城陽市情報セキ
対策基準
成
日
策
定
成
日
全部改訂
成
日
一部改訂
城陽市
総
部
目次
. 対象範 ... 1
. 組織体 ... 1
. 情報資産 類 管理方法 ... 5
. 脅威 対策方法 ... 8
. . 物理的セキ ... 8
. . . 等 管理 ... 8
. . . 管理区域 ン室等 管理 ... 10
. . . 通信回線及び通信回線装置 管理 ... 10
. . . 職員等 ソ ン等 管理 ... 11
. . 人的セキ ... 11
. . . 職員等 遵 ... 11
. . . 修 訓練 ... 13
. . . 情報セキ ン ン 報告 ... 13
. . . ID及び ワ 等 管理 ... 14
. . 術的セキ ... 15
. . . ン 及びネッ ワ 管理 ... 15
. . . セ 御 ... 19
. . . 開 入 保 等 ... 20
. . . 対策 ... 22
. . . セ 対策... 23
. . . セキ 情報 集 ... 24
. 運用方法 ... 24
. . 情報 監視 ... 24
. . 情報セキ 遵 状況 確認 ... 25
. . 侵害時 対応 ... 25
. . 例外措置 ... 26
. . ソ 利用 ... 27
. . 法 遵 ... 27
. . 懲戒処 等 ... 27
. 評価 見直 方法 ... 28
. . 監査 ... 28
. . 自己 検 ... 29
1
. 対象範
適用機関 範
対策基準 市 情報資産 係 機関及び外部委 業者等 含 全 機関 適用
情報資産 範
対策基準 対象 情報資産 次
ネッ ワ 及び情報 関 設備 機器及び外部 録媒体 情報
ネッ ワ 及び情報 扱う情報 印 文書 含
情報 様書及びネッ ワ 等 関連文書
. 組織体
最高情報統括責任者(CIO Chief Information Officer)
情報担当副市長 最高情報統括責任者 CIO いう 情報通信 術 活用
民 利便性 向 及び行 運営改善等 関 統括 情報担当副市長 除 副
市長 い 副CIO CIO 補 行う CIO 在 CIO 責 負う
CIO 必要 応 情報通信 術 活用 民 利便性 向 及び行 運営改善等 関
専門的 知識及び経験 専門家 置
最高情報セキ 責任者(CISO Chief Information Security Officer)
情報担当副市長 最高情報セキ 責任者 CISO いう CISO
市 全 ネッ ワ 情報 等 情報資産 管理及び情報セキ 対策
関 最終決定権限及び責任 情報担当副市長 除 副市長 い 副 CISO
CISO 補 行う CISO 在 CISO 責 負う
CISO 必要 応 情報セキ 関 専門的 知識及び経験 専門家
置
統括情報セキ 責任者
情報担当部長 CISO直属 統括情報セキ 責任者 統括情報セキ 責任者
CISO 補 い
情報担当次長 い 副統括情報セキ 責任者 統括情報セキ 責任者
補 行う 統括情報セキ 責任者 在 統括情報セキ 責任者
責 負う
統括情報セキ 責任者 市 全 ネッ ワ い 開 設定 変更 運用
見直 等 行う統括的 権限及び責任
統括情報セキ 責任者 市 全 ネッ ワ い 情報セキ 対策 関
統括的 権限及び責任
統括情報セキ 責任者 情報セキ 責任者 統括情報セキ 管理者 情報
セキ 管理者 情報セキ 担当者 対 情報セキ 関 指 及び
言 行う権限
統括情報セキ 責任者 市 情報資産 対 侵害 生 場合又 侵害
あ 場合 CISO 指示 従い CISO 在 場合 自 断 基 必要 十
2
統括情報セキ 責任者 市 共通的 ネッ ワ 情報 及び情報資産 関
情報セキ 実施手 維持 管理 行う権限及び責任
統括情報セキ 責任者 緊急時等 滑 情報共 CISO 統括情報セキ
責任者 情報セキ 責任者 統括情報セキ 管理者 情報セキ 管理
者 情報セキ 担当者等 網羅 連絡体 整備 い
統括情報セキ 責任者 緊急時 CISO 急 報告 行う 回復
対策 講 い
情報セキ 責任者
各部等(消防 部 消防署 営企業含 )及び行 委員会 局 長 情報セキ 責任者
次長 い 副情報セキ 責任者 情報セキ 責任者 補 行う
情報セキ 責任者 在 情報セキ 責任者 責 負う
情報セキ 責任者 当 部局等 情報セキ 対策 関 統括的 権限及び責任
情報セキ 責任者 所管 部局等 い 所 い 情報 開
設定 変更 運用 見直 等 行う統括的 権限及び責任
情報セキ 責任者 所管 部局等 い 所 い 情報 い
緊急時等 連絡体 整備 情報セキ 遵 関 意見 集約及び職
員等 職員 非常勤職員 臨時職員及び 業 従 者 いう 対 教育
訓練 言及び指示 行う
統括情報セキ 管理者
情報担当課長等 統括情報セキ 管理者 統括情報セキ 管理者 統括情
報セキ 責任者 補 い
統括情報セキ 管理者 市 全 ネッ ワ い 開 設定 変更 運用
見直 等 行う権限及び責任
統括情報セキ 管理者 市 全 ネッ ワ い 情報セキ 対策 関
権限及び責任
情報セキ 管理者
各所属 長 情報セキ 管理者
情報セキ 管理者 所管 課 等 情報セキ 対策 関 権限及び責任
情報セキ 管理者 所掌 課等 い 情報資産 対 侵害 生 場合
又 侵害 あ 場合 統括情報セキ 管理者及び情報セキ 責任者及
びCISO 速 報告 行い 指示 仰 い
情報セキ 管理者 所管 情報 開 設定 変更 運用 見直 等
行う権限及び責任
情報セキ 管理者 所管 情報 情報セキ 関 権限及び
責任
情報セキ 管理者 所管 情報 係 情報セキ 実施手 維持 管
3
情報セキ 管理者 所管 情報 開 改修 機器調遉等 係 外部委 業
者等 管理責任 負う
情報セキ 担当者
情報セキ 管理者 指示等 従い 情報 開 設定 変更 運用 更新等 作
業 行う職員等 情報セキ 担当者
情報セキ 局
情報セキ 局 情報担当課長等 局長 情報担当課職員 構成
情報セキ 局 必要 応 情報セキ 及び情報セキ 実施
手 機能 い 確認 検査
情報セキ 局 情報セキ 対策 い 最新 動向 調査 究 適 情
報セキ 及び情報セキ 実施手 等 策定 う 必
要 応 見直 実施
情報セキ 委員会
情報セキ 委員会 CIO(副CIO 含 ) CISO 副CISO 含 統括情報セキ
責任者(副統括情報セキ 責任者 含 ) 情報セキ 責任者 統括情報セキ
管理者 情報セキ 局長 構成 必要 応 副情報セキ 責任者
情報セキ 管理者 含 構成
市 情報セキ 対策 統一的 行う 情報セキ 委員会 い 情報セキ
等 情報セキ 関 重要 決定
情報セキ 委員会 必要 応 市 情報セキ 対策 改善計画 策定
実施状況 確認 い
兼 禁
情報セキ 対策 実施 い 得 い場合 除 認又 許可 申請 行う者
認者又 許可者 者 兼 い
監査 者 監査 実施 者 得 い場合 除 者 兼
い
情報セキ 関 統一的 窓 CSIRT Computer Security Incident Response Team
CISO 情報セキ ン ン 統一的 窓 機能 組織( CSIRT い
う 整備 情報セキ ン ン い 部局等 報告 場合
状況 確認 自 報告 行わ 体 整備
CISO 情報セキ 戦略 意思決定 行わ 容 関係部局等 提供
情報セキ ン ン 認知 場合 重要度 影響範 等 案 報遈機
関 通知 表対応 検討 い
情報セキ 関 関係機関 地方 共団体 情報セキ 関 統一的
4
表 体 一覧表
職 市 担当者
最高情報統括責任者 CIO 情報担当副市長
副 最 高 情 報 統 括 責 任 者 副
CIO
情報担当副市長 除 副市長
最 高 情 報 セ キ 責 任
者 CISO
情報担当副市長
副 最 高 情 報 セ キ 責
任者 副CISO
情報担当副市長 除 副市長
統 括 情 報 セ キ 責 任
者
情報担当部長
(情報セキ 責任者 兼 あ )
情報セキ 責任者 各部等(消防 部 消防署 営企業含 )及び行 委員会 局 長
統 括 情 報 セ キ 管 理
者
情報担当課長等
(情報セキ 管理者 兼 あ )
情報セキ 管理者 各所属 長等
(情報セキ 責任者 兼 あ )
情報セキ 担当者 各種情報 担当 職員
情報セキ 局 情報担当課長等( 局長) 情報担当課職員
情報セキ 委員会 CIO(副CIO 含 ) CISO 副CISO 含 統括情報セキ
責任者(副統括情報セキ 責任者 含 ) 情報セキ 責
任者 統括情報セキ 管理者 情報セキ 局長
※必要 応 副情報セキ 責任者 情報セキ 管理者
含
情 報 セ キ 関
統一的 窓 (CSIRT)
5
体
. 情報資産 類 管理方法
情報資産 類
市 情報資産 機密性 完全性及び可用性 次 類 必要 応
扱 限 行う
情報セキ 責任者
(部長等)
情報セキ 管理者
(各所属 長等)
情報セキ 担当者
(各種 担当職員)
情報セキ 管理者
(各所属 長等)
情報セキ 担当者
(各種 担当職員)
統括情報セキ 管理者
(情報担当課長等)
情報セキ 担当者
(情報担当課職員)
最高情報セキ 責任者
CISO
情報担当副市長)
統括情報セキ 責任者
(情報担当部長)
情報セキ 委員会
※副CIO 副CISO
副統括情報セキ 責任者 含
情報セキ 責任者
(部長等)
情報セキ 局
最高情報統括責任者 CIO
(情報担当副市長)
情報セキ 局
外 専門家
(必要 応 )
情報セキ 関 統
6
情報セキ 要素
目 容
機密性
情報 セ 認 者 情報 セ
状態 確保 いう
完全性 情報 破壊 改 又 消去 い い状態 確保 いう
可用性
情報 セ 認 者 必要 中断
情報 セ 状態 確保 いう
機密性 情報資産 類
類 類基準 扱 限
機密性 行 扱 う 情 報 資 産
う 秘密文書 相当 機密性
要 情報資産
業 利用 外 複製及び配付禁
保管場所 限 保管場所 必
要 外部 録媒体等 持 込
禁
情報 信 情報資産 運搬 提
供時 暗号化 ワ
設定 鍵付 格納
復元 可能 処理 施 廃棄
信 ネッ ワ 回線
選択
外部 情報処理 行う 全管
理措置 規定
外部 録媒体 施錠可能 場所
保管
機密性 行 扱 う 情 報 資 産
う 秘密文書 相当 機密性
要 い 直 一般 表
前 提 い い 情
報資産
機密性 機 密 性 又 機 密 性 情 報 資
産 外 情報資産
完全性 情報資産 類
類 類基準 扱 限
完全性 行 扱 う 情 報 資 産
う 改 誤び う又 破損
民 権 利 侵 害
又 行 適確 遂行
支 軽微 除 及
あ 情報資産
ッ ッ
外部 情報処理 行う 全管
理措置 規定
外部 録媒体 施錠可能 場所
保管
完全性 完 全 性 情 報 資 産 外 情 報 資
7
可用性 情報資産 類
類 類基準 扱 限
可用性 行 扱 う 情 報 資 産
う 滅失 紛失又 当 情報資
産 利 用 可 能 あ
民 権利 侵害 又
行 定 的 遂 行 支
軽微 除 及
あ 情報資産
ッ ッ 指定 時間
復
外部 録媒体 施錠可能 場所
保管
可用性 可 用 性 情 報 資 産 外 情 報
資産
情報資産 管理
管理責任
情報セキ 管理者 所管 情報資産 い 管理責任
情報資産 複製又 転 (外部 転 除 ) 場合 複製等 情報資産
類 基 管理 い
情報資産 類 表示
職員等 情報資産 い 属性 ッ
ッ 等 格納 録媒体 CD-R 等 文書 隅等 必要 応 情報資
産 類 表示 扱 限 い 明示 等適 管理 行わ い
情報 作成
職員等 業 必要 い情報 作成 い
情報 作成 者 情報 作成時 類 基 当 情報 類 扱 限
定 い
情報 作成 者 作成途 情報 い 紛失 流出等 防 い
情報 作成途 要 場合 直 当 情報 消去 い
情報資産 入手
庁 者 作成 情報資産 入手 者 入手元 情報資産 類 基 い 扱い
い
庁外 者 作成 情報資産 入手 者 類 基 当 情報 類
扱 限 定 い
情報資産 入手 者 入手 情報資産 類 明 場合 最高度 類 当
録媒体 扱い 必要 応 情報セキ 管理者 断 仰 い
情報資産 利用
情報資産 利用 者 業 外 目的 情報資産 利用 い
情報資産 利用 者 情報資産 類 応 適 扱い い
情報資産 利用 者 録媒体 情報資産 類 異 情報 複数 録 い 場
8
情報資産 保管
情報セキ 管理者 情報資産 類 従 情報資産 適 保管
い
情報セキ 管理者 情報資産 録 外部 録媒体 長期保管 場合 書込
禁 措置 講 い
情報セキ 管理者 利用 度 い外部 録媒体 情報 ッ ッ
得 録 外部 録媒体 長期保管 場合 自然災害 被 可能性 い
地域 保管 い
情報セキ 管理者 機密性 完全性 又 可用性 情報 録 外部
録媒体 保管 場合 耐火 耐熱 耐水及び耐湿 講 施錠可能 場所 保管
い
情報 信
電子 等 機密性 情報 信 者 必要 応 暗号化又 ワ
設定 行わ い
情報資産 運搬
車両等 機密性 情報資産 運搬 者 必要 応 鍵付 等 格
納 暗号化又 ワ 設定 行う等 情報資産 利用 防 措置 講
い
機密性 情報資産 運搬 者 情報セキ 管理者 許可 得
い
情報資産 提供 表
機密性 情報資産 外部 提供 者 必要 応 暗号化又 ワ 設定
行わ い
機密性 情報資産 外部 提供 者 提供 可否 十 検討 うえ 情報
セキ 管理者 許可 得 い
情報セキ 管理者 民 開 情報資産 い 完全性 確保
い
情報資産 廃棄
機密性 情報資産 廃棄 者 情報 録 い 録媒体 要 場合
録媒体 初期化等 情報 復元 い う 処置 廃棄 い
. 脅威 対策方法
. . 物理的セキ
. . . 等 管理
機器 付
情報セキ 管理者 等 機器 付 行う場合 火災 水害 埃 振動 温度
湿度等 影響 可能 限 排除 場所 設置 容易 外 い う適 固定 等 必
9
冗長化
情報セキ 管理者 重要情報 格納 い 民 関 及び
基幹 冗長化 保持 い
情報 管理者 ン 害 生 場合 速 セ ン 起
動 運用停 時間 最 限 い
機器 電源
情報セキ 管理者 統括情報セキ 管理者及び施設管理部門 連携 等
機器 電源 い 停電等 電源供給 停 備え 当 機器 適 停
間 十 電力 供給 容量 予備電源 備え付 い
情報セキ 管理者 統括情報セキ 管理者及び施設管理部門 連携 落雷等
過電流 対 等 機器 保護 措置 講 い
通信 等 配線
統括情報セキ 管理者及び情報セキ 管理者 施設管理部門 連携 通信
及び電源 損傷等 防 配線 納管 使用 等必要 措置 講
い
統括情報セキ 管理者及び情報セキ 管理者 主要 箇所 通信 及び電
源 い 施設管理部門 損傷等 報告 あ 場合 連携 対応
い
統括情報セキ 管理者及び情報セキ 管理者 自 又 情報セキ 担当者
及び契約 操作 認 外部委 業者 外 者 配線 変更 追加 い う 必
要 措置 施 い
機器 保 及び修理
情報セキ 管理者 等 機器 保 契約 結 等 定稼働 い
対策 実施 い
情報セキ 管理者 録媒体 蔵 機器 外部 業者 修理 場合 容
消去 状態 行わ い 容 消去出来 い場合 情報セキ 管理者
修理 委 業者 間 秘義 契約 締結 秘密保持体 確認 行わ
い
敷地外 機器 設置
統括情報セキ 管理者及び情報セキ 管理者 庁舎及び出先機関等 敷地外
等 機器 設置 場合 CISO 認 得 い 定期的 当 機器 情
報セキ 対策状況 い 確認 い
機器 廃棄等
10
情報 消去 復元 可能 状態 措置 講 い
. . . 管理区域 ン室等 管理
管理区域 構造等
管理区域 ネッ ワ 基幹機器及び重要 情報 設置 当 機器等 管理並
び 運用 行う 部屋 ン室 いう 電磁的 録媒体 保管庫 いう
統括情報セキ 管理者及び情報セキ 管理者 各種災害 考慮 管理区域 設置
い
統括情報セキ 管理者及び情報セキ 管理者 施設管理部門 連携 管理区
域 外部 通 必要最 限 鍵 監視機能 許可 い い立入 防
い
統括情報セキ 管理者及び情報セキ 管理者 ン室 機器等 可能 範
転倒及び落 防 等 耐震対策 防火措置 防水措置等 講 い
統括情報セキ 管理者及び情報セキ 管理者 管理区域 配置 消火薬 消
防用設備等 機器等及び 録媒体 影響 え い う い
管理区域 入 室管理等
情報セキ 管理者 管理区域 入 室 許可 者 限 IC 指紋
認証等 生体認証又 入 室管理簿 載 入 室管理 行わ い
職員等及び外部委 業者 管理区域 入室 場合 身 証明書等 携帯 求 提
示 い
情報セキ 管理者 外部 訪問者 管理区域 入 場合 必要 応 管理区
域 入 室 許可 職員等 付 添う 外見 職員等 区 措置 講
い
情報セキ 管理者 機密性 情報資産 扱う 設置 い 管理区域
い 当 情報 関連 い ン 通信回線装置 外部 録媒体等 持 込
い う い 関連 い 持込 申請 行う 管
理
機器等 搬入出
情報セキ 管理者 搬入 機器等 既 情報 え 影響 い あ
情報セキ 担当者又 委 業者 確認 行わ い
情報セキ 管理者 ン室 機器等 搬入出 い 情報セキ 担当者 立
会わ い
. . . 通信回線及び通信回線装置 管理
統括情報セキ 管理者 庁 通信回線及び通信回線装置 施設管理部門 連携
適 管理 い 通信回線及び通信回線装置 関連 文書 適 保管
11
統括情報セキ 管理者 外部 ネッ ワ 接 必要最 限 限定 限
接 ン 減 い
統括情報セキ 管理者 行 系 ネッ ワ 総合行 ネッ ワ LGWAN 集
約 う い
統括情報セキ 管理者 機密性 情報資産 扱う情報 通信回線
接 場合 必要 セキ 水準 検討 適 回線 選択 い
必要 応 信 情報 暗号化 行わ い
統括情報セキ 管理者 ネッ ワ 使用 回線 い 伝 途 情報 破壊
盗聴 改 消去等 生 い う 十 セキ 対策 実施 い
. . . 職員等 ソ ン等 管理
情報セキ 管理者 執 室等 ソ ン等 端 い 盗 防 ワ
固定等 又 終業時 鍵 ッ 等 保 等 物理的措置 講
い
情報セキ 管理者 情報 ン ワ 入力 必要 う 設
定 い
情報セキ 管理者 必要 応 ワ 外 指紋認証等 生体認証 併用
い
. . 人的セキ
. . . 職員等 遵
職員等 遵
情報セキ 等 遵
職員等 情報セキ 及び実施手 遵 い 情報セ
キ 対策 い 明 遵 困 等 あ 場合 速 情報セキ
管理者 相談 指示 仰 い
業 外 目的 使用 禁
職員等 業 外 目的 情報資産 外部 持 出 情報 セ 電子
使用及び ン ネッ セ 行 い
ソ ン等 端 持 出 及び外部 情報処理作業 限
統括情報セキ 責任者 機密性 可用性 完全性 情報資産 外部 処
理 場合 全管理措置 定 い
職員等 市 ソ ン等 端 録媒体 情報資産及びソ 外部 持 出
場合 情報セキ 管理者 許可 得 い
職員等 外部 情報処理業 行う場合 情報セキ 管理者 許可 得
い
ソ ン等 端 持込
12
持 出 及び持 込 録
情報セキ 管理者 端 等 持 出 い 録 作成 一定期間保管
い
ソ ン等 端 セキ 設定変更 禁
職員等 ソ ン等 端 ソ 関 セキ 機能 設定 情報セキ
管理者 許可 変更 い
机 端 等 管理
職員等 ソ ン等 端 録媒体 情報 印 文書等 い 第 者 使用
又 情報セキ 管理者 許可 情報 閲覧 い う 席時
端 ッ 録媒体 文書等 容易 閲覧 い場所 保管等 適 措置 講
い
裏紙使用時 注意
職員等 可能 範 印 用途 時 裏紙 使用 望 い 機密性
情報 含 裏紙 使用 い
職時等 遵
職員等 異動 職等 業 場合 異動 職等 期日 利用 い
情報資産 返 い 業 知 得 情報 漏
い
非常勤及び臨時職員等 対応
情報セキ 等 遵
情報セキ 管理者 非常勤及び臨時職員及び 業 従 者 対 採用時
情報セキ 等 う 非常勤 臨時職員及び 業 従 者
容 理解 実施及び遵 い
情報セキ 等 遵 対 意
統括情報セキ 管理者 非常勤 臨時職員及び 業 従 者 採用 必
要 応 情報セキ 等 遵 意書 署 求
ン ネッ 接 及び電子 使用等 限
情報セキ 管理者 非常勤 臨時職員及び 業 従 者 ソ ン等 端
作業 行わ 場合 い ン ネッ 接 及び電子 使用等 要
場合 利用 い う い
情報セキ 等 掲示
情報セキ 管理者 職員等 常 情報セキ 及び実施手 閲覧
う 掲示 い
外部委 業者 対 明
統括情報セキ 管理者及び情報セキ 管理者 ネッ ワ 及び情報
開 保 等 外部委 業者 注 場合 外部委 業者 再委 業者 含
13
い
. . . 修 訓練
情報セキ 関 修 訓練
CISO 定期的 情報セキ 関 修 訓練 実施 い
修計画 立案及び実施
CISO 明会 実施等 全 職員等及び関係 対 情報セキ
啓 い 新規採用 職員等 対象 情報セキ
関 修 設 い
情報セキ 管理者 最新 術力 維持 修 い
情報セキ 管理者 緊急時対応 想定 訓練 職員等 行わ い い
情報セキ 責任者 部局 職員 対 情報セキ い 啓
い
職員等 定 修 参加 情報セキ 及び情報セキ 実施手 等
理解 情報セキ 問題 生 い う い
修 統括情報セキ 責任者 情報セキ 責任者 統括情報セキ 管理者
情報セキ 管理者 情報セキ 担当者及び 職員等 対 役割
情報セキ 関 理解度等 応 い
緊急時対応訓練
CISO 緊急時対応 想定 訓練 必要 応 実施 い 訓練計画 ネッ
ワ 及び各情報 規模等 考慮 標的型攻撃 各種攻撃等 想定 訓練実施
範 等 定 効果的 実施 う い
修 訓練 参加
幹部 含 職員等 定 修 訓練 参加 い
. . . 情報セキ ン ン 報告
庁 情報セキ ン ン 報告
職員等 情報セキ ン ン 認知 場合 速 情報セキ 管理者
報告 い
報告 情報セキ 管理者 速 当 所管 情報セキ 管
理者及びCSIRT 報告 い
統括情報セキ 管理者 報告 あ 故等 い 必要 応 統括情報セキ
責任者及びCISO 報告 い
民等外部 故等 報告
14
ン ン い 民等外部 報告 場合 情報セキ 管理者 報告
い
報告 情報セキ 管理者 速 当 所管 情報セキ 管
理者及びCSIRT 報告 い
統括情報セキ 管理者 報告 あ 故等 い 必要 応 統括情報セキ
責任者及びCISO 報告 い
情報セキ ン ン 原因 究明 録 再 防 等
統括情報セキ 責任者及び統括情報セキ 管理者 情報セキ ン ン
引 起 部門 情報セキ 責任者及び情報セキ 管理者及びCSIRT 連携
情報セキ ン ン 原因 究明 録 保 い
情報セキ ン ン 原因究明結果 再 防 策 検討 CISO 報告
い
CISO 統括情報セキ 責任者 情報セキ ン ン い 報告
場合 容 確認 再 防 策 実施 必要 措置 指示
い
. . . ID及び ワ 等 管理
IC 等 扱い
職員等 自己又 共用 管理 IC 等 関 次 遵 い
認証 用い 個人用 IC 等 職員等間 共 い 共用利用
あ 認 い い 共 可能 あ
業 必要 い IC 等 若 ソ ン等 端 ッ
等 抜い い
IC 等 紛失 場合 速 情報セキ 管理者 通報 指示 従わ
い
情報セキ 管理者 IC 等 紛失等 通報 あ 次第 当 IC 等 使用
セ 等 速 停 い
情報セキ 管理者 IC 等 替え 場合 替え前 回 破
復元 可能 処理 行 廃棄 い
ID 扱い
職員等 自己 管理 ID 関 次 遵 い
自己 利用 い ID 人 利用 い
共用ID 利用 場合 共用ID 利用者 外 利用 い
自己及び共用ID 人又 利用者 外 知 い い
ワ 扱い
職員等 自己 管理 ワ 関 次 遵 い
15
ワ 秘密 ワ 照会等 一 応 い
ワ 十 長 文 列 想像 い い
ワ 流出 あ 場合 情報セキ 管理者 速 報告
ワ 速 変更 い
ワ 定期的 セ 回数等 基 い 変更 い ワ 再利用
い
複数 情報 扱う職員等 一 ワ 間 用い い
仮 ワ 最初 ン時 変更 い
ソ ン等 端 ワ 憶 い
職員等間 ワ 共 い 共用 ID 用い 場合 利用者 共
可能 あ
. . 術的セキ
. . . ン 及びネッ ワ 管理
情報 設定等
情報セキ 管理者 各情報 課等 単 管理 職員等
課等 及び 閲覧及び使用 い う設定 民 個人情報
人 録等 特定 職員等 扱え い い 途 作成 等 措
置 講 担当職員 外 職員等 閲覧及び使用 い う い
ッ ッ 実施
統括情報セキ 管理者及び情報セキ 管理者 必要 応 情報
録 情報 い 機器 冗長化対策 関わ ッ ッ 実施 い
団体 情報 関 情報等 交換
職員等 団体 情報 関 情報及びソ 交換 場合 扱
い 関 あ 定 情報セキ 管理者 許可 得 い 必
要 応 統括情報セキ 管理者 許可 得
管理 録及び作業 確認
情報セキ 管理者 所管 情報 運用 い 実施 作業 い 作業
録 作成 い
情報セキ 管理者 所管 い 変更等 作業 行 場合
作業 容 い 録 作成 詐 改 等 い う 適 管理
い
情報セキ 管理者 又 情報セキ 担当者及び契約 操作 認 外部委
業者 変更等 作業 行う場合 前 試験 行い 作業 容 備 無い様
16
情報 様書等 管理
統括情報セキ 管理者及び情報セキ 管理者 ネッ ワ 構成 情報
様書 い 録媒体 関わ 業 必要 者 外 者 閲覧 紛失等
い う 適 管理 い
得等
統括情報セキ 管理者及び情報セキ 管理者 各種 及び情報セキ
確保 必要 録 得 一定 期間保 い
統括情報セキ 管理者及び情報セキ 管理者 得 目 保 期
間 扱方法及び 得 場合 対処等 い 定 適 管理
い
統括情報セキ 管理者及び情報セキ 管理者 得 定期的 検又
析 機能 設 必要 応 悪意あ 第 者等 侵入 操作等 無 い
検又 析 実施 い
害 録
統括情報セキ 管理者及び情報セキ 管理者 職員等 害 報告
害 対 処理結果又 問題等 害 録 録 適 保
い
ネッ ワ 接 御 経路 御等
統括情報セキ 管理者 ン 及び ン い 設定 整合
生 い う 等 通信ソ 等 設定 い
統括情報セキ 管理者 セ 防 ネッ ワ 適 セ
御 施 い
外部 者 利用 等
情報 管理者 電子申請 汎用 付 等 外部 者 利用 い
必要 応 ネッ ワ 及び情報 物理的 等 措置 講
い
外部ネッ ワ 接 限等
情報セキ 管理者 所管 ネッ ワ 外部ネッ ワ 接 う 場合
統括情報セキ 責任者及び統括情報セキ 管理者 許可 得 必要
応 CISO及び統括情報セキ 責任者 許可 得
情報セキ 管理者 接 う 外部ネッ ワ 係 ネッ ワ 構成 機器
構成 セキ 術等 細 調査 庁 ネッ ワ 情報 等 情
報資産 影響 生 い 確認 い
17
又 ン等 業 影響 生 場合 対処 当 外部ネッ ワ
管理責任者 損害賠償責任 契約 担保 い
統括情報セキ 管理者及び情報セキ 管理者 等 ン ネッ
開 場合 庁 ネッ ワ 侵入 防御 等 外部ネッ
ワ 境界 設置 うえ 接 い
情報セキ 管理者 接 外部ネッ ワ セキ 問題 認 情報
資産 脅威 生 想定 場合 統括情報セキ 責任者及び統括情報セキ
管理者 断 従い 速 当 外部ネッ ワ 物理的 遮断
い
複合機 セキ 管理
統括情報セキ 責任者 複合機 調遉 場合 当 複合機 備え 機能 設置環境並
び 扱う情報資産 類及び管理方法 応 適 セキ 要件 策定
い
統括情報セキ 責任者 複合機 備え 機能 い 適 設定等 行う 運
用中 複合機 対 情報セキ ン ン 対策 講 い
統括情報セキ 責任者 複合機 運用 終了 場合 複合機 持 電磁的 録媒体
全 情報 抹消又 再利用 い う 対策 講 い
特定用途機器 セキ 管理
統括情報セキ 責任者 特定用途機器 い 扱う情報 利用方法 通信回線
接 形態等 何 脅威 想定 場合 当 機器 特性 応 対策 実施
い
無線LAN及びネッ ワ 盗聴対策
統括情報セキ 責任者 無線LAN 利用 認 場合 解 困 暗号化及び認証
術 使用 義 い
統括情報セキ 責任者 機密性 高い情報 扱うネッ ワ い 情報 盗
聴等 防 暗号化等 措置 講 い
電子 セキ 管理
統括情報セキ 管理者 権限 い利用者 外部 外部 電子 転 電
子 中 処理 行わ 可能 う 電子 設定 行わ
い
統括情報セキ 管理者 大量 等 信又 信 検知 場合
運用 停 い
統括情報セキ 管理者 電子 信容量 限 設定 限 超え 電子
信 可能 い
18
限 超え 場合 対応 職員等 周知 い
統括情報セキ 管理者 開 運用 保 等 庁舎及び出先機関等 常
駐 い 外部委 業者 作業員 電子 利用 あ 場合 委 先 間
利用方法 決 い
電子 利用 限
職員等 自動転 機能 用い 外部機関 電子 転 い
職員等 業 必要 い 信先(個人所 携帯電 等) 電子
信 い
職員等 複数人 電子 信 場合 必要 あ 場合 除 信先 電子
い う い
職員等 重要 電子 誤 信 場合 情報セキ 管理者 報告
い
職員等 利用 使用 い
職員等 利用 ネッ ワ 等 利用 い
電子署 暗号化
職員等 情報資産 類 定 扱 限 従い 外部 機密性又 完全性
確保 必要 場合 定 電子署 暗号化又 ワ 設定 方法 使
用 信 い
職員等 暗号化 行う場合 CISO 定 外 方法 用い い CISO 定
方法 暗号 鍵 管理 い
無許可ソ 入等 禁
職員等 ソ ン等 端 無断 ソ 入 い
職員等 業 必要 あ 場合 所管 情報セキ 管理者 許可 得
ソ 入 入 情報セキ 管理者
ソ セン 管理 い
職員等 ソ 利用 い
機器構成 変更 限
職員等 ソ ン等 端 対 機器 改造及び増設 交換 行 い
職員等 業 ネッ ワ 機器及び ソ ン等 端 対 改造及び増設 交換 行う
必要 あ 場合 所管 情報セキ 管理者 許可 得 い
無許可 ネッ ワ 接 禁
職員等 統括情報セキ 管理者 許可 ソ ン等 端 ネッ ワ 接
い
19
職員等 業 外 目的 閲覧 い
統括情報セキ 管理者 職員等 利用 い 明 業 関係 い
閲覧 い 見 場合 情報セキ 管理者 通知 適 措置 求
い
. . . セ 御
セ 御
セ 御
統括情報セキ 管理者又 情報セキ 管理者 所管 ネッ ワ 又 情報
セ 権限 い職員等 セ い う 限
い
利用者ID 扱い
情報セキ 責任者及び情報セキ 管理者 利用者 録 変更 抹消等 情
報管理 職員等 異動 出向 職者 伴う利用者 ID 扱い等 方法 定
い
職員等 業 必要 場合 利用者 録 抹消 う 統括情報セキ
管理者又 情報セキ 管理者 通知 い
統括情報セキ 管理者及び情報セキ 管理者 利用 い い ID 置
い う 人 管理部門 連携 検 い
特権 付 ID 管理等
統括情報セキ 管理者及び情報セキ 管理者 管理者権限等 特権 付
ID 利用 者 必要最 限 当 ID ワ 漏えい等 生 い う
当 ID及び ワ 厳重 管理 い
統括情報セキ 管理者及び情報セキ 管理者 特権 行 者 統括情報
セキ 管理者及び情報セキ 管理者 指 CISO 認 者
い
CISO 行者 認 場合 速 統括情報セキ 責任者 情報セキ 責
任者 情報セキ 管理者及び情報 管理者 通知 い
統括情報セキ 管理者及び情報セキ 管理者 特権 付 ID 及び
ワ 変更 い 外部委 業者 行わ い
統括情報セキ 管理者及び情報セキ 管理者 特権 付 ID 及び
ワ い 職員等 端 等 ワ 定期変更 入力回数 限等 セキ
機能 強化 う い
職員等 外部 セ 等 限
職員等 外部 機関 部ネッ ワ 網 セ い
自動識 設定
20
い 機器固 情報 端 ネッ ワ 接 可否 自動的 識 う
設定 い
ン時 表示等
情報セキ 管理者 ン時 ッセ 及び ン試行回数 限
セ 設定 ン 時刻 表示等 当 セ 権 持 職
員等 ン 確認 う 様 検討 構築
い
ワ 関 情報 管理
統括情報セキ 管理者又 情報セキ 管理者 職員等 ワ 関 情報
厳重 管理 い ワ 利用 保護
ン 等 ワ 設定 セキ 強化機能 あ 場合 効 活用
い
統括情報セキ 管理者又 情報セキ 管理者 職員等 対 ワ 行
場合 仮 ワ 行 最初 ン 直 仮 ワ 変更
い
. . . 開 入 保 等
情報 調遉
情報セキ 管理者 情報 開 入 保 等 調遉 当 調遉 様書
必要 術的 セキ 機能 明 い
情報セキ 管理者 機器及びソ 調遉 当 当 製品 セキ
機能 調査 情報セキ 問題 い 確認 い
情報 開
開 責任者及び作業者 特定
情報セキ 管理者 開 責任者及び作業者 特定 い
開 責任者 作業者 ID 管理
( )情報セキ 管理者 開 責任者及び作業者 使用 ID 管理 開
完了 開 用ID 削除 い
( )情報セキ 管理者 開 責任者及び作業者 セ 権限 設定
い
情報 入
開 環境 運用環境 及び移行手 明確化
情報セキ 管理者 必要性 状況 応 開 保 及び試験環境
運用環境 い 試験環境 必要性 状況 応 開 業者
21
情報セキ 管理者 開 保 及び試験環境 運用環境 移
行 い 開 保 計画 策定時 手 明確 い
情報セキ 管理者 移行 情報 録 い 情報資産 保 確
実 行い 移行 伴う情報 停 等 影響 最 限 う配慮
い
情報 管理者 必要 応 入 可用性 確保 い
確認 入 い
試験
情報セキ 管理者 新 情報 入 場合 既 稼働 い 情報
接 前 十 試験 行わ い
情報セキ 管理者 運用試験 行う場合 あ 擬似環境 操作確認 行
わ い
情報セキ 管理者 個人情報及び機密性 高い生 試験 使用
い
情報 管理者 開 い 入 行う場合 開 組
織 入 組織 独立 行わ い
開 保 関連 資料等 保管
情報セキ 管理者 開 保 関連 資料及び文書 適 方法 保管
い
情報セキ 管理者 試験結果 一定期間保管 い
情報 管理者 情報 係 ソ 適 方法 保管
い
情報 入出力 確性 確保
情報セキ 管理者 必要 応 情報 入力 い 範 妥
当性 ッ 機能及び 文 列等 入力 除去 機 能 組 込 う 情報
設計 い
情報セキ 管理者 故意又 過失 情報 改 又 漏えい あ
場合 検出 ッ 機能 組 込 う 情報 設計
い
情報セキ 管理者 情報 出力 い 情報 処理
映 出力 う 情報 設計 い
情報 変更管理
情報セキ 管理者 情報 変更 場合 様書等 変更履歴 作
成 い
22
情報セキ 管理者 開 保 用 ソ 等 更新 又 ッ 適用 場
合 情報 整合性 確認 い
更新又 統合時 検証等
情報セキ 管理者 更新 統合時 伴う 管理体 構築 移行基準 明
確化及び更新 統合 業 運営体 検証 行わ い
. . . 対策
統括情報セキ 管理者 措置
統括情報セキ 管理者 対策 次 措置
い
外部ネッ ワ 信 ン ネッ い ン
等 ッ 行い 侵入 防
い
外部ネッ ワ 信 ン ネッ い ン
等 ッ 行い 外部 散 防
い
ン 等 情報 集 必要 応 職員等 対 注意喚起
い
所掌 及び ソ ン等 端 ン 等 対策ソ
常駐 い
対策ソ ン 常 最新 状態 保
い
対策 ソ 常 最新 状態 保 い
情報セキ 管理者 措置
情報セキ 管理者 対策 関 次 措置 い
情報セキ 管理者 所掌 及び ソ ン等 端 ン
等 対策ソ 常駐 い
対策ソ ン 常 最新 状態 保
い
対策 ソ 常 最新 状態 保 い
ン ネッ 接 い い い 録媒体 使う場合 ン
等 感染 防 市 管理 い 媒体 外 職員等 利用 い
感染 侵入 生 可能性 著 い場合 除 対策
ソ 入 定期的 当 ソ 及び ン 更新 実施
い
23
職員等 対策 関 次 遵 い
ソ ン等 端 い 対策ソ 入 い 場合 当 ソ
設定 変更 い
外部 又 ソ 入 場合 必 対策ソ
ッ 行わ い
差出人 明又 自然 添付 信 場合 速 削除
い
端 対 対策ソ ッ 定期的 実施
い
添付 付い 電子 信 場合 対策ソ
ッ 行わ い
最新 情報 常 確認 い
ン 等 感染 場合 直 LAN 時 外
行わ い
専門家 支援体
統括情報セキ 責任者及び統括情報セキ 管理者 実施 い
対策 十 態 生 場合 必要 応 外部 専門家 支援 要請
. . . セ 対策
統括情報セキ 管理者 措置
統括情報セキ 管理者 セ 対策 使用 い い 閉鎖
い
要 い 機能 削除又 停 い
攻撃 予告
CISO及び統括情報セキ 責任者 等 攻撃 明確 場合
停 含 必要 措置 講 い 関係機関 連絡 密 情報
集 い
録 保
CISO及び統括情報セキ 責任者 等 攻撃 当 攻撃 セ 禁
法遊 等 犯罪 可能性 あ 場合 攻撃 録 保 警察及び関係機関
緊密 連携 い
部 攻撃
統括情報セキ 管理者及び情報セキ 管理者 職員等及び外部委 業者 使用
い ソ ン等 端 庁 等 対 攻撃 外部 対 攻撃 監
24
職員等 セ
統括情報セキ 管理者及び情報セキ 管理者 職員等 セ 見
場合 当 職員等 所属 課等 情報セキ 管理者 通知 適 処置 求
い
能攻撃
統括情報セキ 責任者及び情報 管理者 外部 セ 情報
対 第 者 能攻撃 利用者 利用 防
情報 可用性 確保 対策 講 い
標的型攻撃
統括情報セキ 責任者及び情報 管理者 情報 い 標的型攻撃
部 侵入 防 教育 自動再生無効化等 人的対策 入 対策 講
い 部 侵入 攻撃 期検知 対処 通信 ッ 等
部対策 講 い
. . . セキ 情報 集
セキ 関 情報 集 共 及びソ 更新等
統括情報セキ 管理者及び情報セキ 管理者 セキ 関 情報
集 必要 応 関係者間 共 い 当 セキ 緊
急度 応 ソ 更新等 対策 実施 い
等 セキ 情報 集 周知
統括情報セキ 管理者 等 セキ 情報 集 必要 応
対応方法 い 職員等 周知 い
情報セキ 関 情報 集及び共
情報セキ 管理者 情報セキ 関 情報 集 必要 応 関係者間
共 い 情報セキ 関 社会環境 術環境等 変化
新 脅威 認識 場合 セキ 侵害等 然 防 対策 速 講
い
. 運用方法
. . 情報 監視
統括情報セキ 管理者及び情報セキ 管理者 セキ 関 案 検知
ネッ ワ 及び情報 常時監視 い
統括情報セキ 管理者及び情報セキ 管理者 重要 セ 等 得
25
統括情報セキ 管理者及び情報セキ 管理者 外部 常時接 常
時監視 い
. . 情報セキ 遵 状況 確認
遵 状況 確認及び対処
情報セキ 責任者及び情報セキ 管理者 情報セキ 遵 状況
い 確認 行い 問題 認 場合 速 CISO 及び統括情報セキ 責任者
報告 い
統括情報セキ 責任者 生 問題 い 適 速 対処
い 対処 容 い CISO 報告 い
統括情報セキ 管理者及び情報セキ 管理者 ネッ ワ 及び 等
設定等 情報セキ 遵 状況 い 必要 応 確認 行い
問題 生 い 場合 適 速 対処 い
端 及び 録媒体等 利用状況調査
CISO及びCISO 指 者 セ 等 調査 職員等 使
用 い ソ ン等 端 録媒体 セ 録 電子 信 録等 利用状況
調査
職員等 報告義
職員等 情報セキ 対 遊 行 見 場合 直 情報セキ
管理者 報告 行わ い 報告 情報セキ 管理者 情報セキ
責任者及び統括情報セキ 責任者 報告 行わ い
遊 行 直 情報セキ 重大 影響 及 可能性 あ 統括情報セキ
責任者 断 場合 適 対処 い
. . 侵害時 対応
緊急時 対応
CISO又 情報セキ 委員会 情報セキ ン ン 情報セキ
遊 等 情報資産 侵害 生 場合又 生 あ 場合 い 連絡
証 保全 被害 大 防 復 再 防 等 措置 迅速 適 対処 い
緊急時 対応 行う 容 い 前 準備 い
関係者 連絡先
生 案 係 報告
生 案 対応措置
再 防 措置 策定
業 計画 整合性確保
26
委員会 当 計画 情報セキ 整合性 確保 い
. . 外部委
外部委 先 選定基準
情報セキ 管理者 外部委 先 選定 当 委 容 応 情報セキ 対
策 確保 確認 い
情報セキ 管理者 情報セキ ネ ン 国 規格 認証 得状況
情報セキ 監査 実施状況等 考慮 業者 選定 い
情報セキ 管理者 利用 場合 情報 機密性 応 セキ
確保 い 利用 い
契約 目
情報 運用 保 等 外部委 場合 委 業者 間 必要 応 次 情
報セキ 要件 明 契約 締結 い
情報セキ 及び情報セキ 実施手 遵
外部委 業者 責任者 委 容 作業者 作業場所 特定
提供 保証
外部委 業者 セ 許可 情報 種類 範 セ 方法
外部委 業者 従業員 対 教育 実施
提供 情報 目的外利用及び 者 外 者 提供 禁
業 知 得 情報 秘義
再委 関 限 遵
委 業 終了時 情報資産 返還 廃棄等
市 監査 検査
委 業 定期報告及び緊急時報告義
市 情報セキ ン ン 生時 表
情報セキ 遵 場合 規定(損害賠償等)
確認 措置等
情報セキ 管理者 外部委 業者 い 必要 セキ 対策 確保 い
随時確認 必要 応 契約 目 基 措置 い
容 統括情報セキ 責任者及び情報セキ 責任者 報告 重要度
応 CISO 報告 い
. . 例外措置
例外措置 許可
情報セキ 管理者 情報セキ 関係規定 遵 困 状況 行
適 遂行 遵 異 方法 採用 又 遵 実施 い
27
緊急時 例外措置
情報セキ 管理者 行 遂行 緊急 要 等 場合 あ 例外措置 実施
可避 速 CISO 報告 い
例外措置 申請書 管理
CISO 例外措置 申請書及び審査結果 適 保管 い
. . ソ 利用
情報セキ 管理者 市 管理 ン ソ 利用
場合 情報セキ 対策 関 次 含 ソ 運用手
等 定 い
市 ン 情報 信 実 市 あ 明
市 自己管理 当 情報 掲載 参照可能 当 ン
自由 述欄等 ン 運用組織 明示 等 方法 対策 行う
ワ 認証 等 認証情報及び 録 媒体 IC 等 等
適 管理 方法 セ 対策 行う
機密性 情報 ソ 信 い
利用 ソ 責任者 定 い
. . 法 遵
職員等 職 遂行 い 使用 情報資産 保護 次 法 関係法
遵 従わ い
地方 員法(昭和 十五 十 十 日法 第 百 十一号
著作権法 昭和四十五 法 第四十 号
セ 行 禁 等 関 法 成十一 法 第百 十 号
個人情報 保護 関 法 成十五 五 十日法 第五十七号
城陽市個人情報保護条例 成十 十 十 日条例第 十 号
. . 懲戒処 等
懲戒処
情報セキ 遊 職員等及び 監督責任者 重大性 生 案
状況等 応 地方 員法 懲戒処 対象
遊 時 対応
職員等 情報セキ 遊 行動 確認 場合 速 次 措置 講
い
統括情報セキ 責任者 遊 確認 場合 統括情報セキ 責任者 当 職員
28
情報セキ 管理者等 遊 確認 場合 遊 確認 者 速 統括情報セキ
責任者及び当 職員等 所属 課等 情報セキ 管理者 通知 適 措置
求 い
情報セキ 管理者 指 改善 い場合 統括情報セキ 責任者及び
統括情報セキ 管理者 当 職員等 ネッ ワ 又 情報 使用 権利
停 あ い 奪 速 統括情報セキ 責任者 職員等
権利 停 あ い 奪 CISO 及び当 職員等 所属 課等 情報セキ 管
理者 通知 い
. 評価 見直 方法
. . 監査
実施方法
CISO 情報セキ 監査統括責任者 指 ネッ ワ 及び情報 等 情報資
産 情報セキ 対策状況 い 必要 応 監査 行わ い
監査 行う者 要件
情報セキ 監査統括責任者 監査 実施 場合 被監査部門 独立 者 対
監査 実施 依 い
監査 行う者 監査及び情報セキ 関 専門知識 者 い
必要 応 外部機関 委 検討 い
監査実施計画 立案及び実施 協力
情報セキ 監査統括責任者 監査 行う 当 監査実施計画 立案 情報セキ
委員会 認 得 い
被監査部門 監査 実施 協力 い
報告
情報セキ 監査統括責任者 監査結果 情報セキ 委員会 報告
い
保管
情報セキ 監査統括責任者 監査 実施 通 集 監査証 監査報告書 作成
監査調書 紛失等 生 い う 適 保管 い
監査結果 対応
CISO 監査結果 踏 え 指摘 所管 情報セキ 管理者 対 当
対処 指示 い 指摘 所管 い い情報セキ 管理者 対
種 課題及び問題 あ 可能性 高い場合 当 課題及び問題 無 確認
29
情報セキ 見直 等 活用
情報セキ 委員会 監査結果 情報セキ 見直 情報セキ
対策 見直 時 活用 い
. . 自己 検
実施方法
統括情報セキ 管理者及び情報セキ 管理者 所管 ネッ ワ 及び情報
い 必要 応 自己 検 実施 い
情報セキ 責任者 情報セキ 管理者 連携 所管 部局 情報セ
キ 沿 情報セキ 対策状況 い 必要 応 自己 検 行わ
い
報告
統括情報セキ 管理者 情報セキ 責任者及び情報セキ 管理者 自己
検結果 自己 検結果 基 改善策 情報セキ 委員会 報告
い
自己 検結果 活用
職員等 自己 検 結果 基 自己 権限 範 改善 い
情報セキ 委員会 検結果 情報セキ 見直 情報セ
キ 対策 見直 時 活用 い
. . 情報セキ 見直
情報セキ 委員会 情報セキ い 情報セキ 監査及び自己
