情報セキュリティポリシーとは
組織の中にある情報資産を、セキュリティを確保しながら安全に運用するためのルールを文書化したものです。
情報セキュリティポリシーは次の2段階で構成されています。
◎基本方針の内容
適用範囲
情報資産の分類と管理
情報セキュリティ対策
監査、評価及び見直しの実施
◎実施基準の内容
管理体制
情報資産の分類
セキュリティ対策
運用
緊急時への対応
評価・見直し
(令和6年4月1日改正)
鳥取県情報セキュリティ基本方針
(目的)
第1条 この基本方針は、鳥取県情報システム事務処理規程(昭和58年鳥取県訓令第2号。以下「訓令」という。)第6条の規定に基づき、県が保有する情報資産の機密性、完全性及び可用性を確保するため、様々な脅威に対する抑止、予防、検知及び回復について、組織的かつ計画的に取り組むための統一的な方針であり、その基本的な考え方及び方策を定めることを目的とする。
(定義)
第2条 この基本方針において使用する用語の意義は、訓令において使用する用語の例によるほか、次の各号に定めるところによる。
(1) 情報セキュリティポリシー
県が保有する情報資産のセキュリティ対策について取りまとめたもので、この基本方針及びこれに基づく情報セキュリティ実施基準をいう。
(2) 機密性
情報にアクセスすることが認可された者だけがアクセスできる状態を確保することをいう。
(3) 完全性
情報が破壊、改ざん又は消去されていない正しい状態を確保することをいう。
(4) 可用性
許可された利用者が、必要なときに情報にアクセスできる状態を確保することをいう。
(適用範囲)
第3条 この基本方針は、知事部局、労働委員会及び訓令第10条の要請を受け知事が訓令の規定を準用する部局における情報資産(訓令第6条第4項で規定する情報資産を除く。)並びに訓令第7条に規定する行政ネットワーク基盤に係る情報資産の取扱いについて適用する。
2 この基本方針が対象とする情報資産は、次のとおりとする。
(1) 情報システム(行政ネットワーク基盤を含む。以下同じ。)及びこれらに関する施設及び設備
(2) 情報システムで取り扱う情報及びソフトウェア(これらを印刷した文書を含む。)
(3) 情報システムの仕様書及びネットワーク図等のシステム関連文書
3 前項第2号の印刷した文書については、情報セキュリティポリシーによるもののほか、鳥取県文書に係る事務の管理に関する規程その他の県の公文書の管理等に関する規程等の定めるところによる。
(全庁的、統一的な情報セキュリティの確保)
第4条 最高情報セキュリティ責任者(CISO(Chief Information Security Officer))(副知事をいう。)は、情報資産の管理や情報セキュリティに関する最高責任者として、全庁的、統一的な情報セキュリティの確保に努める。なお、最高情報セキュリティ責任者は、情報セキュリティ統括管理者にその任を代行させることができる。
(情報の分類及び管理)
第5条 情報セキュリティ統括管理者(政策戦略本部デジタル局長(以下「情報セキュリティ担当局長」をいう。)をいう。)は、最高情報セキュリティ責任者を補佐し、情報資産の管理や情報セキュリティに関する統括的な権限及び責任を有する。情報資産について、情報の機密性、完全性、可用性等を踏まえた分類を行うとともに、適切な管理が行われるよう、情報セキュリティ管理者(所属長をいう。)及び情報システム管理者(情報システム所管課長をいう。)(以下これらを「管理者」という。)に対して指導又は助言を行う。
2 情報セキュリティ統括管理者は、情報資産に対する情報セキュリティ侵害が発生した場合又は侵害のおそれがある場合、必要かつ十分な措置を実施する権限及び責任を有する。
(情報セキュリティ対策)
第6条 情報セキュリティ統括管理者は、情報資産を盗難、破壊、災害等の脅威から守るため、次の対策を講じる。
(1) 人的セキュリティ対策
すべての職員等(情報システムの利用を認められた課、室及び地方機関(情報システム管理者により情報システムの利用を特に認められた機関を含む。)の構成員をいう。)に対する情報セキュリティに関する権限や責任及び遵守すべき事項を明確に定め、職員等に対する周知及び徹底を図るとともに、十分な教育・啓発を行う等必要な対策を講じる。
(2) 物理的セキュリティ対策
情報システムを設置する施設への不正な立入り、情報資産への損害及び利用の妨害等から保護するための物理的な対策を講じるよう、情報資産管理者に対して指導又は助言を行う。
(3) 技術的セキュリティ対策
情報資産を不正アクセス等から保護するため、情報資産へのアクセス制御、ネットワーク管理並びに情報の一元化及び集中化等、機密性、完全性及び可用性の確保を可能な限り自動化する等の技術的対策を講じるよう、情報システム管理者に対して指導又は助言を行う。
(4) 運用等における対策
情報システムの監視、情報セキュリティ対策の遵守状況の確認等運用面の対策を講じるよう、情報システム管理者に対して指導又は助言を行う。
(5) 緊急時におけるセキュリティ対策
緊急事態が発生した場合に、迅速かつ適切な対応が可能となるよう危機管理対策を講じる。
(情報セキュリティにおける実施基準の策定)
第7条 情報セキュリティ担当課長(政策戦略本部デジタル局デジタル改革課長をいう。)は、この基本方針を守り、情報セキュリティ対策を具体的に実施するため、全ての情報資産に共通の基準(以下「共通実施基準」という。)を定めるものとする。なお、この共通実施基準は、公にすることにより、県の情報セキュリティの維持に支障を及ぼすおそれがあることから非公開とする。
2 前項の実施基準により難い特段の事情のある情報資産については、情報セキュリティ統括管理者への協議により、別途、当該情報資産に係る情報セキュリティ実施基準を個別に定めることができる。
(職員等の義務)
第8条 職員等は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行において、情報セキュリティポリシーを遵守する義務を負う。また、外部委託事業者に業務を行わせようとする場合は、契約又は別途取決めを行うことにより、情報セキュリティポリシーを守らせるために必要な措置を講じなければならない。
(情報セキュリティ監査の実施)
第9条 情報セキュリティ担当課長は、情報セキュリティポリシーの遵守状況を検証するため、定期的及び必要に応じて情報セキュリティ監査及び自己点検を実施する。
附則
この要綱は、平成16年3月1日から施行する。
附則
(施行期日)
1 この改正は、平成20年4月1日から施行する。
(経過措置)
2 この改正の施行の際、現に改正前の要綱第8条の規定により定められている情報セキュリティ実施手順は、第7条第2項の規定による情報セキュリティ実施基準とみなす。
附則
この改正は、平成22年4月1日から施行する。
附則
この改正は、平成25年4月1日から施行する。
附則
この改正は、平成26年4月1日から施行する。
附則
この改正は、平成31年4月1日から施行する。
附則
この改正は、令和6年4月1日から施行する。