ページの先頭です

大阪市情報セキュリティ対策基準

2019年8月15日

ページ番号:369679

1 目的

この大阪市情報セキュリティ対策基準(以下「対策基準」という。)は、大阪市情報セキュリティ管理規程(平成19年達19号。以下「規程」という。)第9条に基づき、本市における情報資産の取扱いについて遵守すべき事項及び情報セキュリティ対策の実施に関する統一的な基準を定めることにより、本市が保有する情報資産をさまざまな脅威から守り、機密性、完全性及び可用性(注) を維持することによって、本市の行政サービスを安全に提供し、もって市政の円滑な運営及び市政に対する信頼を確保することを目的とする。

 

(注):国際標準化機構(ISO)が定めるもの(ISO7498-2:1989)

機密性(confidentiality):情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。

完全性(integrity)   :情報及び処理の方法の正確さ及び完全である状態を安全防護すること。

可用性(availability)  :許可された利用者が必要なときに情報アクセスできることを確実にすること。

 

2 用語

この対策基準において使用する用語は、規程において使用する用語の例によるほか、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(1) CISO 最高情報セキュリティ責任者(CISO: Chief Information Security Officer、以下「CISO」という。)をいう。

(2) システム管理者 項番6のシステムに係る管理体制・役割に規定する業務管理者、サーバ等管理者及び端末機管理者をいう。

(3) ネットワーク管理責任者 項番6のネットワークに係る管理体制・役割に規定する本市情報通信ネットワーク管理責任者及び局等情報通信ネットワーク管理責任者をいう。

(4) 職員 大阪市職員基本条例第2条に規定する職員をいう。

(5) 端末機 パソコンやモバイル端末等の機器をいう。

(6) セキュリティインシデント 情報セキュリティに関する問題として捉えられる事象(障害、事件、事故、欠陥、攻撃、侵害等)をいう。

(7) 標的型攻撃 明確な意思と目的を持った人間が特定のターゲットや情報に対して特定の目的のために行うサイバー攻撃の一種をいう。

(8) 本市情報通信ネットワーク 大阪市情報通信ネットワーク管理要綱(以下「ネットワーク管理要綱」という。)の規定に基づく、本市において共通の基盤となる情報通信ネットワークをいう。

(9) 局等情報通信ネットワーク 局等における業務運営のための独自のネットワークをいう。

(10) ~(13)(非公開)

 

3 適用範囲

この対策基準の適用範囲は、局等の職員及び局等の保有する情報資産のうち、行政情報化に関するもの及び最高情報セキュリティ責任者が必要と認めたものとする。

 

4 対象とする脅威

情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

(1) 不正アクセス、ウイルス攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等

(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等

(3) 地震、落雷、火災等の災害等

(4) 電力供給の途絶、通信の途絶等のインフラの障害からの波及等

 

5 情報セキュリティ対策

脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

(1) 情報資産の分類と管理

本市の保有する情報資産を機密性、完全性及び可用性を踏まえ重要性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。

(2) 物理的セキュリティ

サーバ等、情報システム室等、通信回線等及び職員の端末機等の管理について、物理的な対策を講じる。

(3) 人的セキュリティ

情報セキュリティに関し、職員が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。

(4) 技術的セキュリティ

コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。

(5) 運用

情報システムの監視、情報セキュリティポリシー(以下「ポリシー」という。)の遵守状況の確認、外部委託を行う際のセキュリティ確保等、ポリシーの運用面の対策を講じるものとする。

 

6 組織・体制及び役割・責任

(1) 情報セキュリティに係る管理体制・役割

規程第4条から第6条に基づき、情報セキュリティ対策が円滑に推進されるための体制・役割を定める。

① CISO

CISOは、局等における情報セキュリティを総括し、局等情報セキュリティ責任者に対し、情報セキュリティ対策の統一的な実施に必要な指導、助言又は調整を行う。

② 統括情報セキュリティ責任者

統括情報セキュリティ責任者は、CISOの命を受けて、以下の情報セキュリティに関する必要な措置を行う。

ア 局等情報セキュリティ責任者、ICT管理者、情報セキュリティ責任者、システム管理者、ネットワーク管理責任者に対する情報セキュリティに関する指導及び助言

イ 本市の情報資産に対するセキュリティインシデントが発生した場合又はセキュリティインシデントのおそれがある場合の必要かつ十分な措置

ウ 本市の情報資産に関する情報セキュリティ実施手順(以下「実施手順」という。)の維持・管理

エ 緊急時等の円滑な情報共有を図るための緊急連絡網の整備

オ 緊急時のCISOへの早急な報告及び回復のための対策

③ 局等情報セキュリティ責任者

局等情報セキュリティ責任者は、情報セキュリティに関する連絡体制の構築並びに職員に対するポリシーの遵守に関する指導、助言及び研修その他局等における情報セキュリティの確保のために必要な措置を行う。

④ ICT管理者

ICT管理者は、局等における各情報システムの開発及び運用状況、データの管理状況、情報通信ネットワークの利用状況等を把握し、局等において情報セキュリティ対策が適切かつ確実に実施されるよう必要な指導、助言又は調整を行う。

⑤ 情報セキュリティ責任者

ア 情報セキュリティ責任者は、所管する情報資産の情報セキュリティ対策が適切かつ確実に実施されるよう必要な措置を行う。

イ 情報セキュリティ責任者は、職員に対するポリシーの遵守に関する指導、助言又は研修その他情報セキュリティの確保のために必要な措置を行う。

(2) システムに係る管理体制・役割

① 業務管理者

ア 業務管理者は、システムの開発及び運用、保守の実施並びに管理を担い、当該システムに係る業務を所管する課等のリーダー又は長(以下「リーダー等」という。)をもって充てる。

イ 業務管理者は、システムの運用を開始しようとするときは、サーバ等管理者と協議し、運用管理の体制並びに業務の運用形態・計画及び当該システムに係るハードウェア・ソフトウェアの運用管理の方法等を定めなければならない。

ウ 業務管理者は、システムの運用において、入力資料の作成、電子計算機処理、帳票の出力等に至る業務全体の実施状況を把握・管理するとともに、適時、サーバ等管理者と協議し、システムの保守を適切に実施しなければならない。

② サーバ等管理者

ア サーバ等管理者は、システムの稼働管理(死活監視、媒体交換等)を担い、システムに係るサーバ等を設置する課等のリーダー等をもって充てる。

イ サーバ等管理者は、システムの運用計画並びに実施手順等に基づき、システムが正常に稼働するよう、安全性に十分配慮し適切な運用管理を行わなければならない。

③ 端末機管理者

ア 端末機管理者は、円滑に業務処理が実施されるようシステムの利用管理を担い、当該システムに係る端末機を設置する課等のリーダー等をもって充てる。

イ 端末機管理者は、システムの利用者がデータ及びプログラムを利用できる権限(以下「アクセス権限」という。)並びに実施手順等に基づき、安全性に十分配慮し適切な利用が行われるよう、端末機の運用管理を行わなければならない。

(3) ネットワークに係る管理体制・役割

① 本市情報通信ネットワーク管理責任者

本市情報通信ネットワーク管理責任者は、本市情報通信ネットワークの稼働状況及び障害の管理、ネットワーク上へのアクセス権限の設定など、ネットワークの運用管理を担い、ICT戦略室システム基盤担当課長をもって充てる。

② 局等情報通信ネットワーク管理責任者

ア 局等情報通信ネットワーク管理責任者は、局等情報通信ネットワークの整備及び運用管理を担い、当該ネットワークに係る業務を所管する課等のリーダー等をもって充てる。

イ 局等情報通信ネットワーク管理責任者は、局等情報通信ネットワークを整備する場合、本市情報通信ネットワークに準じて、安全性及び信頼性を確保するための体制を定めなければならない。

ウ 局等情報通信ネットワーク管理責任者は、規程に基づき、局等情報通信ネットワークにおける実施手順を策定しなければならない。

③ ICT管理者

ICT管理者は、本市情報通信ネットワーク管理責任者、局等情報通信ネットワーク管理責任者及び庁舎を管理する者と連携を図り、局等におけるアクセス権限の管理、障害に関する連絡調整など、局等におけるネットワークの適切な運用管理を行う。

 

7 情報セキュリティに係る連絡調整体制

(1) 全庁的な体制

① 情報セキュリティに関する統一的な窓口の設置

CISOは、情報セキュリティに関する統一的な窓口を整備し、局等におけるセキュリティインシデントに関する状況把握や外部の関係機関との情報共有を図る。

② CISOは、大阪市ICT戦略の推進に関する規程に規定するICT戦略推進連絡調整会議において、情報セキュリティ対策の実施について局等相互間の連絡調整を行い、本市における情報セキュリティ対策の適切な管理を推進する。

(2) 局等における連絡体制

局等情報セキュリティ責任者は、局等における情報資産に関する情報セキュリティ対策に万全を期すため、情報セキュリティ対策の連絡体制を設置し、以下の関係者その他必要と認める者を随時招集し、局等における情報セキュリティ対策の実施について連絡調整を行う。

ア ICT管理者

イ 情報セキュリティ責任者

ウ システム管理者

エ 局等情報通信ネットワーク管理責任者

(3) サイバー攻撃等侵害時における緊急連絡体制

CISOは、サイバー攻撃等による緊急の事態により情報資産に重大な被害が生じた場合又は生じるおそれがある場合、緊急連絡体制を設置し、情報セキュリティに関する統一的な窓口を通じて、以下の関係者その他必要と認める者と連携を図り、情報セキュリティ対策が適切に実施されるよう監督、指導を行わなければならない。

ア 局等情報セキュリティ責任者

イ ICT管理者

ウ ネットワーク管理責任者

 

8 情報資産等の管理

局等情報セキュリティ責任者は、以下の情報セキュリティ対策を行わなければならない。

(1) 情報資産の管理責任

① 管理責任

情報資産は、当該情報資産を所管する局等が適切に管理する責任を有する。

② 利用者の責任

情報資産を業務上利用する職員は、適切に利用する責任を有する。

③ 重要性の効力

データが複製又は伝送された場合には、当該複製等も分類に基づき管理しなければならない。

(2) データの管理と情報資産の管理

① データの管理

ア データの分類

対象となるシステムのデータは、各々のデータの機密性、完全性、可用性を踏まえ、以下の重要性分類に従って分類し、重要性分類に従ったアクセス権限を適切に設定しなければならない。

重要性分類

Ⅰ 個人情報及び業務上必要とする最小限の者のみが扱うデータ

Ⅱ 公開することを予定していないデータ及びセキュリティ侵害が行政事務の執行等に重大な影響を及ぼすデータ

Ⅲ 外部に公開するデータのうち、セキュリティ侵害が、行政事務の執行等に影響を及ぼすデータ

Ⅳ 上記以外のデータ

イ データの作成

(ア) 業務上必要のないデータを作成してはならない。

(イ) 作成したデータは、重要性分類を定めなければならない。

(ウ) 作成途上のデータであっても漏えい、滅失、き損、改ざん等を防止しなければならない。また、作成途上で不要になった場合は、当該データを消去しなければならない。

ウ データの入手

(ア) 他の課等が作成したデータを入手した場合、入手元の重要性分類に基づいた取扱いをしなければならない。

(イ) 外部のものが作成したデータを入手した場合、当該データの重要性分類を定めなければならない。

② 情報資産の管理

ア 情報資産の管理及び取扱い

(ア) 情報資産の管理については、大阪市個人情報保護条例(平成7年大阪市条例第11号。以下「個人情報保護条例」という。)その他の関連する法令等及び規程に基づき、データの漏えい、滅失、き損、改ざん、消去、盗難等の防止を図るため必要な措置を講じなければならない。

(イ) 局等情報セキュリティ責任者は、局等が保有する情報資産を水道局若しくは市会事務局又は学校園(以下「他の所属」という。)に利用させようとするときは、セキュリティ対策上支障がないか確認しなければならない。また、情報資産を利用させようとする他の所属と情報セキュリティに係る連絡調整体制を構築し、ポリシー及び実施手順に準じた情報資産の取扱いを指導及び遵守させなければならない。

(ウ) ファイル、データを格納する記録媒体、ドキュメント等の情報資産は、当該情報資産に記録されたデータの重要性分類に従い、適切に取り扱わなければならない。

(エ)  住民に公開するデータについて、完全性を確保しなければならない。

イ 情報資産の利用

(ア) 業務以外の目的に情報資産を利用してはならない。

(イ) 情報資産について、定められた場所以外で利用してはならない。ただし、業務遂行上、定められた場所以外への持ち出しが不可欠である場合については、情報セキュリティ責任者の許可を得て持ち出すことができる。

(ウ) 重要性分類Ⅱ以上のデータを庁外へ持ち出すときは、必要に応じて暗号化又はパスワード設定を行わなければならない。

(エ) 外部ネットワークを利用し、本市以外のものとメールの送受信を行うときは、「電気通信回線を利用した公文書の取扱いに関する要領」(平成16年5月28日施行)に基づき適切に取り扱わなければならない。また、重要性分類Ⅱ以上のデータを庁外へ電子メール等により送信するときは、必要に応じて暗号化又はパスワード設定を行わなければならない。

(オ) 重要性分類Ⅱ以上のデータをメールにより取り扱う必要がある場合については、情報セキュリティ責任者の承認を得るとともに、連絡相手のメールアドレス及びメール受取の確認を行う等、厳格に取り扱わなければならない。なお、庁内においてメールを利用する場合においても、上記の取扱いに準じ、適切に運用を行わなければならない。

(カ) データを庁外で処理する場合は実施手順において情報資産の安全管理措置を定めなければならない。

ウ 記録媒体等の管理

(ア) 情報セキュリティ責任者は、ファイルが格納された記録媒体等の授受について台帳整備し、次の事項を記録しなければならない。また、ファイルを搬送するときは、データの漏えい、滅失、き損、改ざん等を防止するため、専用トランクを使用する等適切な措置を講じなければならない。

・ファイルの名称

・搬入者及び受領者の氏名並びにその所属等の名称

・媒体の種別

・媒体の識別番号

・授受年月日

・その他情報セキュリティ責任者が必要と認める事項

(イ) 情報セキュリティ責任者は、ファイルが格納された記録媒体等の保管について台帳整備し、データの重要性が容易に識別できるよう次の事項を記録するとともに、これらを所定の場所において適切に管理しなければならない。また、ファイルのバックアップを定期的に取得し、所定の場所において適切に管理しなければならない。

・ファイルの名称

・業務主管課等名

・媒体の種別

・媒体の識別番号

・作成年月日

・保管期限

・消去年月日

・格納場所

・その他情報セキュリティ責任者が必要と認める事項

(ウ) 情報セキュリティ責任者は、ファイルが格納された記録媒体を長期保管する場合は、必要に応じて書込禁止の措置を講じなければならない。

(エ) 情報セキュリティ責任者は、保護データ(大阪市データ保護管理要綱(以下「データ管理要綱」という。)第3条に規定する保護データをいう。)を保管する場合は、データ管理要綱第4条に基づきデータを記録しているファイルが格納された記録媒体等について、耐火保管庫に保管し、又は予備を作成して別の施設に保管しなければならない。

(オ) 情報セキュリティ責任者は、磁気ディスクその他記録媒体に不要なデータが放置されないよう、不要となったデータを速やかに消去するなど、適正に運用しなければならない。

(カ) 情報セキュリティ責任者は、情報資産を廃棄するときは、データ消去その他の適切な措置を講じなければならない。特に、保護データについては、情報を復元できないよう確実に消去を行うとともに、行った処理について、日時、担当者、処理内容等その他必要な事項を記録しなければならない。

(キ) ファイルが格納された記録媒体等の廃棄を行う者は、情報セキュリティ責任者の許可を得なければならない。ただし、システムに関するものである場合は、システム管理者の許可を得なければならない。

エ 特定個人情報の取扱い

特定個人情報を取り扱う場合は、インターネットから切り離された環境で取り扱わなければならない。

 

9 物理的セキュリティ

(1) システムにおける措置

① サーバ等

ア 装置の取付け等

(ア) サーバ等を取付ける場合は、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置するとともに、当該場所については、職員が不在時の盗難防止のため、施錠等による措置を講じなければならない。

(イ) 保護データを取り扱い、かつ、システムの停止によって、本市の業務運営はもとより市民サービスに大きな影響を及ぼす可能性があるシステム(以下「重要システム」という。)のサーバ等については、原則として当該機器等の管理及び運用を行うための部屋(以下「情報システム室」という。)に設置しなければならない。

(ウ) サーバ等の取付けに当たっては、震災時の転倒又は盗難の防止のため、適切に固定する等必要な措置を講じなければならない。

(エ)  通信ケーブルについては傍受、通信ケーブル及び電源ケーブルについては損傷を受けることがないように可能な限り必要な措置を講じなければならない。また、主要な箇所の配線については、損傷等についての定期的な点検を行わなければならない。なお、施設管理部門から損傷等の報告があった場合、連携して対応しなければならない。

イ サーバ等の冗長化

重要システムのサーバ等の機器については、原則として冗長化を図り、メインサーバに障害が発生した場合には速やかにセカンダリサーバで対応を行えるようにするなど、システム運用が停止しない措置を講じなければならない。

ウ 電源設備

業務要件やシステムの特性に応じて、サーバ等の機器に、停電時に当該機器を適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付け、また、落雷等による異常電流から保護するための措置を講じなければならない。

エ サーバ等の機種更新

サーバ等の機種更新を行おうとする時、特に並行稼働時においては、サーバ等の設置場所における電源設備、空調設備等の能力、容量並びに現時点での設備の残存能力、容量を把握し、適切な対応を講じなければならない。

オ 敷地外への機器の設置

サーバ等管理者は、本市が保有するサーバ等の機器を庁外に設置する場合、定期的に当該機器へのセキュリティ対策状況について点検を行わなければならない。

② 端末機等

ア 執務室等における措置

情報資産を保管する執務室等については、職員が不在時の盗難防止のため、パソコンのワイヤーによる固定や執務室等の施錠等による措置を講じなければならない。

イ 情報システム室における措置

情報システム室に設置される端末機等については、震災時の転倒や盗難の防止のため、適切に固定する等必要な措置を講じなければならない。

ウ モバイル端末のセキュリティ

モバイル端末の庁外での業務利用の際は、必要に応じて、遠隔消去機能を利用する等の措置を講じなければならない。

(2) ネットワークにおける措置

① ネットワーク構築上の措置

本市情報通信ネットワークについては、ネットワーク管理要綱に基づき整備しなければならない。局等情報通信ネットワークを構築する場合は、本市情報通信ネットワークに準じて整備しなければならない。ただし、局等情報通信ネットワークを構築するにあたり、ネットワーク管理要綱で定める有線によるネットワークの整備により難い場合はこの限りではない。

ア このポリシーは、業務運営のために用いる本市情報通信ネットワーク及び局等情報通信ネットワークを対象とし、本市情報通信ネットワーク及び局等情報通信ネットワークについては、各教育機関において教育のために用いるネットワークと分けなければならない。

イ~エ (非公開)

 

オ 局等情報通信ネットワークを構築するにあたり、有線によるネットワークの整備が適さない合理的な理由がある場合には、次の要件をすべて満たす場合に限りCISOに第6号様式により申請を行い、第7号様式による許可を得て無線でのネットワークの整備を行うことができる。

(非公開)

② ネットワーク機器等

ア (非公開)また、ネットワークの運用上重要な機能を有するサーバ等の機器については、障害発生時にネットワークの運用が停止しないように冗長化を図る等必要な措置を講じなければならない。

イ 主要なネットワーク機器(ハブ、ルータ等)及び配線については、管理者以外の者が容易に操作できないような場所に格納又は設置する等必要な措置を講じなければならない。

ウ ネットワーク機器等の構成管理を適切に行わなければならない。

エ 主要なネットワーク機器については、落雷等による異常電流及び停電等の電気的障害に対し必要な措置を講じなければならない。

③ 通信回線

ア、イ (非公開)

 

(3) 情報システム室における措置

① 管理責任

ア 重要システムのサーバ等の機器又はネットワークの基幹機器を設置する情報システム室の管理責任については、当該システム又はネットワークの運用管理を所管する課等のリーダー等(以下「情報システム室管理責任者」という。)が担う。

イ 中央情報処理センターにおいて運用するシステムのサーバ等の機器及び本市情報通信ネットワークの基幹機器等の管理責任については、本市情報通信ネットワーク管理責任者が担う。

② 管理区域

ア~ウ (非公開)

③ 入退室管理

ア 情報システム室に入室しようとする者は、情報システム室管理責任者の許可を得なければならない。ただし、当該情報システム室管理責任者の属する課等の職員(以下「所属職員」という。)については、この限りでない。

イ 情報システム室管理責任者は、許可を受けた者が情報システム室へ入室するときは、次の事項等を記録し、入室証及び名札を着用させなければならない。

・入室年月日

・入退室時分

・所属または団体名及び氏名

・入室目的

・その他情報システム室管理責任者が必要と認める事項

ウ 情報システム室管理責任者は、入室を許可した者に対して、必要に応じて立入区域を制限し、所属職員の立会い等の措置を講じなければならない。

エ 情報システム室管理責任者は、当該情報システム室に関係しない端末機、通信回線装置、記録媒体等を持ち込ませないようにしなければならない。

オ 情報システム室管理責任者は、記録媒体等の情報資産の外部への持ち出しについて厳重な管理を行わなければならない。

④ 機器等の搬入

ア 情報システム室に機器等を搬入する場合は、あらかじめ当該機器等の既存システムに対する安全性について、情報システム室管理責任者による確認を行わなければならない。

イ 機器等の搬入には、情報システム室管理責任者の立会い等必要な措置を講じなければならない。

⑤ 火災・震災等災害に対する措置

ア 情報システム室は、防火区画を設ける等の防火及び防煙に対する措置を講じなければならない。

イ 情報システム室の消火設備は、サーバ等の機器や記録媒体に影響を与えるものであってはならない。また、火気の取扱いについて厳重な管理を行わなければならない。

ウ 情報システム室を設置する建物及び情報システム室は、地震等に対する耐震措置を講じなければならない。また、情報システム室内の機器類は転倒防止措置を講ずるとともに、緊急時に職員及び委託事業者が円滑に避難できるように配置しなければならない。

エ 情報システム室には、浸水及び漏水防止等の措置を講じなければならない。

オ 空気調和設備は、急激な温湿度変化等に対処するため、その容量に配慮しなければならない。

⑥ 電気的障害に対する措置

ア 情報システム室は、無停電電源装置の設置等、落雷等による異常電流に対する措置を講じなければならない。

イ 停電によるシステム等の停止が業務運営等に重大な影響を及ぼす可能性がある場合、必要に応じ、自家発電装置の設置等の措置を講じなければならない。

 

10 人的セキュリティ

(1) 職員における情報セキュリティの徹底

① ポリシー等の遵守

全ての職員は、ポリシー及び実施手順に定められている事項を遵守しなければならない。

② 教育、研修

ア ポリシーの周知等

(ア) CISOは、職員が定期的に情報セキュリティ研修を受講できるようにしなければならない。

(イ) CISOは、ICT戦略推進連絡調整会議等において、ポリシーの周知徹底を行わなければならない。また、ICT研修等の機会を利用して、情報セキュリティの啓発に努めなければならない。

(ウ) CISOは、標的型攻撃への対応を想定した訓練を実施しなければならない。訓練計画は、ネットワークの規模等を考慮し、訓練実施の体制、範囲等を定め、また、効果的に実施できるようにしなければならない。

(エ) 局等情報セキュリティ責任者は、局等における情報セキュリティの連絡体制を利用し、情報セキュリティ責任者その他必要と認める者に対し、ポリシー及び実施手順の周知徹底を行わなければならない。また、局等が実施する研修等により、所属員に対しポリシー及び実施手順の遵守について啓発しなければならない。

(オ) 情報セキュリティ責任者は、所属職員がポリシー及び実施手順について理解し、情報セキュリティ上の問題が生じないよう、教育、指導を行わなければならない。

(カ) 職員は、定められた研修・訓練に参加しなければならない。

イ システムに係る情報セキュリティの徹底

業務管理者は、研修の実施等により、システムの運用に関わる職員を対象に、システム及び当該システムにより処理されるデータに係る情報セキュリティの実施手順並びに実施に必要な知識及び技術等について教育、指導を行わなければならない。

ウ ネットワークに係る情報セキュリティの徹底

本市情報通信ネットワーク管理責任者は、ICT戦略推進連絡調整会議等において、ICT管理者、その他必要と認める者に対し、ネットワークにおける実施手順並びに実施に必要な知識及び技術等について周知徹底を行わなければならない。

③ 職員における情報管理

ア 情報の適切な処理及び業務目的以外の使用禁止

(ア) 職員は、設定されているアクセス権限に基づき、業務上必要な情報の処理を適切に処理しなければならない。

(イ) 職員は、業務目的以外でのシステムへのアクセス及びインターネットへのアクセス、メールの使用等ネットワークの利用を行ってはならない。

(ウ) 職員は、ウェブで利用できるフリーメール、ネットワークストレージサービス等を使用してはならない。ただし、情報セキュリティ責任者が業務上、必要と判断した場合を除く。

(エ) 職員は、ネットワーク管理責任者の許可なく端末機を本市情報通信ネットワーク及び局等情報通信ネットワークに接続してはならない。

(オ) 職員は、庁外で情報処理業務を行う場合には、情報セキュリティ責任者の許可を得なければならない。

イ 情報の漏えい等の防止

(ア) 職員は、情報セキュリティ責任者の許可なくして、端末機又は記録媒体等を執務室以外に持ち出してはならない。ただし、ネットワーク管理要綱に定める庁内情報利用パソコン(以下、「庁内パソコン」という。)の持ち出し(同一庁舎内に限る。)について、次の事項を遵守する場合においては、この限りでない。

・持ち出し中は常時携行するなど、本人が責任をもって管理し、当日中に持ち帰ること

・持ち運ぶ前には庁内パソコン内にデータが保存されていないことを確認のうえ、ロック、ログオフ、またはシャットダウンを行うこと

・持ち出し先の会議室等において職員が不在になる場合、盗難防止のため施錠等による措置を講じること

(イ)  職員は、支給以外の端末機及び記録媒体等を原則業務に利用してはならない。ただし、業務上必要な場合は、CISOの許可を得て利用することができる。

(ウ) 職員は、異動、退職等により業務を離れる場合には、利用していた情報資産を、返却しなければならない。また、その後も業務上知り得た情報を漏らしてはならない。

(エ) 職員は、使用する機器や記録媒体について、権限を有しない者の使用や閲覧を防止するため、離席時の端末機のロックや容易に閲覧されない場所での使用等適切な措置を講じなければならない。

(オ) 情報セキュリティ責任者は、端末機及び記録媒体の持ち出し及び持ち込みについて、記録を作成し、保管しなければならない。

(カ) 職員は、端末機のソフトウェアに関するセキュリティ機能の設定を業務管理者の許可なく変更してはならない。

ウ 無許可ソフトウェアの導入等の禁止

(ア) 職員は、端末機へのソフトウェアのインストール及びアンインストール、若しくは機器の改造、設定変更及び増設、交換を行う場合は、業務管理者及びICT管理者等の許可を得なければならない。

(イ) 職員は、著作権法や使用許諾契約等に違反するソフトウェアの使用又は複製等を行ってはならない。

エ セキュリティインシデントに対する報告

(ア) 職員は、システムの利用に際してセキュリティインシデントを発見した場合又は市民等外部から通報を受けた場合は、速やかに端末機管理者に報告しなければならない。

(イ) 職員は、ネットワークの利用に際してセキュリティインシデントを発見した場合は、速やかにネットワーク管理責任者に報告しなければならない。

(ウ) 職員は、システム管理者又はネットワーク管理責任者の指示に従い、セキュリティインシデントに対し適切に対処しなければならない。

(エ) 職員は、セキュリティインシデントを発見した場合又は市民等外部から通報を受けた場合、情報セキュリティ責任者に報告しなければならない。

④ ID及びパスワード等の管理

ア IDの取扱い

職員は、自己の管理するIDに関し、次の事項を遵守しなければならない。

・自己が利用しているIDは、他人に利用させてはならない。

・共用IDを利用する場合は、共用IDの利用者以外に利用させてはならない。

イ パスワードの管理

(ア) 業務管理者は、職員のパスワードに関する情報を厳重に管理しなければならない。

(イ) 業務管理者は、職員に対してパスワードを発行する場合は、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。

(ウ) 職員は、アクセス権限に係る情報を適切に管理し、自己の保有するパスワードに関しては、次の事項を遵守しなければならない。

・パスワードは他者に知られないように管理しなければならない

・パスワードを秘密にし、パスワードの照会等には一切応じないこと

・(非公開)

・パスワードは定期的に変更することし、古いパスワードを再利用してはならない。

・仮のパスワードは、最初のログイン時点で変更すること

・必要でない限りシステム間及び職員間でのパスワードの共有は行わないこと

・端末機等のパスワードの記憶機能を利用してはならない

・パスワードが流出した可能性がある場合は、速やかに端末機管理者に報告し、パスワードを変更しなければならない

ウ ICカード等の取扱い

(ア) 職員は、自己の管理するICカード等に関し、次の事項を遵守しなければならない。

・自己が認証に用いるICカード等を、職員間で共有してはならない。

・共用ICカード等を利用する場合は、共用ICカード等の利用者以外に利用させてはならない。

・業務上必要のないときは、ICカード等をカードリーダ若しくはパソコン等の端末機のスロット等から抜いておかなければならない。

・ICカード等を紛失した場合には、速やかに業務管理者に通報し、指示に従わなければならない。

(イ) 業務管理者は、ICカード等の紛失等の通報があり次第、当該ICカード等を使用したアクセス等を速やかに停止しなければならない。

(ウ) 業務管理者は、ICカード等を切り替える場合、切替え前のカードを回収し、破砕するなど復元不可能な処理を行った上で廃棄しなければならない。

(2) 外部委託(指定管理者に電子計算機処理業務を実施させる場合を含む。以下同じ。)における管理

① 委託処理に当たっての基本原則

ア システム及びネットワークの開発又は運用、保守を所管する業務管理者又はネットワーク管理責任者は、これらの業務の全部又は一部を事業者(指定管理者を含む。以下同じ。)に委託しようとする場合又は事業者の再委託を許可する場合、主体性が損なわれないよう本市の責務等次の点に留意するとともに、委託事業者(事業者及び再委託を受けた事業者をいう。以下同じ。)において情報セキュリティ対策が徹底されるよう必要な措置を講じなければならない。

(ア) 調整・管理機能、スケジュール等業務全体の遂行を左右する重要な要件や機能を本市のコントロール下におくこと。

(イ) システム及びネットワークに係る業務を委託しようとするときは、システム等のブラックボックス化を防止するために、定期的に検討会議等を設置するなど適切な措置を講じること。

イ システムに係る業務の委託については、委託事業者において厳重な情報セキュリティ対策が実施されるように管理、指導を行わなければならない。

ウ システム及びネットワークの開発、運用等において複数の委託事業者が関わる場合は、その分担範囲・責任範囲を明確にするとともに、それらの連携を確保しなければならない。

エ クラウドサービスを利用する場合は、データの重要性分類に応じたセキュリティレベルが確保されているサービスを利用しなければならない。

② 委託処理における措置

ア 次の事項を委託契約書若しくは協定書に明記し、事業者にその内容を遵守させなければならない。

・ポリシー及び実施手順の遵守

・事業者の責任者、委託内容、作業者、作業場所の特定

・提供されるサービスレベルの保証

・事業者にアクセスを許可する情報の種類と範囲、アクセス方法

・事業者の従業員に対する教育の実施

・提供された情報の目的外利用及び受託者以外の者への提供の禁止

・業務上知り得た情報の守秘義務

・再委託に関する制限事項の遵守

・委託業務終了時の情報資産の返還、廃棄等

・委託業務の定期報告及び緊急時報告義務

・本市による監査、検査

・本市によるセキュリティインシデント発生時の公表

・ポリシーが遵守されなかった場合の規定(損害賠償等)

イ 委託業務の処理に当たっては、委託先となる事業者について委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。  

ウ 事業者において必要なセキュリティ対策が確保されていることを定期的に確認し、必要に応じ契約に基づき措置しなければならない。また、その内容を局等情報セキュリティ責任者に報告しなければならない。

エ 重要な情報を処理する場合等必要に応じ、本市職員が処理に立ち会うこと。

オ 契約で定められた資格を有する者が作業に従事していることを確認すること。

カ 作業を行う者のユーザID、パスワード等について、作業終了後、不要となった時点で速やかに抹消すること。

 

11 技術的セキュリティ

(1) アクセス制御

① アクセス権限の明確化

ア 業務管理者は、所管するシステムの機密保護を図るため、当該システムの利用課等の長に協議し当該システムへアクセスが可能な利用者及びその利用範囲等アクセス権限を明確にし、設定しなければならない。業務管理者は、アクセス権限を本市情報通信ネットワーク又は局等情報通信ネットワーク上に設定しようとするときは、ネットワーク管理責任者に協議しなければならない。

イ ネットワーク管理責任者は、ネットワークの機密保護を図るため、当該ネットワークへアクセスが可能な利用者及びその利用範囲等アクセス権限を定めなければならない。

② アクセス権限の管理

ア システム及びネットワークへのアクセス権限については、ユーザID及びパスワードにより管理を行うことを基本とし、取り扱う情報の重要度に応じてパスワード以外にICカード認証・生体認証等を併用した二要素認証を適用しなければならない。

イ 業務管理者及びネットワーク管理責任者は、システム及びネットワークへのアクセス権限の把握、管理を適切に行わなければならない。また、ログインにおいて、正しくない操作が繰り返しなされた場合、ロックをかける等アクセスの制御を行わなければならない。

ウ 業務管理者及びネットワーク管理責任者は、ユーザID及びパスワードについて、当該システムを利用する課等のリーダー等に協議し、次の事項を定めなければならない。

・ユーザID及びパスワードの付与及び削除手続き

・ユーザIDの保管方法

・パスワードの守秘義務

・パスワードの変更時の管理方法

・その他業務管理者及びネットワーク管理責任者が必要と認める事項 

エ 業務管理者及びネットワーク管理責任者は、利用されていないIDが放置されないよう、点検しなければならない。

オ 業務管理者及びネットワーク管理責任者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。

カ 業務管理者又はネットワーク管理責任者の特権を代行する者は、業務管理者又はネットワーク管理責任者が指名し、情報セキュリティ責任者が認めた者でなければならない。

キ 業務管理者及びネットワーク管理責任者は、特権を付与されたIDを初期設定以外のものに変更しなければならない。

③(非公開)

④ ネットワーク接続管理

ア ネットワーク管理責任者は、本市情報通信ネットワーク又は局等情報通信ネットワークに接続するサーバ及び端末機等機器を特定する識別記号を設定・配付し、ネットワークへの接続を適切に管理しなければならない。

イ ネットワーク管理責任者は、ICT管理者と連携し、サーバ及び端末機等機器を本市情報通信ネットワーク又は局等情報通信ネットワークに不正に接続させることが無いよう、監視等を行わなければならない。

⑤ ネットワーク稼働環境の管理

ア ネットワーク管理責任者は、ネットワーク設定情報について不正に変更されないよう、アクセス管理を行うとともに、障害時等に備え、設定情報のバックアップを確保しなければならない。また、ネットワーク構成等に関する情報は、関係者以外に開示してはならない。

イ ネットワーク管理責任者は、ネットワーク上の通信利用状況並びにネットワーク設計の稼働実績及び資源の利用状況を把握するとともに、障害箇所の検知機能を備え、ネットワークの性能改善に向け必要な措置を講じる等、ネットワークを適正な稼働状況に保たなければならない。

ウ ネットワーク管理責任者は、ネットワーク利用に大きな支障を生じさせかねない大容量のファイルの通信を制限する等、ネットワークの円滑な利用を図っていかなければならない。

エ ネットワーク管理責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。

(2) 不正アクセス対策

① 各種ログの取得等

ア 業務管理者、サーバ等管理者及びネットワーク管理責任者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、(非公開)また、窃取、改ざん、消去されないように必要な措置を講じなければならない。

イ (非公開)また、本市情報通信ネットワーク管理責任者は、職員が業務目的以外の不適切な利用を行おうとしていることが判明した場合、当該職員が属する局等のICT管理者に通知し、適切な措置を講じなければならない。

② 外部ネットワークとの接続に係る措置

ア 本市情報通信ネットワーク及び局等情報通信ネットワーク並びにシステムを外部ネットワークと接続するときは、ネットワーク管理責任者及びシステム管理者は、接続を行う外部ネットワークの構成、セキュリティレベル並びに市内部のネットワーク及びシステムにおけるリスク等を詳細に検討し、必要な情報セキュリティ対策が講じられることを明確に確認したうえで、接続を行わなければならない。

イ 本市情報通信ネットワーク管理責任者は、本市情報通信ネットワークに外部ネットワークを接続しようとするときは、CISOの承認を受け、適切に実施及び管理を行わなければならない。

ウ 局等情報通信ネットワーク管理責任者は、局等情報通信ネットワークに外部ネットワークを接続しようとするときは、適切に実施及び管理を行わなければならない。

エ 局等情報セキュリティ責任者は、データ提供のために本市以外のものと電子計算機の結合を行うときは、適切に実施及び管理を行わなければならない。

オ 庁外からのアクセスの許可は、必要最小限にしなければならない。また、庁外からネットワーク、システムにアクセスする場合は、外部アクセスサーバに対してのみ接続を許可する等、内部への不正なアクセスを防御する構成としなければならない。

カ 外部からの不正なアクセスを防御するため、ファイアウォール、侵入検知装置の設置、ポートの管理、アクセス状況の監視、不要なサービスの停止等、必要な措置を講じなければならない。

キ 外部ネットワークを利用し、本市以外のものと通信(メールの利用又はWebサイトによる情報提供等を行う場合を除く。)を行うときは、原則として重要性分類Ⅱ以上のデータは取り扱ってはならない。業務上、重要性分類Ⅱ以上データの取扱いが特に必要な場合については、情報の漏えい、改ざん等を防止するため、あらかじめ個人情報保護条例その他の関連する法令等に基づき必要な対処を行うとともに、通信先との相互の認証、データの暗号化、セキュリティの高い通信回線の利用等必要な措置を講じなければならない。また、その際、使用する暗号鍵については厳重に管理しなければならない。

ク Webサイトを利用した情報提供等においても、原則として個人情報は取り扱ってはならない。ただし、市民サービス向上の観点から個人情報を取り扱う必要があるときは、あらかじめ個人情報保護条例に基づき必要な対処を行い適正に運用しなければならない。なお、庁内ポータルについても、上記の取扱いに準じ、適切に運用を行わなければならない。

ケ ネットワーク管理責任者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、局等情報セキュリティ責任者及びCISOと協議のうえ、速やかに当該外部ネットワークを物理的に遮断しなければならない。

③ 不正アクセス等発見時の対応

ア ネットワーク管理責任者及び業務管理者は、不正アクセスによるネットワーク及びシステムへの攻撃を発見したときは、影響範囲及び侵入経路等の調査並びに攻撃の記録を保存し、必要な対策を速やかに講じなければならない。また、必要に応じて警察及び関係機関との緊密な連携に努めなければならない。

イ ネットワーク管理責任者及び業務管理者は、不正アクセスによる攻撃を受け、ネットワーク及びシステム等情報資産に影響が生じたときは、別途定める侵害時の対応に基づき適切な措置を講じなければならない。

ウ ネットワーク管理責任者及び業務管理者は、攻撃の予告等により攻撃を受けることが明確になった場合、システムの停止を含む必要な措置を講じなければならない。また、関係機関と連絡を密にして情報の収集に努めなければならない。

エ ネットワーク管理責任者及び業務管理者は、職員による不正アクセスを発見した場合は、当該職員が属する課等の情報セキュリティ責任者に通知し、適切な処置を求めなければならない。

(3) コンピュータウイルス対策

① ウイルス対策の実施

ア ネットワーク管理責任者は、外部のネットワークから受信したファイルについてウイルスチェックを行うなど、ネットワークへの感染を防止しなければならない。

イ ネットワーク管理責任者は、外部のネットワークへ送信するファイルについてウイルスチェックを行うなど、外部へのウイルスの拡散を防止しなければならない。

ウ (非公開)

エ ネットワーク管理責任者及び業務管理者は、サーバ及び端末機に、ウイルスチェック用のソフトウェアを常駐させなければならない。

オ ネットワーク管理責任者及び業務管理者は、端末機に対して、ウイルスチェック用のソフトウェアによるフルチェックを定期的に実施しなければならない。

カ、キ (非公開)

 

ク 業務で利用するソフトウェアは、パッチやバージョンアップなどの開発元のサポートが終了したソフトウェアを利用してはならない。

ケ 職員は、次の事項を遵守しなければならない。

・外部からデータ又はソフトウェアを取り入れる場合には、必ずウイルスチェックを行うこと

・情報セキュリティ責任者の許可を得て庁外から持ち込んだ又は持ち帰った端末機等を本市のネットワークに接続しようとするときは、当該端末機等についてコンピュータウイルスの感染の有無及びセキュリティパッチの適用状況等について確認を行うこと

・添付ファイルのあるメールを送受信するときは、添付ファイルにウイルスが感染していないかどうか確認を行うこと

・差出人が不明又は不自然に添付されたファイルは開かず速やかに削除すること

・CISOから提供されるウイルス情報に留意し対応すること

・情報セキュリティ責任者が許可した記録媒体以外は使用しないこと

・(非公開)

 

② ウイルス感染時の対応

ア ネットワーク管理責任者及び業務管理者は、ウイルスチェックの結果、ウイルスの感染を発見したときは、影響範囲及び感染経路等を調査し、ウイルスの駆除等必要な対策を速やかに講じなければならない。

イ ネットワーク管理責任者及び業務管理者は、ウイルスによりネットワーク及びシステム等情報資産に影響が生じたときは、侵害時の対応に基づき必要な措置を講じなければならない。

ウ 職員は、ウイルスに感染した場合又は感染が疑われる場合は、以下の対応を行わなければならない。

・パソコン等のLANケーブルの即時取り外しを行うこと

・モバイル端末等の利用を直ちに中止し、通信を行わない設定への変更又はシャットダウンを行うこと

(4) システムの開発、導入、保守における措置

① システムの調達

ア 業務管理者は、システムの開発、導入、保守等の調達に当たって、調達仕様書が情報セキュリティの確保の上で問題のないようにしなければならない。

イ 業務管理者は、機器及びソフトウェアを調達する場合は、製品が情報セキュリティ上問題にならないかどうか確認しなければならない。

② システムの開発

ア 業務管理者は、本市情報通信ネットワークを利用し、システムの開発を行うときは、本市情報通信ネットワーク管理責任者に協議しなければならない。

イ 業務管理者は、システムの開発に当たって、リスク分析を行うとともに、事故、障害等による被害の発生を防止する、若しくは最小限に抑えるため、次の事項に留意し、必要な対策を講じなければならない。

・システムの運転状況を監視する機能を備えるとともにシステムの障害箇所の検知機能を備えること

・障害箇所を特定するため、ロギング情報(処理及び操作の記録情報)が取得できること

・必要に応じて故障箇所を閉塞し縮退運転ができるようにすること

・必要に応じてサーバ、ディスク装置等主要機器の代替機器を備え、障害時に代替機器への切替が容易に行えること

・本番の運用環境と開発、保守環境とは別に分けること

・本番のシステムデータ及びプログラムとテスト用のデータ及びプログラムは別に管理すること

・データ及びシステムのバックアップが容易に行えるようにすること

・データ入力時のエラーチェックを行えるようにすること

・システム開発の責任者及び作業者が使用するIDを管理し、開発完了後、開発用IDを削除すること

・システム開発の責任者及び作業者のアクセス権限を設定すること

ウ 業務管理者及びサーバ等管理者は、システムの維持管理に必要な各種ドキュメントを整備し、保管場所を定め厳重に保管しなければならない。

③ システムの導入

ア 業務管理者は、システムを導入する前に十分なテストを行い、不具合の発見及び解消に努めなければならない。

イ 業務管理者及びサーバ等管理者は、本市情報通信ネットワークを利用したシステムを導入しようとするときは、本市情報通信ネットワーク管理責任者に協議し、ネットワークへの接続テストを行うとともに、アクセス権限を明確にし、アクセスの管理等に関する事項を定めなければならない。

④ システムの保守

ア 業務管理者及びサーバ等管理者は、システムの保守を行うときは、不具合の確認を行い、既存のシステムの運用に影響が出ないようにしなければならない。

イ 業務管理者及びサーバ等管理者は、システムの追加、変更、廃棄等をしたときは、その際の履歴を記録するとともに、ドキュメントの変更整備を行わなければならない。

⑤ 機器の保守等

ア 機器の保守点検を定期的に実施するとともに、その記録を適切に保存しなければならない。

イ 記録媒体の含まれる機器について、外部の業者に修理させる場合は、当該機器に記録されている内容が消去された状態で行わなければならない。ただし、情報を消去することが難しい場合は、修理を委託する事業者に対し秘密を守ることを契約に定めなければならない。

ウ 記録媒体の含まれる機器を廃棄、リース返却等をする場合は、当該機器に記録されている全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

(5) セキュリティ情報の収集

① セキュリティホールに関する情報の収集及び修正

業務管理者、サーバ等管理者及びネットワーク管理責任者は、情報セキュリティに関する最新の情報を収集し、必要に応じてネットワーク、システムの端末機及びサーバ等のソフトウェアに最新のプログラム修正を行うことにより、セキュリティホールを防ぐ等、必要な措置を講じなければならない。

② セキュリティ侵害の対策

業務管理者、サーバ等管理者及びネットワーク管理責任者は、情報セキュリティに関する最新の情報を収集し、必要に応じて関係者間で共有しなければならない。また、情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合は、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。

③ ウイルス対策の周知・徹底

業務管理者、サーバ等管理者及びネットワーク管理責任者は、常時ウイルスに関する情報収集に努めるとともに、必要に応じてウイルス対策について職員に対する啓発を行わなければならない。

 

12 運用

(1) システム等の適正運用

① 実施手順の作成

ア 業務管理者は、ポリシーに基づき、当該システムにおける情報セキュリティ対策の実施に関し必要となる事項を定めた実施手順を作成し、局等情報セキュリティ責任者の承認を得なければならない。

イ ネットワーク管理責任者は、ポリシーに基づき、当該ネットワークにおける情報セキュリティ対策の実施に関し必要となる事項を定めた実施手順を作成し、局等情報セキュリティ責任者の承認を得なければならない。

ウ 局等情報セキュリティ責任者は、当該実施手順についてCISOに第4号様式により承認依頼を行い、第5号様式による承認を得なければならない。

② 運用管理手法、運用計画の明確化

ア 業務管理者は、システムの運用を開始する前に、運用管理の手法及び体制等について明らかにしなければならない。

イ サーバ等管理者は、システムの運用に当たり、業務管理者と協議し、運用計画を策定し、年間・月間・週間等における運用スケジュール及びシステムの運用時間及び運用形態等運用管理に必要な事項を明確にしなければならない。

ウ ネットワーク管理責任者は、ネットワークの運用に当たり、運用管理の手法及び体制、運用計画を明らかにしなければならない。

③ 機器操作の適正化

ア システムにおける措置

(ア) システムのサーバ等の機器についてはサーバ等管理者、また端末機については端末機管理者が、それぞれ指示若しくは承認した者が操作を行わなければならない。

(イ) 業務管理者及びサーバ等管理者は、操作マニュアル等を作成し、研修を実施する等機器操作の適正化に努めなければならない。また、システムの追加、変更、廃棄等をしたときは、その履歴を記録するとともに常に変更を反映し、操作マニュアル等を最新の状態にしなければならない。

(ウ) サーバ等管理者は、システムのオペレーション作業の実施に当たり、次の事項について管理方法を明確に定め、適切に運用管理を行わなければならない。

・スケジュール管理

・出力及び廃棄帳票の管理

・磁気テープ等の記録媒体の管理

・オペレータの電子計算機室への入退室管理

・オペレータの作業内容の把握、管理

・電子計算機機器及びネットワーク機器の障害時の対応

・その他必要な事項

イ ネットワークにおける措置

(ア) ネットワーク機器の操作については、ネットワーク管理責任者が指示若しくは承認した者が行わなければならない。

(イ) ネットワーク管理責任者は、操作マニュアル等を作成する、又は利用方法の周知を行う等ネットワークの利用の適正化に努めなければならない。また、ネットワークの追加、変更、廃棄等をしたときは、その履歴を記録するとともに常に変更を反映し、操作マニュアル等を最新の状態にしなければならない。

(ウ) ネットワーク管理責任者は、ネットワークのオペレーション作業の実施について適切に管理しなければならない。

④ データ等のバックアップ運用

ア 業務管理者及びサーバ等管理者は、万一の事故、障害等の発生に備え、データ・プログラムのバックアップを適切に行わなければならない。

イ データ・プログラムのバックアップに当たっては、次の事項に留意しなければならない。

(ア) 業務管理者は、バックアップコピーを取得するデータ、取得の方法及びサイクルを定めサーバ等管理者は、それに基づいてデータのバックアップを適切に実施しなければならない。

(イ) サーバ等管理者は、プログラムの変更の都度、プログラムのバックアップコピーを取得しなければならない。

(ウ) サーバ等管理者は、データのバックアップ取得後、次のデータのバックアップ取得までの間、必要に応じて、データベースの更新記録情報を取得しなければならない。

(2) システム等の監視及び予防措置

① システム等の監視

ア 重要システムの運用に当たっては、情報セキュリティに関する事案を検知するため、サーバ等管理者は、常にシステムの稼働監視を行わなければならない。特に、外部と接続するシステムについては、ファイアウォール等を用い、不正なアクセスによる攻撃を受けていないかどうか監視、分析を行わなければならない。

イ ネットワークに係る情報セキュリティに関する事案を検知するため、ネットワーク管理責任者は、ネットワークの稼働監視を行わなければならない。特に、外部と接続する本市情報通信ネットワークについては、ファイアウォール、侵入監視装置等を用い、不正なアクセスによる攻撃を受けていないかどうか監視、分析を行わなければならない。

ウ 監視により得られた結果については、消去や改ざんされないために必要な措置を講じ、定期的に安全な場所に保管しなければならない。

エ 重要なログ等を取得するサーバについては、正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。

② 予防措置

ア 業務管理者は、システム及びネットワークに障害又は侵害が発生し、システムが利用できない場合に備え、市民生活への影響を最小限に抑えるため、代替処理方法を定めなければならない。

イ システムに被害が生じるおそれがある事案を発見した場合、サーバ等管理者は、業務管理者と協議のうえ、予防措置を講じなければならない。また、サーバ等管理者及び業務管理者は、直ちに局等情報セキュリティ責任者に報告しなければならない。

ウ 局等情報セキュリティ責任者は、直ちに、当該事案をCISOに報告しなければならない。

エ ネットワークに被害が生じるおそれがある事案を発見した場合、ネットワーク管理責任者は、予防措置を講じなければならない。また、ネットワーク管理責任者は、直ちに、当該事案をCISOに報告しなければならない。

(3) システム等の障害時、侵害時の対応

① 障害時の対応

ア システムにおける措置

(ア) 責任体制

業務管理者及びサーバ等管理者は、システムの障害時における連絡及び対処の責任者となり、関係者との連携によりシステムを速やかに回復しなければならない。

(イ) 障害時における対応方法の周知

業務管理者は、サーバ等管理者と協議し、システムの運用を開始する前に、障害時における対応マニュアルを作成し、関係者に周知しなければならない。

(ウ) 障害時の連絡及び対処

a 端末機管理者は、障害を発見したときは、直ちに、業務管理者に連絡しなければならない。また、業務管理者は、必要に応じてこれをサーバ等管理者に連絡しなければならない。

b サーバ等管理者は、システムの運用に障害を発見したときは、直ちに、障害状況及び影響範囲を調査するとともに、必要に応じて障害状況等を業務管理者に連絡しなければならない。また、業務管理者は、必要に応じてこれを障害に関係する端末機管理者に連絡しなければならない。

c 業務管理者及びサーバ等管理者は、障害に関係する端末機管理者と連携し、システムの回復に向け適切な措置を講じなければならない。

d 業務管理者及びサーバ等管理者は、障害・故障の発生に関係した部門から原因及び処理の報告を求めるとともに、当該障害・故障の原因及び処理結果について障害記録簿を作成・記録しなければならない。

e 業務管理者は、障害の被害が重大な場合又はシステムの運用に著しい支障(以下「重大障害」という。)が発生している場合は、直ちに、所属の局等情報セキュリティ責任者に報告を行わなければならない。

f 報告を受けた局等情報セキュリティ責任者は、直ちに、CISOに第1-1号様式により報告を行わなければならない。

(エ) 再発防止措置

業務管理者及びサーバ等管理者は、障害原因等を分析し、再発防止に向け必要な改善措置を講じなければならない。

(オ) 事後検証

CISOは、報告のあった障害事案について、再発防止に向け必要な改善措置が講じられているか局等情報セキュリティ責任者に報告を求めることができる。

イ ネットワークにおける措置

(ア) 責任体制

ネットワーク管理責任者は、障害時における連絡及び対処の責任者となり、関係者との連携によりネットワークを速やかに回復しなければならない。

(イ) 障害時における対応方法の周知

ネットワーク管理責任者は、障害時における対応方法について、関係者に周知しなければならない。

(ウ) 障害時の連絡及び対処

a 本市情報通信ネットワーク管理責任者及びICT管理者は、障害を発見したときは、相互に連絡しなければならない。

b ネットワークを利用して情報処理を行おうとする課等(以下「利用課等」という。)のリーダー等は、障害を発見したときは、直ちに、ICT管理者を通じて本市情報通信ネットワーク管理責任者に連絡しなければならない。

c 本市情報通信ネットワーク管理責任者及びICT管理者は、障害を発見し、又は障害の連絡を受けたときは、相互に連携し、直ちに、障害状況及び影響範囲を調査するとともに、本市情報通信ネットワーク管理責任者は障害に関係するICT管理者を通じて利用課等のリーダー等に当該障害状況等を連絡しなければならない。

d 本市情報通信ネットワーク管理責任者は、障害に関係するICT管理者及び利用課等のリーダー等と連携し、障害の回復に向け適切な措置を講じなければならない。

e 本市情報通信ネットワーク管理責任者は、障害発生に関係した部門から障害の原因及び処理の報告を求めるとともに、ネットワーク上の障害、故障の原因及び処理結果について障害記録簿を作成、記録しなければならない。

f 本市情報通信ネットワーク管理責任者は、本市情報通信ネットワークに重大障害が発生している場合は、直ちに、CISOに第1-1号様式により報告を行わなければならない。

g 局等情報通信ネットワーク管理責任者は、障害時の連絡及び対処等について、上記の内容に準じ適切な対応を行わなければならない。

(エ) 再発防止措置

ネットワーク管理責任者は、障害原因等を分析し、再発防止に向け必要な改善措置を講じなければならない。

(オ) 事後検証

CISOは、報告のあった障害事案について、再発防止に向け必要な改善措置が講じられているかネットワーク管理責任者に報告を求めることができる。

② 侵害時の対応

ア システムにおける措置

(ア) 責任体制

局等情報セキュリティ責任者は、所管する情報資産において、不正行為等による情報の漏えい、滅失、改ざん等の侵害事案が発生した場合、連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速に実施するとともに、再発防止の措置を講じなければならない。また、CISOは、侵害時の対応が円滑に実施されるよう、監督、指導を行わなければならない。

(イ) 侵害時の対応方法の周知

局等情報セキュリティ責任者は、所管する情報資産に対し作成される実施手順において、侵害時の対応方法を明記させるとともに、関係する管理者、職員に対し当該対応方法について周知を行わなければならない。

(ウ) 侵害時の連絡

a システムの利用者が侵害事案の発生を発見したときは、直ちに、端末機管理者に報告し、端末機管理者は業務管理者及びサーバ等管理者に報告しなければならない。また、システムの稼働又は運用に係る担当者が侵害事案の発生を発見したときは、直ちに、サーバ等管理者及び業務管理者に報告しなければならない。

b 報告を受けた業務管理者は、直ちに、所属の局等情報セキュリティ責任者に報告を行わなければならない。

c 報告を受けた局等情報セキュリティ責任者は、直ちに、CISOに第1-1号様式又は第1-2号様式により報告しなければならない。

d 局等情報セキュリティ責任者は、侵害事案が法令等に違反するものと見込まれる場合、CISOと協議し、警察等関係機関に通報しなければならない。

e CISOは、侵害事案がサイバー攻撃等による緊急時の場合においては、緊急連絡体制を設置し、情報セキュリティ対策が適切に実施されるよう、監督、指導を行わなければならない。

f 侵害を発見した者又は侵害の報告を受けた者は、当該侵害事案を報告すべき者が不在の場合その他の場合において、急を要するときは、上記の規定にかかわらず、直ちに、当該侵害事案を報告すべき者の上位の者に報告しなければならない。

(エ) 事案への対処

a 業務管理者及びサーバ等管理者は、侵害事案が発生したときは、次の事項について調査を実施しなければならない。

・事案の内容

・事案が発生した原因

・確認した被害

・影響範囲

b サーバ等管理者は、次の事案が発生し情報資産保護のためにシステムの停止がやむを得ない場合は、業務管理者に協議の上、システムを停止しなければならない。ただし、情報資産を保護するため急を要する場合には、サーバ等管理者は当該協議をしないでシステムを停止することができる。

・システムの運用に著しい支障をきたす攻撃が継続しているとき

・コンピュータウイルス等不正プログラムが情報に深刻な被害を及ぼしているとき

・その他の情報資産に係る重大な被害が想定されるとき

c 業務管理者及びサーバ等管理者は、事案に係るシステムのアクセス記録及び現状を保存するとともに、事案に対処した経過を記録しなければならない。

d 事案に係る証拠保全の実施を完了するとともに、再発防止の暫定措置を講じた後、システムの復旧を行う。

e 局等情報セキュリティ責任者は、上記の対処に当たり、業務管理者及びサーバ等管理者から随時報告を求め、作業の実施を管理しなければならない。

(オ) 再発防止措置

業務管理者及びサーバ等管理者は、当該事案に係る原因及びリスク等を分析し、再発防止に向け必要な改善措置を講じなければならない。また、局等情報セキュリティ責任者は、改善措置の実施について確認を行うとともに、再発防止に向け、関係する管理責任者、職員に対し対応方法について周知を行わなければならない。

(カ) 事後検証

CISOは、報告のあった侵害事案について、再発防止に向け必要な改善措置が講じられているか局等情報セキュリティ責任者に報告を求めることができる。

イ ネットワークにおける措置

(ア) 責任体制

ネットワーク管理責任者は、ネットワークにおいて、不正行為等による情報の漏えい、滅失、改ざん等の侵害事案が発生した場合、連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速に実施するとともに、再発防止の措置を講じなければならない。また、CISOは、侵害時の対応が円滑に実施されるよう、監督、指導を行わなければならない。

(イ) 侵害時の対応方法の周知

ネットワーク管理責任者は、ネットワークに係る実施手順において、侵害時の対応方法を明記するとともに、関係する管理責任者、職員に対し当該対応方法について周知を行わなければならない。

(ウ) 侵害時の連絡

a 本市情報通信ネットワークの利用者が侵害事案の発生を発見したときは、直ちに、利用課等のリーダー等に報告し、利用課等のリーダー等はICT管理者を通じて本市情報通信ネットワーク管理責任者に報告しなければならない。また、ネットワークの運用管理担当者が侵害事案の発生を発見したときは、直ちに、本市情報通信ネットワーク管理責任者に報告を行わなければならない。本市情報通信ネットワーク管理責任者は関係するICT管理者に連絡を行わなければならない。

b 報告を受けた本市情報通信ネットワーク管理責任者は、直ちに、CISOに第1-1号様式又は1-2号様式により報告を行わなければならない。

c 局等情報通信ネットワークにおいて侵害事案の発生を発見した利用者又は運用管理担当者は、直ちに、局等情報通信ネットワーク管理責任者に報告しなければならない。局等情報通信ネットワーク管理責任者は、直ちに、所属の局等情報セキュリティ責任者に報告を行わなければならない。

d 報告を受けた局等情報セキュリティ責任者は、直ちに、CISOに第1-1号様式又は1-2号様式により報告を行わなければならない。

e ネットワーク管理責任者は、侵害事案が法令等に違反するものと見込まれる場合、CISOと協議し、警察等関係機関に通報しなければならない。

f CISOは、侵害事案がサイバー攻撃等による緊急時の場合においては、緊急連絡体制を設置し、情報セキュリティ対策が適切に実施されるよう、監督、指導を行わなければならない。

g 侵害を発見した者又は侵害の報告を受けた者は、当該侵害事案を報告すべき者が不在の場合その他の場合において、急を要するときは、上記の規定にかかわらず、直ちに、当該侵害事案を報告すべき者の上位の者に報告しなければならない。

(エ) 事案への対処

a ネットワーク管理責任者は、侵害事案が発生したときは、次の事項について調査を実施しなければならない。

・事案の内容

・事案が発生した原因

・確認した被害・影響範囲

b ネットワーク管理責任者は、次の事案が発生し情報資産保護のためにやむを得ない場合は、ネットワークの停止を含む必要な措置を講じなければならない。

・ネットワークの運用に著しい支障をきたす攻撃が継続しているとき

・コンピュータウイルス等不正プログラムがネットワーク経由で拡がっているとき

・本市のメールサーバ等が原因となって他者に被害を与えるおそれがあるとき

・その他の情報に係る重大な被害が想定されるとき

c ネットワーク管理責任者は、事案に係るシステムのアクセス記録及び現状を保存するとともに、事案に対処した経過を記録しなければならない。

d 事案に係る証拠保全の実施を完了するとともに、再発防止の暫定措置を講じた後、ネットワークの復旧を行う。

e 本市情報通信ネットワークに係る対処に当たり、CISOは、本市情報通信ネットワーク管理責任者から随時報告を求め、作業の実施を管理しなければならない。また、局等情報通信ネットワークに係る対処に当たり、局等情報セキュリティ責任者は、局等情報通信ネットワーク管理責任者から随時報告を求め、作業の実施を管理するとともに、CISOに作業状況について報告しなければならない。

(オ) 再発防止措置

ネットワーク管理責任者は、当該事案に係る原因及びリスク等を分析し、再発防止に向け必要な改善措置を講じなければならない。本市情報通信ネットワーク管理責任者は、本市情報通信ネットワークの改善措置の実施について、また局等情報セキュリティ責任者は、局等情報通信ネットワークの改善措置の実施について確認を行うとともに、再発防止に向け、関係する管理責任者、職員に対し対応方法について周知を行わなければならない。

(カ) 事後検証

CISOは、報告のあった侵害事案について、再発防止に向け必要な改善措置が講じられているかネットワーク管理責任者に報告を求めることができる。

(4) 例外措置

① 例外措置の許可

局等情報セキュリティ責任者及び本市情報通信ネットワーク管理責任者は、ポリシー等を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、CISOに第2号様式により申請を行い、第3号様式による許可を受けて、例外措置を取ることができる。

② 緊急時の例外措置

局等情報セキュリティ責任者及び本市情報通信ネットワーク管理責任者は、行政事務の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避のときは、事後直ちにCISOに第2号様式により報告しなければならない。

 

13 ポリシー等の遵守状況の確認

(1) 局等情報セキュリティ責任者は、局等において、ポリシー及び所管する情報資産に係る実施手順が遵守されているかどうか、また、侵害等の問題が発生していないかについて確認し、問題が発生した場合には、直ちに、CISOに報告しなければならない。

(2) ネットワーク管理責任者及び業務管理者は、ネットワーク及びサーバ等のシステム設定等におけるポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合には適切かつ速やかに対処しなければならない。

(3) 情報セキュリティ責任者は、不正アクセス、不正プログラム等の調査のために、職員が使用している端末機及び記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。

(4) CISOは、ポリシー等の遵守状況及び問題発生の状況について確認を行うため、局等情報セキュリティ責任者に報告を求めることができる。

(5) 実施手順の作成方法等については、CISOが定める。局等情報セキュリティ責任者は、所管する情報資産について実施手順の作成又は見直しが行われた場合、当該情報資産の管理者から報告を受けなければならない。また、局等情報セキュリティ責任者は、実施手順を見直し、変更(役職名や連絡先の変更等の軽微なものを除く。)が行われた場合、CISOに第4号様式により報告を行わなければならない。

(6) 職員のポリシーに違反する行動を確認した場合には、速やかに次の措置を講じなければならない。

・システムの利用者が違反を確認したときは、端末機管理者に報告し、端末機管理者は業務管理者及びサーバ等管理者に報告すること。また、システムの稼働又は運用に係る担当者が違反を確認したときは、サーバ等管理者及び業務管理者に報告すること。

・報告を受けた業務管理者は、局等情報セキュリティ責任者に報告すること。

・報告を受けた局等情報セキュリティ責任者は、適切な措置を行うこと。

・局等情報セキュリティ責任者の指導によっても改善されない場合、CISOは、当該職員のネットワーク又はシステムを使用する権利を停止あるいは剥奪することができる。その後速やかに、CISOは、職員の権利を停止あるいは剥奪した旨を局等情報セキュリティ責任者に通知すること。

 

14 点検・評価及び見直し

(1) 点検・評価

① 局等情報セキュリティ責任者は、所管するシステム及びネットワークに係る実施手順に基づき必要な情報セキュリティ対策が実際に実施されているかどうか、また、実施手順に記載された情報セキュリティ対策に不足がないかどうかについて、定期的に点検を行わなければならない。委託事業者に委託している場合、業務管理者は、ポリシーの遵守について定期的に点検を行わなければならない。

② 局等情報セキュリティ責任者は、点検結果に基づき、必要な改善を行わなければならない。また、点検結果において、ポリシーの記載に疑義が生じたときは、直ちに、CISOに報告しなければならない。

③ 職員は、点検結果に基づき、自己の権限の範囲内で改善を図らなければならない。

④ CISOは、局等情報セキュリティ責任者に対し、情報セキュリティ対策の点検実施の要請及び点検結果の報告を求めることができる。

⑤ CISOは、規程に定める情報セキュリティ検査の指摘事項が被検査部門以外の所管する情報資産に対して、同様の課題及び問題点がある可能性がある場合は、当該課題及び問題点の有無を局等情報セキュリティ責任者に報告を求めることができる。

(2) セキュリティ対策の見直し、変更

① CISOは、情報セキュリティをめぐる情勢の変化及び情報セキュリティ検査の結果を踏まえ、適宜対策基準の実効性を評価し、必要があるときは見直し、変更を行わなければならない。

② CISOは、対策基準の変更を行ったときは、速やかに局等情報セキュリティ責任者その他関係者に周知を行わなければならない。

③ 局等情報セキュリティ責任者は、所管するシステム及びネットワークについて、ポリシーの変更並びに情報セキュリティをめぐる情勢の変化等に伴い、適宜情報セキュリティ対策の見直しを行ない、必要があると認めるときは、当該システム及びネットワークの実施手順の変更を行わなければならない。

④ CISOは、本市情報通信ネットワークについて、ポリシーの変更に伴う情報セキュリティ対策の見直しを行わなければならない。

 

15 対策基準等の取扱い

対策基準及び実施手順のうち、公にすることにより本市の行政運営に重大な支障を及ぼすおそれのある情報については、非公開とする。

 

附 則

1 この対策基準は、平成19年4月2日より施行する。

2 この対策基準の施行に伴い、大阪市情報セキュリティポリシー(平成14年5月23日施行)は、廃止する。

(経過措置)

3 この対策基準の施行による廃止前の大阪市情報セキュリティポリシー第2章大阪市行政全般における情報セキュリティ対策基準 2組織・体制 (2)役割・責任 ②システムに係る役割・責任 ア業務管理責任者 (エ)、③ネットワークにおける役割責任 (ア) 総括ネットワーク管理責任者 b並びに③ネットワークにおける役割責任 イの規定により策定した実施手順は、規程第10条及び対策基準10運用 (1)システム等の適正運用 ①実施手順の作成の規定により作成し、市副情報統括責任者の承認を得た実施手順とみなす。

附 則

この改正対策基準は平成19年12月10日より施行する。

附 則

この改正対策基準は平成20年11月21日より施行する。

附 則

この改正対策基準は平成21年4月1日より施行する。

附 則

この改正対策基準は平成21年5月1日より施行する。

附 則

この改正対策基準は平成22年4月1日より施行する。

附 則

この改正対策基準は平成23年4月1日より施行する。

附 則

この改正対策基準は平成23年12月1日より施行する。

附 則

この改正対策基準は平成24年4月6日より施行する。

附 則

この改正対策基準は平成26年2月1日より施行する。

附 則

この改正対策基準は平成26年10月1日より施行する。

(経過措置)

(非公開)

附 則

この改正対策基準は平成27年10月9日より施行する。

附 則

この改正対策基準は平成28年1月1日より施行する。

附 則

この改正対策基準は平成28年3月14日より施行する。

(経過措置)

改正対策基準の施行時点において情報システムが機能的に要件を満たしていない場合はこの限りではない。ただし、当該情報システムは、システム更改時等に準拠しなければならない。

附 則

この改正対策基準は平成28年4月1日より施行する。

附 則

この改正対策基準は平成29年2月1日より施行する。

附 則

この改正対策基準は平成29年4月1日より施行する。

附 則

この改正対策基準は平成29年7月1日より施行する

附 則

この改正対策基準は平成30年4月1日より施行する

附 則

この改正対策基準は平成31年4月1日より施行する。

 

SNSリンクは別ウィンドウで開きます

  • Facebookでシェア
  • twitterでツイートする

探している情報が見つからない

このページの作成者・問合せ先

大阪市 ICT戦略室 企画担当企画グループ

住所:〒530-8201 大阪市北区中之島1丁目3番20号(大阪市役所地下2階)

電話:06-6208-7825

ファックス:050-3737-2976

メール送信フォーム