情報セキュリティポリシー

埼玉県産業振興公社における情報セキュリティポリシー

情報セキュリティポリシーとは

この情報セキュリティポリシーは、公益財団法人埼玉県産業振興公社(以下、「公社」という。)が保有する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものの総称です。
情報システムの技術的安全の確保及び役職員等の意識啓発を図り、もって公社に対する信頼性を確保することを目的とします。

構成

この情報セキュリティポリシーは、公社の業務に携わる役職員等に浸透、普及、定着させるものであり、安定的な規範であることが要請されます。
このため、この情報セキュリティポリシーを、一定の普遍性を備えた情報セキュリティ基本方針と、これを実行に移すための情報セキュリティ対策基準の2階層の構成とします。

 

文書名 内 容
情報セキュリティポリシー 情報セキュリティ基本方針 情報セキュリティ対策に関する統一的かつ
基本的な方針
情報セキュリティ対策基準 情報セキュリティ基本方針を実行に移すた
めの、公社における情報資産に関する情報
セキュリティ対策の基準

 

情報セキュリティ基本方針

第1.目的

この基本方針は、公社が保有する情報資産を様々な脅威から保護するために必要な対策について、組織的かつ継続的に取り組むための基本的な考え方を定めるものであり、公社における情報セキュリティ水準を維持し、及び向上させることを目的とする。

第2.定義

  1. ネットワーク:コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。
  2. 情報システム:コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。
  3. 情報セキュリティ:情報資産の機密性、完全性及び可用性を維持することをいう。
  4. 情報セキュリティポリシー:本基本方針及び情報セキュリティ対策基準をいう。
  5. 機密性:情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
  6. 完全性:情報が破壊、改ざん又は消去されていない状態を確保することをいう。
  7. 可用性:情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
  8. マイナンバー利用事務系(個人番号利用事務系):個人番号利用事務に関わる情報システム及びデータをいう。
  9. インターネット接続系:インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。
  10. 無害化通信:インターネットメール本文のテキスト化や端末への画面転送等により、コンピュータウイルス等の不正プログラムの付着が無い等、安全が確保された通信をいう。

第3.対象とする脅威

情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

  1. 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等
  2. 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
  3. 地震、落雷、火災等の災害によるサービス及び業務の停止等
  4. 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
  5. 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラ障害からの波及等

第4.適用範囲

(1)基本方針の適用範囲
本基本方針の対象となる役職員、非常勤職員及び臨時職員等(公社の役職員及び委嘱等により公社の業務に従事する者をいう。以下「役職員等」という。)は、(2)に掲げる情報資産に接する、若しくは接することのできる役職員等とする。なお、外部委託業者にも、その委託内容に応じて、公社が行う情報セキュリティ対策の水準と同等以上の情報セキュリティ対策をとらせるものとする。
(2) 情報資産の範囲
本基本方針が対象とする情報資産は、次のとおりとする。

  1. ネットワーク及び情報システム並びにこれらに関する設備及び電磁的記録媒体
  2. ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)
  3. 機器
  4. 情報システムの仕様書及びネットワーク図等のシステム関連文書

第5.役職員等の遵守義務

役職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。

第6.情報セキュリティ対策

上記3の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

  1. 組織体制
    公社の情報資産について、情報セキュリティ対策を推進する全社的な組織体制を確立する。
  2. 情報資産の分類と管理
    公社の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を実施する。
  3. 情報システム全体の強靭性の向上
    情報セキュリティの強化を目的とし、業務の効率性・利便性の観点を踏まえ、情報システム全体に対し、次の三段階の対策を講じる。

    4. ①マイナンバー利用事務系においては、原則として、他の領域との通信をできないようにした上で、端末からの情報持ち出し不可設定や端末への多要素認証の導入等により、情報の流出を防ぐ。
    ②インターネット接続系においては、不正通信の監視機能の強化等の高度な情報セキュリティ対策を実施する。高度な情報セキュリティ対策として、公社のインターネットとの通信を集約した上で、情報セキュリティクラウドの導入等を実施する。

  4. 物理的セキュリティ
    サーバ、情報システム室、通信回線及び役職員等のパソコン等の管理について、物理的な対策を講じる。
  5. 人的セキュリティ
    情報セキュリティに関し、役職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。
  6. 技術的セキュリティ
    コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
  7. 運用
    情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適正に対応するため、緊急時対応計画を策定する。
  8. 外部サービスの利用
    外部委託する場合には、情報セキュリティ要件を明記した契約を締結し、外部委託事業者において必要なセキュリティ対策が確保されていることを確認し、必要に応じて契約に基づき措置を講じる。
    約款による外部サービスを利用する場合には、利用にかかる規定を整備し対策を講 じる。
    ソーシャルメディアサービスを利用する場合には、ソーシャルメディアサービスの運用手順を定め、ソーシャルメディアサービスで発信できる情報を規定し、利用する ソーシャルメディアサービスごとの責任者を定める。
  9. 評価・見直し
    情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施し、運用改善を行い、情報セキュリティの向上を図る。情報セキュリティポリシーの見直しが必要な場合は、適宜情報セキュリティポリシーの見直しを行う。

第7.情報セキュリティ監査及び自己点検の実施

情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。

第8.情報セキュリティポリシーの見直し

情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。

第9.情報セキュリティ対策基準の策定

上記6、7及び8に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。

第10.情報セキュリティ実施手順の策定

情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。なお、情報セキュリティ実施手順は、公にすることにより公社の運営に重大な支障を及ぼすおそれがあることから非公開とする。

 

公益財団法人埼玉県産業振興公社 理事長
令和5年2月1日

お問い合わせ先

(公財)埼玉県産業振興公社 総務企画グループ

電話048-647-4101