情報セキュリティポリシー
1.目的
当公社は、情報システム及び情報資産を保護するために情報セキュリティポリシー(以下「ポリシー」という。)を策定する。 このポリシーは、情報システム及び情報資産を故意や偶然という区別に関係なく、漏洩や滅失、き損等から保護されるような管理策をまとめた文書であり、当公社の情報システム及び情報資産を利用するものは、各々が情報セキュリティの重要性を認識し、市民や施設利用者等から信頼される公社運営に資することを目的とする。
2.用語の定義
ポリシーにおいて、次に掲げる用語の意義は、以下のとおりとする。
(1) 情報セキュリティ
情報資産の機密性#1の保持正確性、完全性#2及び可用性#3を維持すること。
(2) 情報システム
コンピューターの構成機器(ネットワーク、ハードウェア、ソフトウェア、記録媒体#4)で構成され、これらにより業務処理を行う仕組み。
(3) 情報資産
情報システムの開発、運用及び保守に係わる全てのデータ並びに情報システムで取り扱う全てのデータ。
(4) ネットワーク
当公社が管理する施設又は所属を相互に接続するための通信網、その構成機器(ハードウェア、ソフトウェア)及び記録媒体で構成され、処理する仕組み。
#1機密性 情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。 #2完全性 情報及び処理方法の正確さ及び完全である状態を安全防護すること。 #3可用性 許可されたユーザーが必要時に情報及び関連財産にアクセスできることを確実にすること。#4記録媒体 ハードディスク、フラッシュメモリー、光学ディスクなどの電子的に情報を格納するもの。
3.適用範囲
ポリシーの適用範囲は、当公社すべての情報資産に適用し、情報システム及び情報資産に関連する人的・物理的・環境的リソースを含むものとする。
4.適用者及びその責務
ポリシーの適用者は、当公社役員及び職員、嘱託職員及び臨時職員(以下「職員等」という。)であり、情報システム及び当公社が取得、作成した情報資産を取り扱う全ての者を対象とする。また、ポリシーの適用者は、当公社の情報システム及び情報資産の使用を認めるが、その使用については、業務上での使用を前提としており、私的利用を許可するものではない。 委託業者へ当公社の情報システム及び情報資産を取り扱わせる場合、契約上で遵守すべき事項を記し、セキュリティ事故における責任の所在に関しても明確にしなければならない。
5.情報セキュリティ体制の整備
当公社は、保有する全ての情報資産の保護及び適切な管理を行うため、情報セキュリティ委員会を設置するとともに、各所属に情報セキュリティ管理者を配置することで情報セキュリティ対策をすみやかに実施できる体制を構築する。
6.ポリシーの構成
情報セキュリティ対策を確実に実施していくためには、職員等が遵守すべき事項及び判断などの基準を統一的に、個々の情報資産に関する対策の手順を具体的に定めておく必要がある。そのため、情報セキュリティ方針(以下「方針」という。)をポリシーの最上位に位置づけ、その下層に方針での宣言を受け、項目ごとに遵守すべき事項を明記した情報セキュリティ対策基準(以下「対策基準」という。)及び対策基準に基づいた情報セキュリティ実施手順(以下「実施手順」という。)を策定するものとする。 なお、対策基準及び実施手順は、公にすることにより当公社の運営に重大な支障を及ぼすおそれのある情報資産であることから非公開とする。また、実施手順は施設及び課(以下「施設等」という。)毎に別途定める。
7.教育及び訓練の実施
職員等にポリシーの内容を周知徹底するため、教育・訓練を行う。
8.評価及び見直しの実施
方針及び対策基準、実施手順が遵守されていることを確認するため、定期的に情報セキュリティ実施状況の検証を行う。また、情報セキュリティ対策の評価、情報システムの変更、情報セキュリティを取り巻く状況の変化に応じた見直し等を行うものとする。
2018年10月25日施行