大阪市教育委員会情報セキュリティ検査実施要綱

第1章　総則

（目的）

第1条　情報システムの安全かつ円滑な運用を確保し、もって教育行政の安定的な運営を図ることを目的として情報システムに係る情報セキュリティ対策の実施状況について評価・検証・改善を行うため、大阪市教育委員会情報セキュリティ管理規程（以下「規程」という。）第14条の規定に基づき、情報セキュリティ検査（以下「検査」という。）を実施する。

2 この要綱は、検査の実施に係る必要な事項を定めるものとする。

（検査の対象）

第2条　検査の対象は、規程第2条第1項第11号に規定する課等が所管する情報システム、情報通信ネットワーク及びそれに関連する業務等のうち、教育行政情報化（大阪市情報セキュリティ検査実施要綱（平成15年総務局長制定）の適用をうけるものを除く。以下、同じ）に関するものとする。

第2章　検査の体制等

（実施体制）

第3条　規程に定める教育最高情報セキュリティ責任者が、本市教育行政の情報資産に係る検査を総括するものとする。

2 教育最高情報セキュリティ責任者は、検査の実施にあたり必要に応じて情報セキュリティに関する専門知識を有する外部の専門家に意見の聴取を行うことができる。

（庶務）

第4条　連絡調整等検査に必要な庶務は、総務部教育政策課が行う。

（被検査部門及び情報セキュリティ管理者の責務と役割）

第5条　被検査部門及び被検査部門の属する課等の教育情報セキュリティ管理者は、検査の実施に協力しなければならない。

2 教育情報セキュリティ管理者は検査結果に基づき適切な情報セキュリティ対策の実施に努めなければならない。

3 教育情報セキュリティ管理者は、検査の実施にあたり必要となる諸資料等を提出し、必要に応じて現地調査等に協力しなければならない。

第3章　検査の実施方法

（検査の実施方法）

第6条　検査は、教育最高情報セキュリティ責任者が決定した手法を用いて実施する。

（検査の基準）

第7条　検査は、規程第2条第1項第3号に規定する情報セキュリティポリシー及び被検査対象における情報セキュリティ実施手順（以下「セキュリティポリシー等」という。）に基づき実施する。

（検査基本計画）

第8条　教育最高情報セキュリティ責任者は、当該年度に実施する検査の基本計画書を作成しなければならない。

（検査の実施）

第9条　教育最高情報セキュリティ責任者は、基本計画書に基づいて情報セキュリティポリシー等に準拠した質問項目の選定を行い、自己点検票を作成し、被検査部門に自己点検を実施させなければならない。

2 教育最高情報セキュリティ責任者は、検査の実施にあたっては被検査部門の教育情報セキュリティ管理者へ文書で通知しなければならない。

3 被検査部門及び被検査部門の属する教育情報セキュリティ管理者は自己点検の実施にあたり、点検結果の根拠となる諸資料等を教育最高情報セキュリティ責任者に提出しなければならない。

第4章　検査結果の報告

（点検評価の実施）

第10条　教育最高情報セキュリティ責任者は、被検査部門の点検結果を収集後、各検査対象システムに対して点検結果に基づいた個別点検評価を実施しなければならない。

2 個別点検評価を実施する際、必要に応じて被検査部門から意見を聴取することができる。

3 個別点検評価は、客観的資料・事実に基づいて、改善すべき事項、その他の意見を具体的に記述しなければならない。

4 教育最高情報セキュリティ責任者は、個別点検評価の作成にあたり、必要に応じて被検査部門及び当該検査関連部門に対して現地調査及び聴取等を実施することができる。

5 被検査部門及び被検査部門の属する教育情報セキュリティ管理者は必要に応じて教育最高情報セキュリティ責任者の現地調査及び聴取等に協力しなければならない。

6 教育情報セキュリティ責任者は、第1項の規定により、教育最高情報セキュリティ責任者が実施する個別点検評価について、技術的な意見を述べるものとする。

（点検評価結果の通知）

第11条　教育最高情報セキュリティ責任者は、被検査部門の教育情報セキュリティ管理者に対して個別点検評価を通知しなければならない。

2 被検査部門の教育情報セキュリティ管理者は、前項の通知をふまえ、適宜改善が必要な事項について改善計画を作成し、教育最高情報セキュリティ責任者に提出しなければならない。

第5章　検査実施後の取扱い

（改善状況の管理）

第12条　教育情報セキュリティ管理者は、被検査部門における改善計画の進捗状況を管理するとともに、自己の所管するシステムにおける情報セキュリティ対策の充実に努めなければならない。

2 被検査部門は情報技術の進歩やそれに伴う情報セキュリティに対する脅威が増大する中で時宜に応じた情報セキュリティ対策の見直しを適切に行う必要があることから改善計画の策定後、速やかに対応を図らなければならない。

（改善完了の報告）

第13条　教育ICT管理者は、被検査部門より改善計画の完了を確認した場合、速やかに教育最高情報セキュリティ責任者に報告しなければならない。

（フォローアップ検査の実施）

第14条　教育最高情報セキュリティ責任者は、個別点検評価において改善すべきとされた点について改善状況に対する評価･検証（以下「フォローアップ検査」という。）を行うことができる。

2 フォローアップ検査は、書面検査や現地調査及び聴取によって行うことができる。

第6章　雑則

（施行の細目）

第15条　この要綱の実施について必要な事項は、教育最高情報セキュリティ責任者が定める。

附則
この要綱は、令和元年7月1日から施行する。

附則
この要綱は、令和2年4月1日から施行する。

附則
この要綱は、令和3年4月1日から施行する。

附則
この要綱は、令和4年6月1日から施行する。