情報セキュリティ基本方針

第1条 目的

 公益財団法人福岡県下水道管理センター情報セキュリティ基本方針(以下、「基本方針」という。)は、公益財団法人福岡県下水道管理センター(以下、管理センターという)の保有する情報資産の機密の保持及び正確性、完全性の維持を確保するため、情報資産の取り扱いと情報セキュリティ対策の基本的な考え方及び方策を定め、管理センターにおける情報資産の管理を徹底することを目的とする。

第2条 適用範囲

 基本方針の適用範囲は、本社及び各浄化センターとする。

第3条 用語の定義

  1. 情報セキュリティ
    情報資産の機密の保持及び正確性、完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。
  2. 情報資産
    情報システム及び情報システムの開発と運用に係る全てのデータ並びに情報システムで取り扱う全てのデータをいう。
  3. 情報システム
    電子計算機またはネットワークを用いて事務処理を行うための情報処理の体系をいう。
  4. ネットワーク
    電子計算機、関連機器等の多目的利用及び各種オンラインシステムのデータ伝送を目的として構築された情報通信基盤をいう。

第4条 職員等の義務

 すべての職員(非常勤職員及び臨時職員を含む。以下、「職員等」という。)に対して基本方針の趣旨を理解・認識し、遵守させるため必要な措置を講じる。また外部委託業者および外郭団体に対しても、契約を通じて、または別途取決めを行うことにより基本方針を遵守させるための必要な措置を講じる。

第5条 情報セキュリティ管理体制

 管理センターの保有する情報資産について、各所属の長が率先して情報セキュリティ対策を推進・管理するための体制を確立するものとする。

第6条 情報資産の分類

 情報資産については、その重要度に応じて分類を行う。

第7条 情報資産への脅威

  1. 情報資産に対する脅威の発生度合や発生した場合の影響を考慮すると、特に認識すべき脅威は以下のとおりである。
    • (1)部外者による故意の不正アクセスまたは不正操作によるデータやプログラムの持出・盗聴・改ざん・消去、機器及び媒体の盗難、故意の障害発生行為によるサービスの停止等
    • (2)職員等及び外部委託業者による意図しない操作、故意の不正アクセスまたは不正操作によるデータやプログラムの持出・盗聴・改ざん・消去、機器及び媒体の盗難及び規定外の端末接続によるデータ漏洩等
    • (3)地震、落雷、火災等の災害並びに事故、故障等によるサービスの停止
  2. これらの脅威を十分認識した上で、情報資産の分類の後、各々の情報資産に対する脅威の洗出しを行なうものとする。

第8条 情報セキュリティ対策

 前条の洗出しにより明確になった脅威から情報資産を保護するために、以下のセキュリティ対策を講ずるものとする。

  1.  物理的セキュリティ対策
    情報システムを設置する施設への不正な立入り、情報資産への損傷・妨害等から保護するために物理的な対策を講ずる。
  2. 人的セキュリティ対策
    情報セキュリティに関する権限や責任を定め、職員等に基本方針及び情報セキュリティに関する法令等の内容を周知徹底する等、十分な教育および啓発が行われるよう必要な対策を講ずる。
  3. 技術的セキュリティ対策
    情報資産を外部からの不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策を講ずる。
  4. 運用におけるセキュリティ対策
    情報セキュリティに関する法令等及び基本方針の遵守状況の確認等の運用面の対策を講ずる。また、緊急事態が発生した場合に迅速な対応を可能とするための危機管理対策を講ずる。

第9条 情報セキュリティ対策基準の策定

 前条の対策を講ずるに当たって、遵守すべき行為および判断等の基準を統一的に定めるため、必要となる基本的な要件を明記した「情報セキュリティ対策基準」(以下、「対策基準」という。)を策定するものとする。

第10条 情報セキュリティ実施手順の策定

 基本方針及び対策基準を遵守して情報セキュリティ対策を実施するため、個々の情報システムについて、具体的な実施手順を明記した「情報セキュリティ実施手順」(以下、「実施手順」という。)を策定するものとする。

第11条 職員の教育

 基本方針及び対策基準の職員等への浸透と情報セキュリティ意識の向上のため、情報セキュリティに関する教育プログラムを策定し、それを実施する。

第12条 違反への対応

 基本方針及び対策基準等関係規定に違反した場合は、管理センター規定若しくは地方公務員法等に基づき、懲戒処分等の対象とする。

第13条 情報セキュリティ実施状況の検証

 基本方針及び対策基準が遵守されていることを確認するため、定期的に情報セキュリティ実施状況の検証を行う。

第14条 評価及び見直しの実施

 情報セキュリティ実施状況の検証結果等を踏まえるとともに、情報セキュリティを取り巻く状況の変化に対応するために、基本方針、対策基準及び実施手順の見直しを適宜行う。

TO TOP