利根沼田広域市町村圏振興整備組合情報セキュリティ管理規程

第１条　この規程は、情報システムの適正な管理運営及び情報セキュリティの確保を図るために必要な事項を定めるものとする。

第２条　この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

（１）ネットワーク　各所属等の業務で利用する電子計算機等を相互に接続するための通信網及びその構成機器で一体的に情報処理を行う仕組みをいう。

（２）情報システム　電子計算機単体又はネットワークにより情報処理を行う仕組みをいう。

（３）情報資産　情報システム並びに情報システムの開発、運用及び保守に係る全ての情報並びに情報システムで取り扱う全ての情報をいう。

（４）情報セキュリティ　情報資産の機密を保持し、正確性及び完全性を維持し、並びに定められた範囲で利用可能な状態を維持することをいう。

第３条　ネットワーク、情報システム及び情報資産を総括的に管理し、情報セキュリティ対策を総合的に実施するため、最高情報統括責任者を置き、理事長部局は事務局長、消防長部局は消防長をもってこれに充てる。

第４条　最高情報統括責任者を補佐し、及びネットワークを管理するため、ネットワーク管理者を置き、理事長部局は事務局次長、消防長部局は総務課長をもってこれに充てる。

第５条　各所属の情報セキュリティ対策を総括するため、各所属に統括情報セキュリティ担当者を置き、各所属の長をもってこれに充てる。

第６条　各所属の情報資産を管理し、当該情報資産に係る情報セキュリティを確保するため、情報セキュリティ担当者を置き、各所属の長が指定する職員をもってこれに充てる。

第７条　情報システムの管理を適正に行うため、当該情報システムを管理する各所属に情報システム管理者を置き、情報システムを管理する各所属の長をもってこれに充てる。

第８条　情報システムの使用を適正に行うため、当該情報システムを使用する各所属に情報システム使用責任者を置き、情報システムを使用する各所属の長が指定する職員をもってこれに充てる。

第９条　情報システムの開発、運用等の作業を行うため、情報システム担当者を置き、情報システム管理者が指定する係長以下の職員をもってこれに充てる。

第10条　情報資産の保護その他の適正な管理を推進するため、情報セキュリティ対策委員会（以下「委員会」という。）を置く。

２　委員会は、最高情報統括責任者、ネットワーク管理者、統括情報セキュリティ担当者、理事長部局は事務局企画係長及び事務局庶務係長、消防長部局は総務課庶務係長及び総務課経理係長をもって組織し、最高情報統括責任者が主宰する。

３　最高情報統括責任者に事故があるとき又は欠けたときは、最高情報統括責任者があらかじめ指名した者がこれを代理する。

４　最高情報統括責任者は、必要があると認めるときは、委員会に関係職員を出席させることができる。

５　委員会の庶務は、理事長部局は事務局企画係、消防長部局は総務課庶務係において処理する。

第11条　情報システム管理者は、所管する情報資産を別表に掲げる分類に区分する。

第12条　情報システム管理者は、前条に規定する重要性分類に応じた適切な管理に努めなければならない。

２　情報資産の複製、外部への持ち出し等をする場合は、事前に当該情報資産を管理する情報システム管理者の許可を得なければならない。

第13条　情報システム管理者は、データを記録している記録媒体の管理について、施錠して保管した上で、必要に応じて予備ファイルを作成して別個の場所に保管する等必要な措置を講じなければならない。

第14条　情報資産を記録した記録媒体が不要となった場合は、当該情報資産を復元できないよう処理を行った上で廃棄しなければならない。

２　重要性分類Ⅰ又は重要性分類Ⅱに分類される情報資産を記録した記録媒体の廃棄は、情報セキュリティ担当者の許可を得なければならない。

第15条　ネットワーク管理者又は情報システム管理者は、情報システム及び情報資産を保護するため、次に掲げる対策を講じなければならない。

（１）情報システムを設置した場所への立ち入り又は情報資産の持ち出し若しくは破壊等の物理的な侵害から情報資産を保護するための物理的セキュリティ対策

（２）情報セキュリティ対策の実施体制の整備及び周知徹底をはじめとした情報資産を取り扱う職員に対する教育等の人的セキュリティ対策

（３）情報資産に対する不正アクセスの防止、コンピューターウイルス対策等の技術的なセキュリティ対策

第16条　職員（利根沼田広域市町村圏振興整備組合に属する職員で地方公務員法（昭和25年法律第261号）第３条に規定する一般職及び特別職をいう。以下同じ。）は、情報セキュリティの重要性について認識し、情報資産を適切に取り扱わなければならない。

２　職員は、第３者に情報機器又は記録媒体を使用されること又は情報資産を閲覧されることがないよう適切な措置を講じなければならない。

３　パスワード、ＩＣカード情報等を付与又は貸与されている職員は、これを適正に管理しなければならない。

第17条　ネットワーク管理者は、職員が情報セキュリティの重要性を正しく理解し、これを確実に遵守できるようにするため、これに関する研修を行うものとする。

第18条　ネットワーク管理者は、事故等の報告を受けたとき又は事故等を発見したときは、事故等の内容を調査し、必要な対策を講じなければならない。

第19条　ネットワーク管理者及び情報システム管理者は、情報システム及びネットワークの管理を行わなければならない。

２　職員は、定められた目的以外に情報システムを使用してはならない。

３　ネットワーク管理者は、アクセス記録の取得及び保存を適切に行わなければならない。

４　職員は、ネットワーク管理者に許可を得なければ、新たに端末機器をネットワークに接続してはならない。

５　職員は、情報システム管理者が認めた場合を除き、情報システムを構成する機器の増設、交換等を行ってはならない。

第20条　ネットワーク管理者は、ネットワークごとにアクセスできる者を定めなければならない。

２　情報システム管理者は、情報システムの利用者の登録、変更及び抹消(以下「登録等」という。)を行わなければならない。

３　情報システム管理者は、登録等を行った場合においては、ネットワーク管理者に報告しなければならない。

第21条　情報システム管理者は、情報システムの開発、変更又は廃止を行うときは、あらかじめネットワーク管理者と協議しなければならない。ただし、全所属に関わる情報システムの開発を行うときは、ネットワーク管理者及び最高情報統括責任者と協議しなければならない。

第22条　ネットワーク管理者は、コンピュータウィルスの感染の防止等データの保護のために必要な措置を講じなければならない。

第23条　ネットワーク管理者は、不正アクセスを防止するため、システムの停止を含む必要な処置を講じなければならない。

２　ネットワーク管理者は、各所属内ネットワークと外部ネットワーク等を接続するときは、ネットワーク侵入監視装置を設置し、外部ネットワーク等からの不正なアクセスを防止しなければならない。

第24条　ネットワーク管理者は、適時、情報セキュリティに関する情報の収集をするとともに、職員に当該情報についての啓発及び注意喚起を行うものとする。

第25条　ネットワーク管理者は、不正な情報機器等の接続及び通信回線の障害を検知するため必要に応じてネットワークを監視するものとする。

２　監視記録結果については、消去防止等必要な措置を行った後、安全な場所に保管しなければならない。

第26条　情報セキュリティ担当者は、情報セキュリティに関する規程等の遵守状況について、確認するものとする。

２　情報セキュリティ担当者は、前項に対する違反を発見した場合は、適切な処置を行うものとする。

第27条　ネットワーク管理者及び情報システム管理者は、情報システム及びネットワークへの侵害を発見した場合、適切に対処しなければならない。

第28条　理事長は、必要に応じて情報セキュリティ管理体制の見直しを行うものとする。

第29条　この規程に定めるもののほか、必要な事項は、委員会が別に定める。

重要性分類Ⅰ	情報セキュリティが侵害されることにより、住民の生命、財産、プライバシー等へ重大な影響を及ぼす情報資産
重要性分類Ⅱ	情報セキュリティが侵害されることにより、行政事務の執行等へ重大な影響を及ぼす情報資産
重要性分類Ⅲ	情報セキュリティが侵害されることにより、行政事務の執行等へ軽微な影響を及ぼす情報資産
重要性分類Ⅳ	重要性分類Ⅰ、Ⅱ及びⅢ以外の情報資産