(1)　情報セキュリティ基本方針　一定の普遍性を持った部分

(2)　情報セキュリティ対策基準　セキュリティに関する社会状況の変化を的確に反映させるべき部分

(1)　ID　利用者を識別するための記号をいう。

(2)　パスワード　正当な利用者であることを認証するために使用される秘密の文字列情報をいう。

(3)　アクセス　電子計算組織及び情報システムを通じて、データの参照、変更等を行うことをいう。

(4)　ログ　電子計算組織及び情報システムの使用記録をいう。

(5)　バックアップ　ソフトウェア及びデータの滅失又は毀損に備え、当該データの複製を行うことをいう。

(6)　情報通信機器　コンピュータ、ネットワーク及びこれらの運用に必要な機器をいう。

(7)　ウイルス　電子計算組織に侵入し、情報システムの正常な動作を意図的に妨げるプログラムをいう。

(8)　サーバ　ネットワーク上で、データの共有、印字出力、通信制御等のサービスを端末機に対して提供するコンピュータをいう。

(9)　ウェブページ　インターネット又はイントラネット上で公開されている文字、画像、音声データ等から構成される文書をいう。

(10)　基本ソフトウェア　コンピュータを動かすための基本的なソフトウェアをいう。

(11)　ミドルウェア　基本ソフトウェア上で動作し、アプリケーションソフトウェアに対して、基本ソフトウェアよりも高度で具体的な機能を提供するソフトウェアをいう。

(1)　部外者による故意の不正アクセス又は不正操作によるデータ若しくはプログラムの持出し、盗聴、改ざん、消去並びに機器及び記録媒体の盗難等

(2)　職員及び外部委託者による意図しない操作、故意の不正アクセス又は不正操作によるデータ若しくはプログラムの持出し、盗聴、改ざん、消去、機器及び記録媒体の盗難並びに電子計算組織の誤接続等によるデータの漏えい等

(3)　地震、落雷、火災等の災害又は事故を原因とする故障等によるシステムダウン

(1)　物理的セキュリティ対策　情報通信機器を設置する場所への不正な立入り、損傷及び盗難等から情報通信機器を保護するための入退室管理等の物理的な対策

(2)　人的セキュリティ対策　情報セキュリティに関する権限及び責任の決定、職員研修又は啓発による情報セキュリティポリシーの周知徹底及び違反者に対するアクセス規制等の適切な措置

(3)　技術及び運用におけるセキュリティ対策　アクセス制御、ウイルス対策ソフトウェアの導入及びログ確認等の技術面の対策並びに定期的かつ計画的な保守又は監視、情報セキュリティポリシーの遵守状況に係る各種記録の作成及び緊急事態の発生に対応可能な連絡体制の構築等の制度運用面の対策

(1)　アクセス管理機能を備えるとともに、ログを管理すること。

(2)　重要度に応じて、情報通信機器の二重化等、運用に係る環境を考慮すること。

(3)　部外者が利用できる機能については、職員等が利用する機能から物理的に分離する等、情報セキュリティの確保に必要な措置を施すこと。

(4)　事故、障害等からの復旧のため、ソフトウェア、データ等のバックアップの取得方法を考慮すること。

(5)　計画的な保守を行うこと。この場合において、情報セキュリティに重大な影響があると予想される障害に対しては、速やかに対処すること。

(6)　運用環境と切り離す等、運用に支障をきたすことのない環境で情報システムの開発を行うこと。

(7)　ウイルスの感染を防ぐために必要な措置が講じられた環境で情報システムの開発を行うこと。

(8)　テストデータは、厳重に管理し、盗難又は流出を避けること。

(9)　開発・保守担当者からの報告及び連絡は、随時かつ的確に受けること。

(1)　バックアップメディアは、異なる場所に保管する等の二重化を図ること。

(2)　事前に復旧の手順を定め、迅速な対応を可能とすること。

(3)　情報システムが長期停止した場合においても、業務の進行ができるように、手作業による業務マニュアルを定めておくこと。

(1)　良好な稼動を確保するため十分な点検を実施すること。

(2)　開発及び保守環境から運用環境への移行作業は、限られた者だけに行わせる等、適切に管理すること。

(1)　情報セキュリティの確保上、問題となる恐れのある基本ソフトウェア及びミドルウェア等を使用しないこと。

(2)　基本ソフトウェア、ミドルウェア等の設定については、不正アクセスを防ぐための措置を執ること。

(3)　基本ソフトウェア、ミドルウェア等については、適切なセキュリティを確保するため、最新の修正プログラムを適用する等の措置を執ること。

(4)　前号の修正プログラムを適用するときは、当該サーバで稼動する情報システムに影響を与えることのないよう注意すること。

(5)　基本ソフトウェア、ミドルウェア等の設定の変更を行うときは、バックアップを取ること。

(6)　ウイルス対策ソフトウェアの導入その他ウイルス対策に努めること。

(1)　温度、湿度、塵あい等の環境の影響を可能な限り排除した場所に設置すること。

(2)　必要に応じ、容易に取り外せない等、適切な措置を施すこと。

(3)　機器を適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けること。

(1)　地震発生時の被害を極小化するよう考慮すること。

(2)　部外者がサーバ等を操作できないような措置を講じること。

(3)　配線は、損傷等を受けないように必要な措置を施すこと。

(4)　サーバ等の配置は、緊急時に入室者が円滑に避難できるよう配慮すること。

(1)　取り出し可能な記録媒体は、盗難や損傷の防止のため適切に保管すること。

(2)　記録媒体が不要となった場合は、記録媒体の初期化その他データを復元できないような処理を行った上で破棄すること。

(3)　業務上やむを得ず記録媒体を持ち出す場合は、管理簿を設ける等、適切に管理すること。

(1)　ウイルス対策ソフトウェアの導入その他ウイルス対策を行うこと。

(2)　基本ソフトウェア及びその設定等について、不正アクセス防止措置を行うこと。

(3)　端末機に導入したソフトウェアについては、セキュリティ修正プログラムを使う等、適切なセキュリティが保たれるよう常に最新のセキュリティ状態を保つこと。

(4)　業務に必要でないハードウェア及びソフトウェアは導入しないこと。

(1)　他のネットワークと接続する場合には、ファイアウォール、プロキシサーバ等の機器を用いてネットワークを適切に保護すること。

(2)　ネットワークの構築、運用及び保守にあたっては、情報漏えい等のおそれがないように、その業務に従事する者に対して守秘義務を課すること。

(3)　停電等に対してネットワーク機器を保護するための措置を講じること。

(1)　接続先のネットワーク及び機器の構成、セキュリティレベル等を詳細に検討し、庁内ネットワーク、情報システムその他データ等に影響が生じないことを確認すること。

(2)　接続先のネットワークとの管理区分を明確化すること。この場合において、当該ネットワークのセキュリティに問題が認められ、市のデータ等に支障が生じることが想定される場合には、速やかに接続を遮断すること。

(1)　設定又は変更等の作業を行ったときは、その処理について記録を作成するとともに、これを適切に管理すること。

(2)　アクセス記録等の情報は、窃取、改ざん又は消去されないような措置を施すとともに、一定の期間保存すること。

(1)　情報通信機器の設置及び保管にあたっては、次に掲げる事項を遵守し、適切な管理を行うこと。

(2)　フロッピーディスク、ハードディスク等の記録媒体については、次の点に留意し、管理すること。

(3)　業務上やむを得ない理由で執務室外に情報通信機器を持ち出そうとする場合は、システム所管課の長の承認を受けること。この場合において、管理簿を設ける等、適切に管理すること。

(4)　前号の規定により執務室外に持ち出した情報通信機器を他のネットワークに接続しないこと。

(5)　持ち出した情報通信機器に盗難、紛失、破損等の事故が生じたときは、当該持ち出した課等の責任において復旧すること。

(6)　不要になった情報通信機器をシステム所管課の長に返却する場合は、データの消去等、必要な処置を市長が別に定める手続により実施すること。

(1)　パスワードを秘密にするとともに、照会等には一切応じないこと。

(2)　情報通信機器にパスワードを記憶させたり、パスワードのメモを作らないこと。

(3)　パスワードは想像しにくいものとすること。

(4)　パスワードは、定期的に変更するとともに、漏えい等のおそれがある場合には、速やかにこれを変更すること。

(5)　新たに発行されたパスワードは、最初のログイン時点で変更すること。