(目的)

第1条　この要綱は、和束町情報セキュリティに関する規則(平成21年規則第23号)に基づき、和束町(以下「本町」という。)における情報セキュリティ対策の具体的な遵守事項及び判断基準等を定めることを目的とする。

(情報セキュリティ委員会)

第2条　本町における情報セキュリティに関する最高意思決定は、和束町情報セキュリティ委員会(以下「委員会」という。)が行う。

(最高情報セキュリティ責任者)

第3条　本町に「最高情報セキュリティ責任者」(以下「CISO」という。)を置く。

(統括情報セキュリティ責任者)

第4条　本町に「統括情報セキュリティ責任者」を置く。

(情報セキュリティ管理者)

第5条　本町に「情報セキュリティ管理者」を置く。

(情報システム管理者)

第6条　統括情報セキュリティ責任者は、情報システムの運用、管理を行う「情報システム管理者」を指名し、情報システムを適切に管理しなければならない。

(情報システム担当者)

第7条　情報システム管理者の指示等に従い、情報システムの開発、設定の変更、運用、更新等の作業を行う者を、「情報システム担当者」とする。

(兼務の禁止)

第8条　情報セキュリティ対策の実施において、やむを得ない場合を除き、承認又は許可の申請を行う者とその承認者又は許可者は、同じ者が兼務してはならない。

(情報セキュリティに関する統一的な窓口の設置)

第9条　CISOは、情報セキュリティインシデントの統一的な窓口(以下「CSIRT(シーサート)」という。)の機能を有する組織を整備し、情報セキュリティインシデントについて課等より報告を受けた場合には、その状況を確認し、自らへの報告が行われる体制を整備する。

第10条　本町における情報資産は、重要性により、次の各号に掲げるとおり分類し、必要に応じ取扱制限を行うものとする。

(管理責任)

第11条　情報セキュリティ管理者は、その所管する情報資産について管理責任を有する。

(情報資産の分類の表示)

第12条　本町の業務に携わる全ての職員、非常勤職員及び臨時職員(以下「職員等」という。)は、情報資産について、ファイル(ファイル名、ファイルの属性(プロパティ)、ヘッダー・フッター等)、格納する電磁的記録媒体のラベル、文書の隅等に、情報資産の分類を表示し、必要に応じて取扱制限についても明示する等適切な管理を行わなければならない。

(情報の作成)

第13条　職員等は、業務上必要のない情報を作成してはならない。

(情報資産の入手)

第14条　庁内の者が作成した情報資産を入手した者は、入手元の情報資産の分類に基づいた取扱いをしなければならない。

(情報資産の利用)

第15条　情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。

(情報資産の保管)

第16条　情報セキュリティ管理者及び情報システム管理者は、情報資産の分類に従つて、情報資産を適切に保管しなければならない。

(情報の送信)

第17条　電子メール等により重要性Ⅱ以上の情報を送信する者は、必要に応じ暗号化又はパスワード設定を行わなければならない。

(情報資産の運搬)

第18条　車両等により重要性Ⅱ以上の情報資産を運搬する者は、必要に応じ鍵付きのケース等に格納し、暗号化又はパスワードの設定を行う等、情報資産の不正利用を防止するための措置を講じなければならない。

(情報資産の提供・公表)

第19条　重要性Ⅱ以上の情報資産を外部に提供する者は、必要に応じ暗号化又はパスワードの設定を行わなければならない。

(情報資産の廃棄)

第20条　重要性Ⅱ以上の情報資産を廃棄する者は、情報を記録している電磁的記録媒体が不要になつた場合、電磁的記録媒体の初期化等、情報を復元できないように処置した上で廃棄しなければならない。

(機器の取付け)

第21条　情報システム管理者は、サーバ等の機器の取付けを行う場合、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切に固定する等、必要な措置を講じなければならない。

(機器の電源)

第22条　情報システム管理者は、統括情報セキュリティ責任者及び施設管理部署と連携し、サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。

(通信ケーブル等の配線)

第23条　統括情報セキュリティ責任者及び情報システム管理者は、施設管理部署と連携し、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。

(機器の定期保守及び修理)

第24条　情報システム管理者は、重要性Ⅱ以上のサーバ等の機器の定期保守を実施しなければならない。

(庁外への機器の設置)

第25条　統括情報セキュリティ責任者及び情報システム管理者は、庁外にサーバ等の機器を設置する場合、CISOの承認を得なければならない。また、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。

(機器の廃棄等)

第26条　情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

(管理区域の構造等)

第27条　管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理並びに運用を行うための部屋(以下「電算室」という。)や電磁的記録媒体の保管庫をいう。

(管理区域の入退室管理等)

第28条　情報システム管理者は、管理区域への入退室を許可された者のみに制限し、ICカード、指紋認証等の生体認証や入退室管理簿の記載による入退室管理を行わなければならない。

(機器等の搬入出)

第29条　情報システム管理者は、搬入する機器等が既存の情報システムに与える影響について、あらかじめ職員又は委託した業者に確認を行わせなければならない。

第30条　統括情報セキュリティ責任者は、庁内の通信回線及び通信回線装置を、施設管理部署と連携し、適切に管理しなければならない。また、通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。

第31条　情報システム管理者は、盗難防止のため、執務室等で利用するパソコンのワイヤーによる固定、モバイル端末の使用時以外の施錠保管等の物理的措置を講じなければならない。電磁的記録媒体については、情報が保存される必要がなくなつた時点で速やかに記録した情報を消去しなければならない。

(情報セキュリティポリシー等の遵守)

第32条　職員等は、情報セキュリティポリシー及び実施手順を遵守しなければならない。

(業務以外の目的での使用の禁止)

第33条　職員等は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行つてはならない。

(外部における情報処理作業)

第34条　CISOは、重要性Ⅱ以上の情報資産を外部で処理する場合における安全管理措置を定めなければならない。

(支給以外のパソコン等の業務利用)

第35条　職員等は、支給以外のパソコン、モバイル端末及び電磁的記録媒体等を原則業務に利用してはならない。ただし、業務上必要な場合は、情報セキュリティ管理者の許可を得て利用することができる。

(持ち出し及び持込みの記録)

第36条　情報セキュリティ管理者は、端末等の持ち出し及び持込みについて、記録を作成し、保管しなければならない。

(セキュリティ設定変更の禁止)

第37条　職員等は、パソコンやモバイル端末のソフトウェアに関するセキュリティ機能の設定を情報セキュリティ管理者の許可なく変更してはならない。

(机上の端末等の管理)

第38条　職員等は、パソコン、モバイル端末、電磁的記録媒体及び情報が印刷された文書等について、第三者に使用されること又は情報セキュリティ管理者の許可なく情報を閲覧されることがないように、離席時のパソコン、モバイル端末のロックや電磁的記録媒体、文書等の容易に閲覧されない場所への保管等、適切な措置を講じなければならない。

(退職時等の遵守事項)

第39条　職員等は、異動、退職等により業務を離れる場合には、利用していた情報資産を、返却しなければならない。また、その後も業務上知り得た情報を漏らしてはならない。

(非常勤及び臨時職員への対応)

第40条　情報セキュリティ管理者は、非常勤及び臨時職員に対し、採用時に情報セキュリティポリシー等のうち、非常勤及び臨時職員が守るべき内容を理解させ、また、実施及び遵守させなければならない。

(情報セキュリティポリシー等の掲示)

第41条　情報セキュリティ管理者は、職員等が常に情報セキュリティポリシー及び実施手順を閲覧できるように掲示しなければならない。

(外部委託事業者に対する説明)

第42条　情報セキュリティ管理者は、ネットワーク及び情報システムの開発・保守等を外部委託事業者に発注する場合、外部委託事業者から再委託を受ける事業者も含めて、情報セキュリティポリシー等のうち外部委託事業者が守るべき内容の遵守及びその機密事項を説明しなければならない。

(情報セキュリティに関する研修・訓練)

第43条　CISOは、定期的に情報セキュリティに関する研修・訓練を実施しなければならない。

(研修計画の策定及び実施)

第44条　CISOは、幹部を含め全ての職員等に対する情報セキュリティに関する研修計画の策定とその実施体制の構築を定期的に行わなければならない。

(緊急時対応訓練)

第45条　CISOは、緊急時対応を想定した訓練を定期的に実施しなければならない。訓練計画は、ネットワーク及び各情報システムの規模等を考慮し、訓練実施の体制、範囲等を定め、効果的に実施できるようにしなければならない。

(研修・訓練への参加)

第46条　幹部を含めた全ての職員等は、定められた研修・訓練に参加しなければならない。

(庁内からの報告)

第47条　職員等は、情報セキュリティインシデントを認知した場合、速やかに情報セキュリティ管理者に報告しなければならない。

(住民等外部からの報告)

第48条　職員等は、本町が管理するネットワーク及び情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けた場合、情報セキュリティ管理者に報告しなければならない。

(原因の究明・記録、再発防止等)

第49条　統括情報セキュリティ責任者は、情報セキュリティインシデントを引き起こした部署の情報セキュリティ管理者と連携し、これらの情報セキュリティインシデント原因を究明し、記録を保存しなければならない。

(ICカード等の取扱い)

第50条　職員等は、自己の管理するICカード等に関し、次の各号に掲げる事項を遵守しなければならない。

(IDの取扱い)

第51条　職員等は、自己の管理するIDに関し、次の各号に掲げる事項を遵守しなければならない。

(パスワードの取扱い)

第52条　職員等は、自己の管理するパスワードに関し、次の各号に掲げる事項を遵守しなければならない。

(文書サーバの設定等)

第53条　情報システム管理者は、職員等が使用できる文書サーバの容量を設定し、職員等に周知しなければならない。

(バックアップの実施)

第54条　統括情報セキュリティ責任者及び情報システム管理者は、ファイルサーバ等に記録された情報について、サーバの冗長化対策に関わらず、必要に応じて定期的にバックアップを実施しなければならない。

(他団体との情報システムに関する情報等の交換)

第55条　情報システム管理者は、他の団体と情報システムに関する情報及びソフトウェアを交換する場合、その取扱いに関する事項をあらかじめ定め、統括情報セキュリティ責任者及び情報セキュリティ責任者の許可を得なければならない。

(システム管理記録及び作業の確認)

第56条　情報システム管理者は、所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。

(情報システム仕様書等の管理)

第57条　統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク構成図、情報システム仕様書について、記録媒体に関わらず、業務上必要とする者以外の者が閲覧したり、紛失等がないよう、適切に管理しなければならない。

(ログの取得等)

第58条　統括情報セキュリティ責任者及び情報システム管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。

(障害記録)

第59条　統括情報セキュリティ責任者及び情報システム管理者は、職員等からのシステム障害の報告、システム障害に対する処理結果又は問題等を、障害記録として記録し、適切に保存しなければならない。

(ネットワークの接続制御、経路制御等)

第60条　統括情報セキュリティ責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。

(外部の者が利用できるシステムの分離等)

第61条　情報システム管理者は、電子申請の汎用受付システム等、外部の者が利用できるシステムについて、必要に応じ他のネットワーク及び情報システムと物理的に分離する等の措置を講じなければならない。

(外部ネットワークとの接続制限等)

第62条　情報システム管理者は、所管するネットワークを外部ネットワークと接続しようとする場合には、CISO及び統括情報セキュリティ責任者の許可を得なければならない。

(複合機のセキュリティ管理)

第63条　統括情報セキュリティ責任者は、複合機を調達する場合、当該複合機が備える機能、設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適切なセキュリティ要件を策定しなければならない。

(特定用途機器のセキュリティ管理)

第64条　統括情報セキュリティ責任者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を実施しなければならない。

(無線LAN及びネットワークの盗聴対策)

第65条　統括情報セキュリティ責任者は、無線LANの利用を認める場合、解読が困難な暗号化及び認証技術の使用を義務付けなければならない。

(電子メールのセキュリティ管理)

第66条　統括情報セキュリティ責任者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。

(電子メールの利用制限)

第67条　職員等は、自動転送機能を用いて、電子メールを転送してはならない。

(電子署名・暗号化)

第68条　職員等は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、CISOが定めた電子署名、暗号化又はパスワード設定等、セキュリティを考慮して、送信しなければならない。

(無許可ソフトウェアの導入等の禁止)

第69条　職員等は、パソコンやモバイル端末に無断でソフトウェアを導入してはならない。

(機器構成の変更の制限)

第70条　職員等は、パソコンやモバイル端末に対し機器の改造及び増設・交換を行つてはならない。

(無許可でのネットワーク接続の禁止)

第71条　職員等は、統括情報セキュリティ責任者の許可なくパソコンやモバイル端末をネットワークに接続してはならない。

(業務以外の目的でのウェブ閲覧の禁止)

第72条　職員等は、業務以外の目的でウェブを閲覧してはならない。

(アクセス制御)

第73条　統括情報セキュリティ責任者又は情報システム管理者は、所管するネットワーク又は情報システムごとにアクセスする権限のない職員等がアクセスできないように、システム上制限しなければならない。

(利用者IDの取扱い)

第74条　統括情報セキュリティ責任者及び情報システム管理者は、利用者の登録、変更、抹消等の情報管理、職員等の異動、出向、退職者に伴う利用者IDの取扱い等の方法を定めなければならない。

(特権を付与されたIDの管理等)

第75条　統括情報セキュリティ責任者及び情報システム管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。

(職員等による外部からのアクセス等の制限)

第76条　職員等が外部から内部のネットワーク又は情報システムにアクセスする場合は、統括情報セキュリティ責任者及び当該情報システムを管理する情報システム管理者の許可を得なければならない。

(パスワードに関する情報の管理)

第77条　統括情報セキュリティ責任者又は情報システム管理者は、職員等のパスワードに関する情報を厳重に管理しなければならない。パスワードファイルを不正利用から保護するため、オペレーティングシステム等でパスワード設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。

(特権による接続時間の制限)

第78条　情報システム管理者は、特権によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。

(情報システムの調達)

第79条　統括情報セキュリティ責任者及び情報システム管理者は、システム開発、導入、保守等の調達に当たつては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。

(システム開発における責任者及び作業者の特定)

第80条　情報システム管理者は、システム開発の責任者及び作業者を特定しなければならない。また、システム開発のための規則を確立しなければならない。

(システム開発における責任者、作業者のIDの管理)

第81条　情報システム管理者は、システム開発の責任者及び作業者が使用するIDを管理し、開発完了後、開発用IDを削除しなければならない。

(システム開発に用いるハードウェア及びソフトウェアの管理)

第82条　情報システム管理者は、システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定しなければならない。

(システムの開発環境と運用環境の分離及び移行手順の明確化)

第83条　情報システム管理者は、システム開発・保守及びテスト環境からシステム運用環境への移行について、システム開発・保守計画の策定時に手順を明確にしなければならない。

(システム導入のテスト)

第84条　情報システム管理者は、新たにシステムを導入する場合、既に稼働しているシステムに接続する前に十分な試験を行わなければならない。

(システム開発・保守に関連する資料等の整備・保管)

第85条　情報システム管理者は、システム開発・保守に関連する資料及びシステム関連文書を適切に整備・保管しなければならない。

(情報システムにおける入出力データの正確性の確保)

第86条　情報システム管理者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。

(情報システムの変更管理)

第87条　情報システム管理者は、情報システムを変更した場合、プログラム仕様書等の変更履歴を作成しなければならない。

(開発・保守用のソフトウェアの更新等)

第88条　情報システム管理者は、開発・保守用のソフトウェア等を更新又はパッチの適用をする場合、他の情報システムとの整合性を確認しなければならない。

(システム更新又は統合時の検証等)

第89条　情報システム管理者は、システム更新・統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新・統合後の業務運営体制の検証を行わなければならない。

(統括情報セキュリティ責任者の措置事項)

第90条　統括情報セキュリティ責任者は、不正プログラム対策として、次の各号に掲げる事項を措置しなければならない。

(情報システム管理者の措置事項)

第91条　情報システム管理者は、不正プログラム対策に関し、次の各号に掲げる事項を措置しなければならない。

(職員等の遵守事項)

第92条　職員等は、不正プログラム対策に関し、次の各号に掲げる事項を遵守しなければならない。

(専門家の支援体制)

第93条　統括情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。

(統括情報セキュリティ責任者の措置事項)

第94条　統括情報セキュリティ責任者は、不正アクセス対策として、次の各号に掲げる事項を措置しなければならない。

(攻撃の予告)

第95条　CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受けることが明確になつた場合、システムの停止を含む必要な措置を講じなければならない。また、関係機関と連絡を密にして情報の収集に努めなければならない。

(記録の保存)

第96条　CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。

(内部からの攻撃)

第97条　統括情報セキュリティ責任者及び情報システム管理者は、職員等及び外部委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。

(職員等による不正アクセス)

第98条　統括情報セキュリティ責任者及び情報システム管理者は、職員等による不正アクセスを発見した場合は、当該職員等が所属する課等の情報セキュリティ管理者に通知し、適切な処置を求めなければならない。

(サービス不能攻撃)

第99条　統括情報セキュリティ責任者及び情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。

(標的型攻撃)

第100条　統括情報セキュリティ責任者及び情報システム管理者は、情報システムにおいて、標的型攻撃による内部への侵入を防止するために、教育や自動再生無効化等の人的対策や入口対策を講じなければならない。また、内部に侵入した攻撃を早期検知して対処するために、通信をチェックする等の内部対策を講じなければならない。

(セキュリティホールに関する情報)

第101条　統括情報セキュリティ責任者及び情報システム管理者は、セキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。

(不正プログラム等に関する情報)

第102条　統括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。

(情報セキュリティに関する情報)

第103条　統括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、情報セキュリティに関する社会環境や技術環境等の変化によつて新たな脅威を認識した場合は、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。

第104条　統括情報セキュリティ責任者及び情報システム管理者は、セキュリティに関する事案を検知するため、情報システムを常時監視しなければならない。

(遵守状況の確認及び対処)

第105条　情報セキュリティ管理者は、情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合には、速やかにCISO及び統括情報セキュリティ責任者に報告しなければならない。

(パソコン等の利用状況調査)

第106条　CISO及びCISOが指名した者は、不正アクセス、不正プログラム等の調査のために、職員等が使用しているパソコン、モバイル端末及び電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。

(職員等の報告義務)

第107条　職員等は、情報セキュリティポリシーに対する違反行為を発見した場合、直ちに統括情報セキュリティ責任者及び情報セキュリティ管理者に報告を行わなければならない。

(緊急時対応計画の策定)

第108条　CISOは、情報セキュリティインシデント、情報セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合において連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適切に実施するために、緊急時対応計画を定めておき、セキュリティ侵害時には当該計画に従つて適切に対処しなければならない。

(緊急時対応計画に盛り込むべき内容)

第109条　緊急時対応計画には、次の各号に掲げる内容を定めなければならない。

(業務継続計画との整合性確保)

第110条　自然災害、大規模・広範囲にわたる疾病等に備えて別途業務継続計画を策定し、CISOは当該計画と情報セキュリティポリシーの整合性を確保しなければならない。

(緊急時対応計画の見直し)

第111条　CISOは、情報セキュリティを取り巻く状況の変化や組織体制の変動等に応じ、必要に応じて緊急時対応計画の規定を見直さなければならない。

(例外措置の許可)

第112条　情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し又は遵守事項を実施しないことについて合理的な理由がある場合には、CISOの許可を得て、例外措置を取ることができる。

(緊急時の例外措置)

第113条　情報セキュリティ管理者及び情報システム管理者は、行政事務の遂行に緊急を要する等の場合であつて、例外措置を実施することが不可避のときは、事後速やかにCISOに報告しなければならない。

(例外措置の申請書の管理)

第114条　CISOは、例外措置の申請書及び審査結果を適切に保管し、定期的に申請状況を確認しなければならない。

第115条　職員等は、職務の遂行において使用する情報資産を保護するために、次の各号に掲げる法令のほか関係法令を遵守し、これに従わなければならない。

(懲戒処分)

第116条　情報セキュリティポリシーに違反した職員等及びその監督責任者は、その重大性、発生した事案の状況等に応じて、地方公務員法(昭和25年法律第261号)による懲戒処分の対象とする。

(違反時の対応)

第117条　職員等の情報セキュリティポリシーに違反する行動を確認した場合には、速やかに次の各号に掲げる措置を講じなければならない。

(外部委託事業者の選定基準)

第118条　情報セキュリティ管理者は、外部委託事業者の選定に当たり、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。

(契約項目)

第119条　情報システムの運用、保守等を外部委託する場合には、外部委託事業者との間で必要に応じて次の各号に掲げる情報セキュリティ要件を明記した契約を締結しなければならない。

(確認・措置等)

第120条　情報セキュリティ管理者は、外部委託事業者において必要なセキュリティ対策が確保されていることを定期的に確認し、必要に応じ、前条の契約に基づき措置しなければならない。また、その内容を統括情報セキュリティ責任者に報告するとともに、その重要度に応じてCISOに報告しなければならない。

(約款による外部サービスの利用に係る規定の整備)

第121条　情報セキュリティ管理者は、以下を含む約款による外部サービスの利用に関する規定を整備しなければならない。また、当該サービスの利用において、重要性Ⅱ以上の情報が取り扱われないように規定しなければならない。

(約款による外部サービスの利用における対策の実施)

第122条　職員等は、利用するサービスの約款、その他提供条件から、利用に当たつてのリスクが許容できることを確認した上で約款による外部サービスの利用を申請し、適切な措置を講じた上で利用しなければならない。

第123条　情報セキュリティ管理者は、本町が管理するアカウントでソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関する次の各号に掲げる事項を含めたソーシャルメディアサービス運用手順を定めなければならない。

(監査の実施方法)

第124条　CISOは、情報セキュリティ監査統括責任者を指名し、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、毎年度及び必要に応じて監査を行わせなければならない。

(監査を行う者の要件)

第125条　情報セキュリティ監査統括責任者は、監査を実施する場合には、被監査部署から独立した者に対して、監査の実施を依頼しなければならない。

(監査実施計画の立案及び実施への協力)

第126条　情報セキュリティ監査統括責任者は、監査を行うに当たつて、監査実施計画を立案し、CISOの承認を得なければならない。

(外部委託事業者に対する監査)

第127条　外部委託事業者に委託している場合、情報セキュリティ監査統括責任者は外部委託事業者から下請として受託している事業者も含めて、情報セキュリティポリシーの遵守について監査を定期的に、又は必要に応じて行わなければならない。

(監査報告)

第128条　情報セキュリティ監査統括責任者は、監査結果を取りまとめ、CISO及び委員会に報告する。

(保管)

第129条　情報セキュリティ監査統括責任者は、監査の実施を通して収集した監査証拠及び監査報告書の作成のための監査調書を、紛失等が発生しないように適切に保管しなければならない。

(監査結果への対応)

第130条　CISO及び委員会は、監査結果を踏まえ、指摘事項を所管する情報セキュリティ管理者に対し、当該事項への対処を指示しなければならない。また、指摘事項を所管していない情報セキュリティ管理者に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。

(情報セキュリティポリシー及び関係規程等の見直し等への活用)

第131条　CISO及び委員会は、監査結果を情報セキュリティポリシー及び関係規程等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

(自己点検の実施方法)

第132条　統括情報セキュリティ責任者及び情報システム管理者は、所管するネットワーク及び情報システムについて、毎年度及び必要に応じて自己点検を実施しなければならない。

(自己点検報告)

第133条　統括情報セキュリティ責任者及び情報システム管理者は、自己点検結果と自己点検結果に基づく改善策を取りまとめ、CISO及び委員会に報告しなければならない。

(自己点検結果の活用)

第134条　職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。

第135条　CISO及び委員会は、情報セキュリティ監査及び自己点検の結果並びに情報セキュリティに関する状況の変化等をふまえ、情報セキュリティポリシー及び関係規程等について、毎年度及び重大な変化が発生した場合に評価を行い、必要があると認めたときは、改善を行うものとする。