姫路市情報セキュリティ基本方針

「姫路市情報セキュリティポリシー」において、本市の情報セキュリティに対する基本的な指針を次のとおり決定しました。

以下は、その内容です。

姫路市情報セキュリティ基本方針

平成16年3月30日　制定

（目的）
第1条　姫路市情報セキュリティ基本方針（以下「基本方針」という。）は、情報セキュリティに対する基本的な指針を記述し、姫路市（以下「市」という。）が管理する情報資産を適切に保護することを目的とする。

（用語の定義）
第2条　この基本方針において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
(1)情報

職務の遂行に伴ってコンピュータおよび記録媒体に記録されたデータをいう。

(2)情報システム

コンピュータシステム（ハードウェア、ソフトウェア、ネットワークおよび記録媒体）およびこれに関する設備をいう。

(3)ネットワーク

情報システムが処理する情報伝送する通信ケーブルおよびこれに関する設備をいう。

(4)情報資産

情報および情報システム並びにこれらを利用して出力された文書および情報システムに関する設計書等の関連文書をいう。

(5)脅威

自然の脅威（地震、火災、風水害等）、情報システムの脅威（情報システムの故障、誤動作等）および人的な脅威（不正行為、誤操作等）をいう。

(6)情報セキュリティ

脅威から市が管理する情報資産を保護し、情報資産の「機密性」、「完全性」および「可用性」を確保することをいう。

「機密性」：権限のない者への重要な情報の漏えいを防止すること。「完全性」：情報の改ざん、破壊による被害を防止すること。「可用性」：権限のある者に対し、いつでも情報の利用を可能とすること。

(7)情報セキュリティ対策

情報セキュリティを維持するための管理策をいう。

(8)職員

市に勤務する特別職および一般職のうち、市の管理する情報資産に接する者の総称をいう。

(9)外部要員

契約等に基づいて作業する業務委託先社員等のうち、市の管理する情報資産に接する者の総称をいう。

（適用範囲）
第3条　この基本方針の適用範囲は、次に定めるところによる。
(1)適用対象者

職員および外部要員とする。

(2)適用資産

市が管理するすべての情報資産とする。

（職員の義務）
第4条　すべての職員は、次に掲げる義務を負うものとする。
(1)この基本方針を遵守し、情報セキュリティ対策を有効に機能させなければならない。
(2)職務上知り得た秘密を漏らしてはならない。その職を退いた後も同様とする。

（外部要員の管理）
第5条　外部要員を使用する職員は、契約等に基づき、前条と同様の内容を外部要員に対しても義務づけ管理するものとする。

（情報の区分）
第6条　市が管理する情報資産は、その重要度に応じて区分し、その区分に応じた情報セキュリティ対策を講ずるものとする。

（情報セキュリティ対策）
第7条　市が管理する情報資産を脅威から保護するために、次に掲げる情報セキュリティ対策を講ずるものとする。
(1)物理的セキュリティ対策

情報システムを設置する施設への不正な立入り、情報資産への損傷、妨害等から保護するために物理的な対策を講ずる。

(2)人的セキュリティ対策

職員および関係機関の職員等並びに外部要員に対して情報セキュリティの重要性を認識させ、情報セキュリティの啓発に有効と考えられる教育活動等、必要な対策を講ずる。

(3)技術的セキュリティ対策

情報システムの誤操作、不正アクセス等から情報資産を保護するために、情報資産へのアクセス制御等の技術的な対策を講ずる。

(4)情報システム開発セキュリティ対策

情報システムの誤作動、不正利用、情報漏えい等から情報資産を保護するために、開発環境、品質保持に必要な対策を講ずる。

(5)情報システム運用セキュリティ対策

情報システムに対して運用ミスや情報漏えい等から情報資産を保護するために、情報システムの運用、保守、監視等の必要な対策を講ずる。

(6)ネットワークセキュリティ対策

ネットワーク障害、不正アクセス等から情報資産を保護するために、ネットワークの可用性の確保、ネットワーク監視等の必要な対策を講ずる。

（情報セキュリティ対策基準）
第8条　この基本方針に従い、市における情報セキュリティ対策の統一基準となる情報セキュリティ対策基準（以下「対策基準」という。）を定め、想定される脅威に対応するための対策要件を規定する。

（情報セキュリティ実施手順）
第9条　この基本方針および対策基準に従い、情報セキュリティ対策に関する手法、手順の詳細となる情報セキュリティ実施手順（以下「実施手順」という。）を作成するものとする。

（情報セキュリティ管理体制）
第10条　この基本方針および対策基準に規定された情報セキュリティ対策の推進および管理は、情報セキュリティ委員会が所掌し、以下の組織および体制を置くものとする。
(1)情報セキュリティ統括責任者
(2)情報セキュリティ管理責任者
(3)情報セキュリティ事務局
(4)情報セキュリティ責任者

（情報セキュリティ監査の実施）
第11条　この基本方針および対策基準が遵守されていることを検証するため、情報セキュリティ監査および自己点検を実施するものとする。

（見直し）
第12条　この基本方針は、必要に応じて、内容の妥当性について随時審議し見直しをするものとする。

（法令等の遵守）
第13条　すべての適用対象者は、職務遂行において、関連法令等に従わなければならない。

（施行期日）
この基本方針は、平成16年4月1日より施行する。

附則（平成20年3月31日）

（施行期日）
この基本方針は、平成20年10月1日より施行する。