大阪市情報セキュリティ検査実施要綱

第1章 総則

（目的）

第1条　情報システムの安全かつ円滑な運用を確保し、もって行政の安定的な運営を図ることを目的として情報システムに係る情報セキュリティ対策の実施状況について評価・検証・改善を行うため、大阪市情報セキュリティ管理規程（以下「規程」という。）第13条の規定に基づき、情報セキュリティ検査（以下「検査」という。）を実施する。

2　この要綱は、検査の実施に係る必要な事項を定めるものとする。

（検査の対象）

第2条 検査の対象は、規程第2条第1項第10号に規定する局等が所管する情報システム、情報通信ネットワーク及びそれに関連する業務等のうち、行政情報化に関するものとする。

第2章　検査の体制等

（実施体制）

第3条　規程に定める最高情報セキュリティ責任者が、本市の情報資産に係る検査を総括するものとする。

2　最高情報セキュリティ責任者は、検査の実施にあたり必要に応じて情報セキュリティに関する専門知識を有する外部の専門家に意見の聴取を行うことができる。

（庶務）

第4条　連絡調整等検査に必要な庶務は、デジタル統括室（以下「事務局」という。）が行う。

（被検査部門及び情報統括担当の責務と役割）

第5条　被検査部門及び被検査部門の属する局等の局等情報セキュリティ責任者、情報統括管理者及び情報統括主任（以下「情報統括担当」という。）は、検査の実施に協力しなければならない。

2　被検査部門及び被検査部門の情報統括担当は検査結果に基づき適切な情報セキュリティ対策の実施に努めなければならない。

3　被検査部門は、検査の実施にあたり必要となる諸資料等を提出し、必要に応じて現地調査等に協力しなければならない。

4　情報統括担当は、検査の実施にあたり事務局と被検査部門間で必要となる連絡調整を行う。

第3章　検査の実施方法

（検査の実施方法）

第6条　検査は、最高情報セキュリティ責任者が決定した手法を用いて実施する。

（検査の基準）

第7条　検査は、規程第2条第1項第3号に規定する情報セキュリティポリシー及び被検査対象における情報セキュリティ実施手順（以下「セキュリティポリシー等」という。）に基づき実施する。

（検査基本計画）

第8条　最高情報セキュリティ責任者は、当該年度に実施する検査の基本計画書を作成しなければならない。

（検査の実施）

第9条　最高情報セキュリティ責任者は、基本計画書に基づいて情報セキュリティポリシー等に準拠した質問項目の選定を行い、自己点検票を作成し、被検査部門に自己点検を実施させなければならない。

2　最高情報セキュリティ責任者は、検査の実施にあたっては被検査部門の局等情報セキュリティ責任者へ文書で通知しなければならない。

3　被検査部門及び被検査部門の属する情報統括担当は自己点検の実施にあたり、点検結果の根拠となる諸資料等を最高情報セキュリティ責任者に提出しなければならない。

第4章　検査結果の報告

（点検評価の実施）

第10条　最高情報セキュリティ責任者は、被検査部門の点検結果を収集後、各検査対象システムに対して点検結果に基づいた個別点検評価を実施しなければならない。

2　個別点検評価を実施する際、必要に応じて被検査部門から意見を聴取することができる。

3　個別点検評価は、客観的資料・事実に基づいて、改善すべき事項、その他の意見を具体的に記述しなければならない。

4　最高情報セキュリティ責任者は、個別点検評価の作成にあたり、必要に応じて被検査部門及び当該検査関連部門に対して現地調査及び聴取等を実施することができる。

5　被検査部門及び被検査部門の属する情報統括担当は必要に応じて最高情報セキュリティ責任者の現地調査及び聴取等に協力しなければならない。

（点検評価結果の通知）

第11条　最高情報セキュリティ責任者は、被検査部門の局等情報セキュリティ責任者に対して個別点検評価結果を通知しなければならない。

2　被検査部門の局等情報セキュリティ責任者は、前項の通知をふまえ、適宜改善が必要な事項について改善計画書を作成し、最高情報セキュリティ責任者に提出しなければならない。

第5章　検査実施後の取扱い

（改善状況の管理）

第12条　情報統括担当は、被検査部門における改善計画の進捗状況を管理するとともに、局等内における情報セキュリティ対策の充実に努めなければならない。

2　被検査部門は情報技術の進歩やそれに伴う情報セキュリティに対する脅威が増大する中で時宜に応じた情報セキュリティ対策の見直しを適切に行う必要があることから改善計画の策定後3年間を目途とし、対応を図らなければならない。

（改善完了の報告）

第13条　局等情報セキュリティ責任者は、被検査部門より改善計画の完了を確認した場合、速やかに最高情報セキュリティ責任者に報告しなければならない。

（フォローアップ検査の実施）

第14条　最高情報セキュリティ責任者は、個別点検評価において改善すべきとされた点について改善状況に対する評価･検証（以下「フォローアップ検査」という。）を行うことができる。

2 フォローアップ検査は、書面検査や現地調査及び聴取によって行うことができる。

第6章　雑則

（施行の細目）

第15条　この要綱の実施について必要な事項は、最高情報セキュリティ責任者が定める。

附 則

この要綱は、平成15年12月31日から施行する。

附 則

この改正要綱は、平成16年5月28日から施行する。

附 則

この改正要綱は、平成17年4月5日から施行する。

附 則

この改正要綱は、平成18年4月1日から施行する。

附 則

この改正要綱は、平成18年6月12日から施行する。

附 則

この改正要綱は、平成19年4月2日から施行する。

附 則

この改正要綱は、平成20年5月1日から施行する。

附 則

この改正要綱は、平成23年4月1日から施行する。

附 則

この改正要綱は、平成28年4月1日から施行する。

附 則

この改正要綱は、平成29年4月1日から施行する。

附 則

この改正要綱は、令和4年4月1日から施行する。

附 則

この改正要綱は、令和5年4月1日から施行する。