1 目的
佐賀県情報セキュリティ基本方針(以下「基本方針」という。)は、県における情報セキュリティ対策の基本的な考え方及び方策を定め、情報資産の機密性、完全性及び可用性を維持することを目的とする。
2 適用範囲
基本方針は、ネットワーク及び情報システムを開発し、運用し、又は利用する職員(教職員、非常勤職員及び臨時職員を含む。以下「職員」という。)並びにネットワーク及び情報システムの開発、運用等の業務を委託した事業者(以下「受託者」という。)並びに情報資産について適用する。
3 対策基準及び実施手順の策定
(1)基本方針に基づき、情報セキュリティ対策を具体的に実施するに当たっての遵守すべき事項及び判断等の基準として、「佐賀県情報セキュリティ対策基準(以下「対策基準」という。)」を別に策定するものとする。
(2)基本方針及び対策基準(以下「情報セキュリティポリシー」という。)に基づき、個々の情報システムについて具体的な手順等を定めた「佐賀県情報セキュリティ実施手順(各種手順及びマニュアルを含む。以下「実施手順」という。)」を別に策定するものとする。
(3)対策基準及び実施手順は、公開することにより県の行政運営に重大な支障を及ぼすおそれがあることから、非公開とする。
4 定義
基本方針において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1)ネットワーク
電子計算機(ハードウェア及びソフトウェア)を相互に接続する通信網
(2)情報システム
電子計算機、ネットワーク、記録媒体等で構成され、業務を処理するための仕組み
(3)情報資産
ア ネットワーク及び情報システム
イ ネットワーク及び情報システムの開発及び運用に係る情報(電磁的記録及び紙等の有体物に出力された情報)
ウ ネットワーク及び情報システムで取り扱う情報(電磁的記録及び紙等の有体物に出力された情報)
(4)情報セキュリティ
情報資産の機密性、完全性及び可用性を維持すること。
(5)機密性
許可された者のみがその許可された範囲内でのみ情報にアクセスできることを確実にすること。
(6)完全性
情報及びその処理方法が正確であること及び完全であることを保証すること。
(7)可用性
許可された者が必要なときに情報にアクセスできることを確実にすること。
5 職員等の義務
職員及び受託者は、情報セキュリティポリシーの目的を理解し、遵守しなければならない。
6 情報セキュリティ管理体制
情報セキュリティポリシーを遵守するため、管理体制を確立するものとする。
7 情報資産の分類
情報セキュリティ対策を実施するため、情報資産を重要性に応じて分類するものとする。
8 情報資産への脅威
情報資産に対して想定される脅威は、次のとおりである。
(1)部外者の侵入、不正アクセス等による情報資産の破壊、盗聴、盗難、改ざん、消去
(2)職員又は受託者による情報資産の持出、誤操作、アクセスのための認証情報又はパスワードの不適切管理、故意の不正アクセス又は不正行為による破壊、盗聴、盗難、改ざん、消去並びに未承認の端末接続によるデータ漏えい等
(3)コンピュータウィルス、地震、落雷、火災等の災害並びに事故、故障による行政サービス及び業務の停止
9 情報セキュリティ対策
情報資産を8の脅威から保護するため、次の情報セキュリティ対策を講ずるものとする。
(1)物理的セキュリティ対策
情報システムを設置する施設への不正な立入り、情報資産の破壊、盗難等の事故及び災害から保護するため、物理的対策を講ずる。
(2)人的セキュリティ対策
情報セキュリティに関する権限や責任及び遵守すべき事項を定め、職員及び受託者に周知徹底する等、十分な教育及び啓発が行われるよう、必要な人的対策を講ずる。
(3)技術的セキュリティ対策
情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術的対策を講ずる。
(4)運用におけるセキュリティ対策
情報資産の管理、情報セキュリティポリシーの遵守状況の把握及び監視並びに緊急時における危機管理対策等の運用における対策を講ずる。
10 監査
情報セキュリティが確保されていることを確認するため、定期的に監査を実施する。
11 評価及び見直し
情報セキュリティ監査の結果等により、情報セキュリティ対策の状況を評価するとともに、情報セキュリティを取り巻く状況の変化に対応するため、必要に応じて、基本方針、対策基準及び実施手順の見直しを実施する。
附則
この基本方針は、平成18年2月20日から施行する。