木祖村情報セキュリティ規則

○木祖村情報セキュリティ規則

(平成17年3月2日規則第1号)

第1条　この規則は、村の保有する情報資産の機密性、安全性及び可能性を維持するための対策(以下「情報セキュリティ対策」という。)を整備するため、木祖村情報セキュリティポリシーを定めることとし、情報セキュリティの確保に最大限取り組むことを目的とする。

第2条　この規則において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1)　「ネットワーク」とは、庁舎及び出先機関を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)及び記録媒体で構成され、処理を行うシステムをいう。

(2)　「情報」とは、村で管理するコンピュータ、ネットワーク及び記録媒体に記録されたデータをいう。

(3)　「情報システム」とは、コンピュータシステム(ハードウェア、ソフトウェア、ネットワーク及び記録媒体)で構成されるものであって、これら全体で業務処理を行うものをいう。

(4)　「情報資産」とは、情報並びにネットワーク及び情報システムをいう。

(5)　「脅威」とは、自然の脅威(地震、火災、風水害等をいう。)、情報システムの脅威(情報システムの故障、誤動作等をいう。)及び人的な脅威(不正行為、誤操作等をいう。)をいう。

(6)　「情報セキュリティ」とは、脅威から村が管理する情報資産を保護し、情報資産の機密性、完全性及び可用性を確保することをいう。

ア　「機密性」とは、権限のない者への重要な情報の漏えいを防止することをいう。

イ　「完全性」とは、情報の改ざん、破壊による被害を防止することをいう。

ウ　「可用性」とは、権限のある者に対し、いつでも情報の利用を可能とすることをいう。

(7)　「情報セキュリティ対策」とは、情報セキュリティを維持するための管理策をいう。

(8)　「職員」とは、非常勤職員及び臨時職員を含む全職員をいう。

(9)　「外部要員」とは、村との契約に基づいて村の機関で作業する職務委託先社員(システム開発職務を委託する外部業者の社員をいう。)の職員以外の者をいう。

第3条　この規則の適用範囲は、次のとおりとする。

(1)　適用対象者

情報資産に関する業務に携わる全ての職員及び外部要員とする。

(2)　適用資産

村が管理する全ての情報資産とする。

(職員の義務)

第4条　職員は、この規則及び関係法令を遵守し、情報セキュリティ対策を有効に機能させなければならない。

2　職員は、職務上知り得た秘密を漏らしてはならない。その職を退いた後も同様とする。

(外部要員の義務)

第5条　第4条の規定は、外部要員についても準用する。

2　外部要員を使用する担当課の職員は、外部要員に対し、この規則を守らせるように努めなければならない。

(情報資産の分類)

第6条　村が管理する情報資産をその重要度に応じて分類し、それに応じた情報セキュリティ対策を行うものとする。

(情報セキュリティ対策)

第7条　村が管理する情報資産を脅威から保護するために、村長は次に掲げる情報セキュリティ対策を講ずるものとする。

(1)　情報資産に関する対策

すべての情報資産について、情報の漏えい、改ざん、破壊等の脅威から保護して管理するために、重要度を評価・分類し、その重要度に応じた対策を講ずる。

(2)　人員に関する対策

職員及び外部要員に対して情報セキュリティの重要性を認識させ、情報セキュリティの啓発に有効と考えられる教育活動等の必要な対策を講ずる。

(3)　情報システムの設計・開発に関する対策

情報システムの誤動作、不正利用、情報漏えい等から情報資産を保護するために、設計・開発環境、品質保持に必要な対策を講ずる。

(4)　情報システムの運用に関する対策

情報システムに対して運用ミスや情報漏えい等から情報資産を保護するために、情報システムの運用、保守、監視等の必要な対策を講ずる。

(5)　ネットワークに関する対策

ネットワーク障害、不正アクセス等から情報資産を保護するために、ネットワークの可用性確保、ネットワーク監視等の必要な対策を講ずる。

(6)　情報セキュリティ事故に関する対策

情報セキュリティ事故発生時に迅速に対応し、被害の拡大を防止するとともに再発を未然に防止するために必要な情報セキュリティ対策を講ずる。

(7)　情報セキュリティ監査に関する対策

情報セキュリティ対策の実施状況を確認し、情報セキュリティ対策の形骸化を防止するために必要となる情報セキュリティ監査に関する対策を講ずる。

(情報セキュリティ対策基準)

第8条　村長は、村における情報セキュリティ対策の統一基準となる情報セキュリティ対策基準(以下「対策基準」という。)を定め、想定される脅威に対応するための対策要件を規定する。なお、対策基準は、公にすることにより木祖村の行政運営に重大な支障を及ぼす恐れのある情報資産であることから非公開とする。

(情報セキュリティ実施手順)

第9条　村は、この規則及び対策基準に従い、情報セキュリティ対策に関する手法、手順の詳細となる情報セキュリティ実施手順(以下「実施手順」という。)を作成するものとする。なお、実施手順は、公にすることにより木祖村の行政運営に重大な支障を及ぼす恐れのある情報資産であることから非公開とする。

(情報セキュリティ管理体制)

第10条　木祖村の情報資産について、適切に情報セキュリティ対策を推進・管理するため体制を確立するものとする。

(情報セキュリティ監査の実施)

第11条　村長は、この規則及び対策基準が遵守されていることを検証するため、定期的に情報セキュリティ監査を実施するものとする。

(法令等の遵守)

第12条　すべての適用対象者は、職務遂行においてこの規則その他関係法令の規定を遵守しなければならない。

第13条　この規則に定めるもののほか、この規則の施行に関し必要な事項は、村長が別に定める。

この条例は、平成17年4月1日から施行する。