所及びそれを取り扱う情報機器の設置場所への入退室の管理について必要な措置を講じなければならない。

2.電子計算機室等の管理

  • システム管理者及び情報管理者は,電子計算機室等においては,電子計算機や記録媒體の持ち出し及び持ち込みについて記録を作成し,保管しなければならない。

3.機器の管理

  • 職員は執務室に職員が不在となる場合には,施錠するなど部外者の侵入を防ぐ措置を講じなければならない。
  • 情報管理者は,情報システムの機器等に盜難防止用ワイヤーの設置等の盜難防止対策を必要に応じて施すものとする。
  • システム管理者は,重要な情報システムのサーバ等の機器の取付けを行う場合,火災,水害,埃,振動,溫度,濕度等の影響を可能な限り排除した場所に設置し,容易に取り外せないよう適切に固定する等の機器の保護に関する必要な措置を講じなければならない。

4.機器等の搬入及び搬出

  • 情報管理者は,機器等の搬入及び搬出の場合に,職員が立ち會う等の必要な措置を講じなければならない。

5.電源

  • 情報管理者は,停電及び電圧異常等によりデータ等が破壊され,業務処理に支障を來すおそれのある情報システム等の機器の電源を,當該機器を適切に停止するまでの間に必要な電力を供給する容量の予備電源を備え付ける等の措置を講じなければならない。

6.配線

  • 情報管理者は,配線については,傍受又は損傷等を受けることがないよう可能な限り必要な措置を施さなければならない。
  • 情報管理者は,主要な箇所の配線については,損傷等についての定期的な點検を行わなければならない。

ページの先頭へ戻る

(7)技術的セキュリティ

1.情報システムの管理
(1)臺帳の作成と管理

  • システム管理者及び情報管理者は,所管する情報システムについて,原則として,臺帳を作成して管理しなければならない。

(2)情報システム管理記録の作成と管理

  • システム管理者は,擔當する重要な情報システムにおけるシステムの変更作業を記録し,適切に管理しなければならない。
(3)情報システム仕様書の管理
  • システム管理者は,重要な情報システムの仕様書を最新の狀態にしなければならない。また,システムの仕様変更等をした場合は,その記録を作成しなければならない。
  • システム管理者は,重要な情報システムの仕様書を業務上必要とする者のみが閲覧出來る場所に保管しなければならない。
(4)アクセス記録の取得
  • システム管理者は,アクセス記録及びセキュリティ障害に関する記録(以下「障害記録」という。)を取得し,一定の期間保存しなければならない。
  • システム管理者は,アクセス記録として取得する項目,保存期間,取扱方法及びアクセス記録が取得できなくなった場合の対処等について定め,適切に管理しなければならない
  • システム管理者は,アクセス記録が,竊取,改ざん又は消去されないように必要な措置を講じなければならない。
  • システム管理者は,アクセス記録を定期的に點検又は分析する機能を設け,必要に応じて不正アクセス,不正操作等の有無について點検又は分析を実施しなければならない。
(5)障害記録の作成
  • システム管理者は,障害記録を作成し,一定の期間保存しなければならない。
(6)ソフトウェアの導入に関する注意
  • 職員は,新たにソフトウェアを導入する場合は,システム管理者の許可を得るとともに,著作権及び著作隣接権に配慮しなければならない。
  • 職員は,正規のライセンスのないソフトウェアを導入してはならない。
  • 職員は,業務上不必要なソフトウェア及び出所不明なソフトウェア等安全性が確認されないソフトウェアをインストールしてはならない。
  • 職員は,導入されているソフトウェアを適切に運用管理しなければならない。
(7)電子メールの送受信等
  • 職員は,業務上不必要な者へ電子メールを送信してはならない。
  • 職員は,チェーンメールや不審な電子メールを他者に転送してはならない。
  • 職員は,自動転送機能を用いて,電子メールを転送してはならない。ただし,業務上必要な場合であって,システム管理者又は情報管理者の許可を得た場合はこの限りではない。
  • 職員は,重要性分類S,I又はIIの行政情報に該當する添付ファイルのある電子メールを送信する必要がある場合には,事前に情報管理者の承認を受けなければならない。
  • 原則として,仙臺市個人情報保護條例(平成16年仙臺市條例第49號)第2條第1項に該當する個人情報は送信してはならない。
  • 職員は,複數人に電子メールを送信する場合,必要がある場合を除き,他の送信先の電子メールアドレスがわからないようにしなければならない。ただし,グループウェアの電子メールについてはこの限りではない。
  • 職員は,差出人が不明な,又は不自然なファイルが添付された電子メールを受信した場合は,直ちに廃棄しなければならない。
(8)電子メールのセキュリティ管理
  • ネットワーク管理者は,権限のない利用者により,外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう,電子メールサーバの設定を行わなければならない。
  • ネットワーク管理者は,大量のスパムメール等の受信又は送信を検知した場合は,メールサーバの運用を停止しなければならない。
  • ネットワーク管理者は,電子メールの送受信容量の上限を設定し,上限を超える電子メールの送受信を不可能にしなければならない。
  • ネットワーク管理者は,職員等が使用出來る電子メールボックス等の容量の上限を設定し,上限を超えた場合の対応を職員等に周知しなければならない。
(9)暗號化
  • 情報管理者は,必要に応じて行政情報を暗號化して管理するものとし,暗號化に用いた暗號鍵及び暗號化された行政情報は,別々に適切な管理をしなければならない。
(10)職員以外の者が利用できる情報システム
  • システム管理者は,職員以外の者が利用出來る情報システムについては,情報セキュリティに関して危険性に応じた対策をとらなければならない。
(11)情報システムの入出力データ
  • 情報管理者は,情報システムに入力されるデータの適切なチェック等を行い,それが正確であることを確実にするための対策を施さなければならない。
  • 情報管理者は,情報システムから出力されるデータが正しく処理されていることを確認しなければならない。
(12)業務目的以外での使用の禁止
  • 職員は,業務目的以外での情報システムへのアクセス,電子メールの使用及びウェブの閲覧を行ってはならない。
2.情報システムアクセス制御
(1)
利用者登録
  • システム管理者は,重要な情報システムの利用者の登録,変更及び抹消等については,情報システム毎に定められた方法に従って行わなければならない。
  • 利用者の登録及び変更等は,システム管理者に対する申請により行わなければならない。
(2)複數要素認証
  • システム管理者及び情報管理者は,重要性分類S又はIの行政情報を取り扱う情報システムの認証においては,行政情報の重要度に応じて,パスワード以外に指紋認証等の二要素認証の導入を検討しなければならない。

(3)不必要なネットワークへのアクセス制御

  • システム管理者は,不必要なネットワークサービスにアクセスできないよう必要な措置を講じなければならない。
(4)外部からのアクセス
  • システム管理者は,外部からのアクセスの許可は,必要最小限にしなければならない。
  • システム管理者及び情報管理者は,公衆通信回線(公衆無線LAN等)を情報システムに接続することを原則禁止しなければならない。ただし,やむを得ず接続を認める場合は,情報セキュリティ確保のために必要な措置を講じなければならない。
(5)內部からのアクセス
  • 情報管理者は,行政情報ネットワークシステムや內部ネットワークを持つシステム上の共有フォルダへのアクセスの許可は,必要最小限にしなければならない。

6)外部ネットワークとの接続

  • 個人情報を取扱う情報システムは,外部ネットワークとの接続を行ってはならない。ただし,法令等に定めがある場合,又は仙臺市個人情報保護審査會が公益上必要があると認める場合は,この限りではない。
  • システム管理者は外部ネットワークとの接続に際しては,當該外部ネットワークのネットワーク構成,機器構成及び情報セキュリティレベル等を詳細に検討し,本市の情報資産に影響が生じないことを明確に確認し,ネットワーク管理者との協議の上,CISOの許可に基づき接続しなければならない。
  • システム管理者及びネットワーク管理者は,外部ネットワークとの接続を行うことで內部ネットワークの安全性が脅かされることの無いようにセキュリティ対策に努めなければならない。
  • ネットワーク管理者は,フィルタリング及びルーティングについて,不都合が発生しないよう,必要な対策を講じるものとする。
  • ネットワーク管理者は,不正アクセスを防止するため,アクセス制御等必要な対策を講じるものとする。
  • システム管理者及びネットワーク管理者は,接続した外部ネットワークの情報セキュリティに問題が認められ,本市の情報資産に脅威が生じることが想定される場合には,直ちに當該外部ネットワークを物理的に遮斷しなければならない。
  • システム管理者及びネットワーク管理者は,內部ネットワークの情報セキュリティに問題が認められた場合には,直ちに當該內部ネットワークを,外部ネットワークから遮斷しなければならない。
(7)無許可でのネットワーク接続禁止
  • 職員は,システム管理者又は情報管理者の許可なくパソコン等をネットワークに接続してはならない。
(8)特権を付與されたID等の管理
  • システム管理者及び情報管理者は,管理者権限等の特権を付與されたIDを利用する者を必要最小限にし,當該ID及びパスワードを厳重に管理しなければならない。
  • システム管理者及び情報管理者は,特権を付與されたID及びパスワードの変更について,外部委託事業者に行なわせる必要性がある場合は,十分な管理のもと,行うものとする。
  • システム管理者及び情報管理者は,特権を付與されたID及びパスワードについて,職員が事務用に使用する電子計算機等のパスワードよりも,定期的な変更や入力回數の制限等セキュリティ機能の強化に努めるものとする。
(9)情報システム利用者のIDの管理
  • システム管理者及び情報管理者は,利用者の登録,変更及び抹消等の情報管理,職員の異動,出向及び退職等に伴う利用者IDの取扱い等の方法を定めなければならない。
  • 職員は,業務上必要がなくなった場合は,利用者登録を抹消するよう,システム管理者又は情報管理者に通知しなければならない。
  • システム管理者及び情報管理者は,利用されていないIDが放置されないよう,定期的に點検しなければならない。
3.情報システムの開発,導入及び保守

情報管理者は,情報システムの開発,導入及び保守をする場合は,必要に応じネットワーク管理者と協議するものとする。

(1)情報システムの開発及び導入
  • システム管理者及び情報管理者は,情報システムのソフトウェアを開発及び導入する場合は,情報セキュリティ上問題にならないように対策を講じなければならない。
  • システム管理者は,重要な情報システムのソフトウェアを開発する場合は,ソフトウェアの仕様書及びネットワーク構成図等を整備しなければならない。
  • システム管理者は,開発したソフトウェアを重要な情報システムに取り入れる場合は,既に稼動しているシステムに情報セキュリティ上の影響が及ばないように,接続する前に十分な試験を行わなければならない。
(2)情報システムの変更管理
  • システム管理者は,重要な情報システムを追加,変更又は廃棄等した場合は,その際の設定,構成等の履歴を記録及び保存し,必要な場合には復舊出來るようにしなければならない。
(3)ソフトウェアの保守及び更新
  • システム管理者及び情報管理者は,情報セキュリティに重大な影響を及ぼすソフトウェアについては,適切な保守が行われるようにし,その不具合については,直ちに修正等の対応を行わなければならない。
  • システム管理者及び情報管理者は,パッチやバージョンアップ等のサポートが終了したソフトウェアを利用してはならない。
  • システム管理者は,重要な情報システムのソフトウェアの更新等については,計畫的に実施しなければならない。
(4)機器の修理,廃棄又は返卻
  • 情報管理者は,記録媒體の含まれる機器を,外部業者に修理させる場合又は賃貸借期限終了等により返卻若しくは廃棄する場合は,可能な範囲でバックアップを取り,記録媒體內のすべての行政情報を消去しなければならない。
  • 情報管理者は,當該機器を外部業者に修理させる際,行政情報を消去することが難しい場合は,修理を行わせる業者と守秘義務を明記した契約を締結しなければならない。
(5)機器構成の変更
  • 職員は,情報システムの機器について業務を遂行するため機器の増設又は交換を行う必要がある場合には,システム管理者又は情報管理者の許可を得なければならない。
  • 職員は,通信機器等を増設して,他のネットワークへ接続を行う場合及び他のネットワークからアクセスを可能とする仕組みを構築する場合には,情報管理者を通じ,システム管理者の許可を得なければならない。
  • システム管理者は,機器構成の変更等の許可に當たって,重要な情報システムや他のシステムに情報セキュリティ上の問題を生じさせてはならない。
4.コンピュータウイルス対策
(1)情報管理者の実施事項
  • 情報システムのサーバ及び必要な機器にウイルス対策ソフトを導入すること。
  • ウイルスチェック用のパターンファイルは常に最新のものに保つこと。
  • 定期的に新種のウイルスに関する情報収集や情報システム內部の感染狀況等について情報収集をすること。
  • コンピュータウイルスについて,職員に対して必要な啓発活動を行うこと。
(2)職員の遵守事項
  • データ又はソフトウェアを外部から取り入れ,又は外部に持ち出す場合は,必ずウイルスチェックを行うこと。
  • ウイルスチェックの実行を途中で止めないこと。
  • 添付ファイルのあるメールを送受信する場合は,ウイルスチェックを行うこと。

5.不正アクセス対策

  • システム管理者及び情報管理者は,不要なサービスについて,機能を削除又は停止しなければならない。
  • システム管理者及び情報管理者は,セキュリティホール等の情報収集に努め,メーカー等から修正プログラムの提供があり次第,速やかに対応するとともに,その修正履歴を記録及び保存しなければならない。
  • システム管理者及び情報管理者は,情報システムに修正プログラムの導入ができない場合は,他の手段によって,情報セキュリティを確保する措置を講じなければならない。
  • システム管理者及び情報管理者は,情報システムに不正な侵入や利用があった場合に探知等出來るよう,適切な対策に努めなければならない。
  • システム管理者及び情報管理者は,情報システムに攻撃を受けていることが明らかな場合には,システムの停止を含め必要な措置を講じなければならない。
  • 局(區)情報管理者又は情報管理者は,職員により本市ネットワーク及び外部ネットワークに対して不正なアクセスがあった場合は,當該職員が屬する情報管理者に通知し,適切な処置を求めなければならない。
  • 職員は,外部ネットワークより不正アクセスがあった場合は,システム管理者及び情報管理者に報告し,適切な措置を講じなければならない。

6.セキュリティ情報の収集

  • システム管理者は,重要な情報システムの設定に係るファイル等について,定期的に當該ファイルの改ざんの有無を検査しなければならない。
  • 局(區)情報管理者は,セキュリティに関する情報について,國及び関係団體,民間事業者等から適宜情報を収集しなければならない。

7.ネットワークに接続する機器の管理

  • システム管理者及び情報管理者は,特定用途機器について,取り扱う情報,利用方法,通信回線への接続形態等により,何らかの脅威が想定される場合は,當該機器の特性に応じた対策を実施しなければならない。

8.RPAの管理

  • システム管理者及び情報管理者は,RPAによって自動化された処理を文書等で可視化しなければならない。また,処理內容の変更が行われた場合は,必ず當該文書等にも反映しなくてはならない。
  • システム管理者及び情報管理者は,RPAによる処理に誤りがないことを検知できる仕組みの構築又は処理結果の定期的な點検を行わなければならない。
  • システム管理者及び情報管理者は,RPAによる処理を不正に使用されないために,認証等による使用制限を設けなければならない。

ページの先頭へ戻る

(8)運用

1.情報システムの監視

  • システム管理者は,重要な情報システムの運用にあたっては,常に情報システムを監視するとともにセキュリティ障害に対して注意を払わなければならない。
  • システム管理者は,セキュリティ障害時の調査を確実なものとするために,重要な情報システムのサーバ等の時刻について,正確な時刻を保つようにしなければならない。

2.情報セキュリティポリシーの遵守狀況の確認と対処

  • 局(區)情報管理者及び情報管理者は,情報セキュリティポリシーの遵守狀況について,また,運用上支障が生じていないかについて確認を行い,問題が発生していた場合には適切かつ速やかに対処しなければならない。
  • システム管理者は,ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守狀況について,定期的に確認を行い,問題が発生していた場合には適切かつ速やかに対処しなければならない。

3.セキュリティ障害時の対応

局(區)情報管理者,CSIRT管理者,システム管理者及び情報管理者は,セキュリティ障害が発生した場合には,直ちに対応するとともに,再発防止の措置を講じなければならない。

(1)障害の発生
  • 職員は,セキュリティ障害の発生について,他の職員からの検知?連絡だけでなく,市民等外部からの連絡によって検知した場合も,直ちに情報管理者へ報告しなければならない。
  • 情報管理者は,セキュリティ障害が発生した情報システムが重要な情報システムに関するものにあっては,直ちにシステム管理者へその旨を報告しなければならない。
(2)障害発生の報告
  • システム管理者及び情報管理者は,セキュリティ障害が発生した場合,直ちに次の項目について調査を行い,その內容について局(區)情報管理者及びCSIRT管理者へ報告を行わなければならない。
  • セキュリティ障害の內容
  • セキュリティ障害が発生した原因
  • 確認した被害及び影響範囲
  • CSIRT管理者は,セキュリティ障害の発生の報告を受けた場合,以下の対応を実施しなければならない。

ア 発生したセキュリティ障害の影響が他システムや他課に及ぶ可能性があるなど,技術的支援等が必要な場 合はCSIRT責任者へ報告を行う。

イ 発生したセキュリティ障害への対応等のため,技術的な助言又は必要な情報の提供をCSIRT責任者に求め る。

ウ セキュリティ障害の程度が軽微なものについては報告を要しないものとする。

  • 局(區)情報管理者は,セキュリティ障害の程度が外部に重大な影響を及ぼすおそれがある場合には,直ちにCISOに報告のうえ必要な指示を仰がなければならない。
(3)障害拡大の防止措置
  • システム管理者及び情報管理者は,業務を継続することにより,セキュリティ障害による影響が拡大する可能性が高い場合には,重要な情報システムの停止を含む必要な措置を講じるとともに,CSIRT責任者へ報告しなければならない。
  • システム管理者及び情報管理者は,セキュリティ障害が発生し,その障害の原因となる行為が不正アクセスの可能性がある場合には,當該セキュリティ障害に関する記録(アクセスログ等)の保存に努めるとともに,CSIRT責任者の求めに応じ,提供しなければならない。
(4)障害の復舊及び再発防止の報告
  • システム管理者及び情報管理者は,局(區)情報管理者の指示の下,直ちにセキュリティ障害を復舊し,その措置について局(區)情報管理者及びCSIRT管理者に報告しなければならない。
  • 局(區)情報管理者は,必要な再発防止の措置を講じるとともに,外部に重大な影響を及ぼしたセキュリティ障害について,その対応結果をCISO及びCSIRT管理者に報告しなければならない。

4.大規模災害時等における例外措置
(1)
例外措置の許可

局(區)情報管理者は,情報セキュリティ関係規定を遵守することが困難な狀況で,行政事務の適正な遂行を継続するため,遵守事項とは異なる方法を採用し,又は遵守事項を実施しないことについて合理的な理由がある場合には,CISOの許可を得て,例外措置を実施することが出來る。

(2)緊急時の例外措置

局(區)情報管理者は,行政事務の遂行に緊急を要する等の場合であって,例外措置を実施することが不可避のときは,(1)の許可を得ることなく例外措置を実施することができる。ただし,外措置の実施後速やかにCISOに報告しなければならない。

ページの先頭へ戻る

(9)法令等遵守

職員は,次の法令等を遵守しなければならない。

 1.地方公務員法(昭和25年法律第261號)

 2.不正アクセス行為の禁止等に関する法律(平成11年法律第128號)

 3.著作権法(昭和45年法律第48號)

 4.行政手続における特定の個人を識別するための番號の利用等に関する法律(平成25年法律
第27號)

 5.サイバーセキュリティ基本法(平成28年法律第31號)

 6.仙臺市個人情報保護條例

 7.事務処理指針(H20年総総行第532號,別添)

また,マナーと倫理をもって情報システムを利用しなければならない。

ページの先頭へ戻る

(10)評価,見直し等

1.自主點検

  • 局(區)情報管理者及び情報管理者は,當該部署の情報セキュリティが確保されていることを確認するため,定期的及び必要に応じて自主點検を行い,必要に応じ改善措置を講じるものとする。
  • 職員は,自主點検の結果に基づき,自己の権限の範囲內で改善を図らなければならない。
  • CISOは,この點検結果を情報セキュリティポリシーの見直し及びその他の情報セキュリティ対策の見直し時に活用しなければならない。

2.監査

  • CISOは,重要な情報システムの管理體制やシステムのぜい弱性調査等について定期的及び必要に応じ監査を実施するものとする。
  • CISOの命により監査を行う者は,監査及び情報セキュリティに関する専門知識を有する者でなければならない。
  • CISOは,監査の結果を通して収集した監査証拠及び監査報告書作成のための書類を適切に保管しなければならない。
  • CISOは,監査結果を踏まえ,指摘事項をに係る情報システムを所管している情報管理者又はシステム管理者に対し,當該事項への対処を指示しなければならない。また,指摘事項に係る情報システムを所管していない情報管理者又はシステム管理者に対しても,同種の課題及び問題點がある可能性が高い場合には,當該課題及び問題點の有無を確認させなければならない。
  • CISOは,監査結果を取りまとめ,必要に応じて「仙臺市情報化推進本部」に報告するものとする。
  • CISOは,監査結果を情報セキュリティポリシーの見直し及びその他情報セキュリティ対策の見直し時に活用しなければならない。

3.見直し

  • CISOは,情報セキュリティポリシーの見直しが必要となる事象が発生した場合には,「仙臺市情報化推進本部」に諮り必要な見直しを行い,情報セキュリティの維持及び情報セキュリティポリシーの適切な運用に努めなければならない。

お問い合わせ

まちづくり政策局情報管理課

仙臺市青葉區二日町12-26二日町第三仮庁舎3階

電話番號:022-214-1260

ファクス:022-214-8136

污18禁污色黄网站免费观看