南山城村情報セキュリティポリシー基本方針

この基本方針は、南山城村（以下「本村」という。）が保有する情報資産の機密性、完全性および可用性を維持するため、本村が実施する情報セキュリティ対策について基本的な事項を定めることにより、村民の財産、プライバシー等を守るとともに、情報システムを活用した住民サービスの向上と行政事務の効率化を図ることを目的とする。

1. ネットワーク
   コンピュータ等を相互に接続するための通信網、その構成機器（ハードウェアおよびソフトウェア）をいう。
2. 情報システム
   コンピュータ、電磁的記録媒体およびこれらを接続するネットワークで構成され、情報処理を行う仕組みをいう。
3. サーバ等
   ネットワーク上で情報を処理し、接続されたパソコン等の端末機に情報を提供するコンピュータ（ホストコンピュータを含む。）をいう。
4. 端末
   ネットワークを通じてサーバに接続されたパソコン等の端末機をいう。
5. 電子情報
   情報システム並びに情報システムの開発、保守および運用に係る全ての電子情報（電子的、磁気的、その他人の知覚によって認識することができない方式で作られた記録をいい、プログラム等のソフトウェアを含む。）をいう。
6. 情報資産
   ネットワークおよび情報システムで取り扱う電子情報をいう。
7. 記録媒体
   電子情報を保管する記録装置のうち、取りはずして使用することが可能な外部記憶装置（USBメモリ、SDカード等）、光ディスク（CD、DVD等）、光磁気ディスク（MO等）、磁気ディスク（FD等）、磁気テープその他これらに類するものをいう。
8. アクセス
   電子情報を保管する記録装置に対して、データの書き込み、読み出しを行うこと。
9. 機密性
   情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
10. 完全性
    情報が破壊、改ざんまたは消去されていない状態を確保することをいう。
11. 可用性
    情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
12. 情報セキュリティ
    情報資産の機密性、完全性および可用性を維持することをいう。
13. 情報セキュリティポリシー
    情報セキュリティ基本方針および情報セキュリティ対策基準をいう。
14. CISO（シーアイエスオー）
    最高情報セキュリティ責任者（Chief Information Security Officer）の略称。情報セキュリティ体制を強化するため、IT化推進や情報システム最適化を担う最高情報責任者（CIO: Chief Information Officer）とは別に、情報セキュリティを統括する機関として設置される。
15. CSIRT（シーサート）
    情報セキュリティインシデント対応チーム（Computer Security Incident Response Team）の略称。情報システムに対するサイバー攻撃等による情報セキュリティ上の事故（インシデント）が発生した際に、状況の把握・分析、被害拡大防止、復旧、再発防止等を迅速かつ的確に行うことを可能とするための機能を有する体制を指す。

情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

1. 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等
2. 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
3. 地震、落雷、火災等の災害によるサービスおよび業務の停止等
4. 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
5. 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等

情報セキュリティポリシーが適用される実施機関は、村長、選挙管理委員会、監査委員、公平委員会、農業委員会、固定資産評価審査委員会および議会とする。

本基本方針が対象とする情報資産は、次のとおりとする。

1. ネットワーク、情報システムおよびこれらに関する設備、電磁的記録媒体
2. ネットワークおよび情報システムで取り扱う情報（これらを印刷した文書を含む。）
3. 情報システムの仕様書およびネットワーク図等のシステム関連文書

職員、非常勤職員および臨時職員（以下「職員等」という。）並びに外部委託業者は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシーを遵守しなければならない。

上記3の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

1. 組織体制
   本村の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。
2. 情報資産の分類と管理
   本村の保有する情報資産を重要性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。
3. 物理的セキュリティ
   サーバ等、情報システム室等、通信回線等および職員等のパソコン等の管理について、物理的な対策を講じる。
4. 人的セキュリティ
   情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育および啓発を行う等の人的な対策を講じる。
5. 技術的セキュリティ
   コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
6. 運用
   情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適切に対応するため、緊急時対応計画を策定する。

情報セキュリティポリシーの遵守状況を検証するため、定期的または必要に応じて情報セキュリティ監査および自己点検を実施する。

情報セキュリティ監査および自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合および情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。

上記6、7および8に規定する対策等を実施するために、具体的な遵守事項および判断基準等を定める情報セキュリティ対策基準を策定する。情報セキュリティ対策基準は、公にすることにより本村の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。

情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定する。情報セキュリティ実施手順は、公にすることにより本村の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。