盛岡地区広域消防組合情報セキュリティ対策に関する規程

○盛岡地区広域消防組合情報セキュリティ対策に関する規程

令和5年3月31日

訓令第4号

盛岡地区広域消防組合情報セキュリティポリシー規程(平成24年訓令第1号)の全部を改正する。

(趣旨)

第1条　この訓令は、盛岡地区広域消防組合(以下「組合」という。)が保有する情報資産の管理を徹底し、組合の情報資産を情報資産脅威から保護するため、情報セキュリティ対策に関し必要な事項を定めるものとする。

(定義)

第2条　この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1)　課等　事務局、課及び消防署並びに消防署の分署及び出張所をいう。

(2)　ネットワーク　コンピュータ等を相互に接続し、情報処理を行うため、組合が管理し、及び利用する通信回線並びに当該通信回線に設けられるハードウェア及びソフトウェアにより構成される通信装置をいう。

(3)　情報システム　組合の事務処理を行うための電子計算機及び電磁的記録媒体(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって電子計算機による情報処理の用に供されるものに係る記録媒体をいう。以下同じ。)並びにこれらを用いて組合の事務処理を行うための情報処理の仕組みで、独立して、又はネットワークを介して行うものをいう。

(4)　情報資産　次に掲げるものをいう。

ア　ネットワーク、情報システム並びにこれらに関する設備及び機器

イ　ネットワーク及び情報システムで取り扱う情報(紙等に出力された情報を含む。)

ウ　ネットワーク及び情報システムの開発及び運用に係る情報

(5)　情報資産脅威　情報資産に対する次に掲げる行為又は事態をいう。

ア　権限若しくは許可のない職員又は組合の外部の者による、故意の不正なアクセス若しくは不正な操作による情報資産の持出し、漏えい、盗用、破壊、改ざん、消去等又は機器若しくは電磁的記録媒体の盗難、紛失、損傷、滅失等

イ　権限若しくは許可を受けた職員又は組合から業務の委託を受けた者による、過失の操作、故意の不正なアクセス若しくは不正な操作による情報資産の持出し、漏えい、盗用、破壊、改ざん、消去等又は機器若しくは電磁的記録媒体の盗難、紛失、損傷、滅失等

ウ　情報資産に影響を及ぼす地震、落雷、火災等の災害及び事故、故障等の不測の事態

(6)　情報セキュリティ　情報資産について、機密性を保ち、完全性を維持し、及び適正に利用できる状態を維持することをいう。

(7)　情報セキュリティ対策　組合が保有する情報資産の管理及び情報セキュリティのための対策をいう。

(職員の遵守義務)

第3条　職員は、情報セキュリティの重要性について認識するとともに、この訓令及び第6条第2項に規定する情報セキュリティ対策基準(以下「情報セキュリティポリシー」と総称する。)並びに同項に規定する情報セキュリティ実施手順書に定められた事項を遵守しなければならない。

(管理組織等)

第4条　情報セキュリティ対策を推進するため、次に掲げる責任者及び管理者を置くものとする。

(1)　最高情報セキュリティ責任者(以下「CISO」という。)

(2)　統括情報セキュリティ責任者

(3)　ネットワーク等管理者

(4)　情報セキュリティ責任者

(5)　情報システム管理者

2　CISOは、組合が保有する情報資産の管理及び情報セキュリティ対策について最終的な決定をする権限及びその責任を有するものとし、事務局長をもって充てる。

3　統括情報セキュリティ責任者は、CISOを補佐するとともに、組合が保有する情報資産及び情報セキュリティ対策に係る運用、措置等について権限及び責任を有するものとし、事務局長の指定する事務局次長をもって充てる。

4　ネットワーク等管理者は、統括情報セキュリティ責任者を補佐するとともに、統括情報セキュリティ責任者の指示により、情報資産及び情報セキュリティ対策に係る運用、措置等についての業務を行うものとし、事務局の主幹又は事務局長の指定する副主幹をもって充てる。

5　情報セキュリティ責任者は、所管する課等の情報セキュリティ対策に関する権限及び責任を有するものとし、当該所管する課等の長(事務局にあっては、事務局長の指定する副主幹。次項において同じ。)をもって充てる。

6　情報システム管理者は、課等が所管する情報システムの運用について権限及び責任を有するものとし、当該課等の長をもって充てる。

第5条　CISOは、必要に応じて、情報セキュリティに関する専門的な知識及び経験を有する者を情報セキュリティアドバイザーとして置くことができる。

2　CISOは、必要に応じて、情報セキュリティに関する事務の整理についてCISOを補助し、及び情報セキュリティに関する事務を統括する最高情報セキュリティ副責任者(次項において「副CISO」という。)を置くことができる。

3　前項の規定により副CISOを置いた場合における前条第3項の規定の適用については、同項中「CISO」とあるのは、「CISO及び副CISO」とする。

(情報セキュリティ対策)

第6条　組合が保有する情報資産を情報資産脅威から保護するため、次の各号に掲げる区分に応じ、当該各号に定める情報セキュリティ対策を実施するものとする。

(1)　情報資産の分類　組合が保有する情報資産をその重要度に応じて分類し、当該分類に応じた情報セキュリティ対策を定めること。

(2)　人的セキュリティ対策　情報資産を取り扱う職員の権限、責任等を定めるとともに、情報セキュリティポリシー及び次項に規定する情報セキュリティ実施手順書に規定する内容等を職員に周知し、徹底を図る等情報セキュリティについて十分な教育及び啓発を行うこと。

(3)　物理的セキュリティ対策　情報資産の損傷並びにネットワーク及び情報システムの正常な運用に対する妨害等を防止するため、サーバー、ネットワークの基幹的な機器及び重要な情報システムを設置する場所、通信回線、職員の使用するコンピュータ等の管理について、物理的な措置を講じること。

(4)　技術的セキュリティ対策　情報資産を不正なアクセス等から保護するため、コンピュータ等の管理、情報資産へのアクセスの制限、不正なプログラム又は不正なアクセスに対する対策その他のネットワーク及び情報システムにおける技術的な措置を講じること。

(5)　運用及び監視　情報セキュリティ対策の実効性を確保し、及び維持するため並びに不正なアクセス等によるネットワーク及び情報システムの被害を防ぐため、ネットワーク及び情報システムの監視、組合から業務の委託を受けた者に対する指導及び監督等の必要な措置(ネットワーク及び情報システムに障害が発生した場合に迅速に対応するための危機管理に係る対策を含む。)を講じるとともに、情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適正に対応するため、緊急時対応計画を策定すること。

(6)　外部サービス利用対策　次に掲げる場合の区分に応じ、それぞれ次に定める対策を実施すること。

ア　情報システムの運用、保守等を組合の外部の者に委託する場合　外部委託事業者(情報システムの運用、保守等の委託を受ける者をいう。)を選定し、当該外部委託事業者と情報セキュリティについての要件を明記した契約を締結し、当該外部委託事業者が情報セキュリティについて必要な対策を採っていることを確認し、必要に応じて当該契約に基づく措置を採ること。

イ　組合の外部の者がインターネットを通じて提供する情報処理等のサービスを、当該サービスに係る約款に基づき利用する場合　当該サービスの利用に係る情報セキュリティ対策に関する基準を定めること。

ウ　ソーシャルメディアサービス(組合の外部の者がインターネットを通じて提供するサービスのうち、情報の発信及び受信を目的として利用されるもので、その利用のためにアカウントが必要となるものをいう。以下同じ。)を利用する場合　ソーシャルメディアサービスの運用の手順及びソーシャルメディアサービスにより発信することができる情報に関する基準を定め、利用するソーシャルメディアサービスごとに責任者を置くこと。

(7)　監査及び評価　情報セキュリティ対策に係る事項が遵守されていることを確認するための監査及び情報セキュリティポリシーの実効性を確保するための評価を行うこと。

(8)　情報セキュリティポリシーの見直し　前号の評価の結果により情報セキュリティポリシーの見直しが必要となった場合及び情報システムの変更、新たな情報資産脅威の発生等情報セキュリティに係る状況の変化があった場合に情報セキュリティポリシーの見直しを行うこと。

2　前項各号に定める情報セキュリティ対策は、職員が遵守すべき具体的な事項、情報セキュリティ対策に係る判断の基準となる事項等についてCISOが別に定めるセキュリティ対策基準及び情報セキュリティ対策を実施するための具体的な実施の手順について情報システムを所管する課等の情報システム管理者が別に定める情報セキュリティ実施手順書により行うものとする。

(専決)

第7条　この訓令の実施に関し必要な事項は、CISOが専決する。

附則

この訓令は、令和5年4月1日から施行する。