情報セキュリティ基本方針

（目的）

第1条

　愛知中部水道企業団情報セキュリティポリシー（以下「セキュリティポリシー」という。）は、愛知中部水道企業団（以下「企業団」という。）が保有する情報資産の機密性、完全性及び可用性を維持し、情報資産を事故、災害、不正侵入、漏えい、改ざん、サービス利用妨害等の様々な脅威から保護するための必要な対策について、組織的かつ継続的に取り組むための基本的な考え方を定め、企業団における情報セキュリティ水準の維持、向上を目的とする。

（定義）

第2条

　セキュリティポリシーにおいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

（１）職員等

　地方公務員法(昭和25年法律第261号)第3条第2項に規定する一般職に属する職員、同条第2項に規定する特別職に属する職員、国又は他の地方公共団体から派遣されている職員をいう。

（２）情報資産

　　ア　行政文書

　　イ　情報システム、ネットワーク及びこれらに関する設備、記憶媒体

　　ウ　情報システム及びネットワークで取り扱う情報（データ及び印刷された文書を含む。）

　　エ　情報システムの仕様書、運用手順書及びネットワーク図等のシステム関連文書

（３）情報システム

　企業団内において使用するハードウェア、ソフトウェア、ネットワーク、記憶媒体で構成されるものであって、これら全体又は一部で業務処理を行うものをいう。

（４）部門システム

　企業団において使用する情報資産全体又は一部で業務処理を行う以下のシステムをいう。

　庁内情報システム、図面情報管理システム、遠方監視システム、修繕工事受付システム、水質検査結果システム、施設台帳管理システム、配管設計CAD積算システム、水道料金調定収納管理システム、水道料金検針システム、給水工事管理システム、財務会計システム、ウェブサイト管理システム、給与計算システム、被服貸与システム、あいち電子調達共同システム（CALS/EC）、あいち電子調達共同システム（物品等）、保全マネジメントシステム（BIMMS）、赤外線会議設備

（５）ネットワーク

　インターネットへの接続、情報システムを相互に接続するための通信網及びその構成機器（ハードウェア及びソフトウェア）をいう。

（６）記憶媒体

　情報システムで使用される、磁気ディスク、磁気テープ、光ディスク、フラッシュメモリ、その他これらに類する媒体をいう。また、記憶媒体のうち、取り外し及び持ち出しが可能な記憶媒体を可搬記憶媒体という。

（７）脅威

　情報資産の価値を失わせる要因（不正アクセス、誤操作、ウイルス感染、災害等）及び潜在的な原因をいう。脅威は（８）脆弱性により誘引され、顕在化するものである。

（８）脆弱性

　建物の構造上の欠陥、定期点検の不備、職員教育不備等の情報資産に関連した様々な弱点により、情報資産の障害や損害を発生及び増加させる可能性のことをいう。脅威の存在しない脆弱性については、障害や損害を発生させる可能性がない。

（９）情報セキュリティ

　情報資産の機密性、完全性及び可用性を安全なレベルで維持することをいう。

（10）機密性

　情報にアクセスすることを認められた者だけが、アクセスできることをいう。

（11）完全性

　情報及び処理の方法の正確さ及び完全である状態を安全防護することをいう。

（12）可用性

　情報にアクセスすることを必要とした者が、必要なときに確実にアクセスできることをいう。

（13）セキュリティインシデント

　外的要因、内的要因に関わらず、情報セキュリティに対する事故や攻撃であって、企業団の事務事業及び情報セキュリティが脅かされることをいう。

（適用範囲）

第3条

　セキュリティポリシーは、企業団が保有する情報資産を取り扱う全ての職員等に適用する。

（情報資産における脆弱性）

第4条

　情報セキュリティ対策においては、情報資産における脆弱性を考慮し、脆弱性対策度合いや脅威の影響を想定する。特に当該各号については十分な措置を講ずる。

（１）物理的脆弱性

　地震、落雷、火災等の災害や事故、故障、広範囲にわたる疾病に伴う要員不足等によるサービス停止等

（２）人的脆弱性

　無許可ソフトウェアの使用、使用環境の変更、設計開発の不備、意図しない操作、誤操作、規程違反の情報システムの操作による情報漏えい、機器、媒体の故障等

（３）技術的脆弱性

　サイバー攻撃等による、故意の不正アクセス又は不正操作によるデータやプログラムの持ち出し、盗聴、改ざん、消去、機器及び可搬記憶媒体の破壊、盗難等

（情報セキュリティ対策基準の策定）

第5条

　情報セキュリティ基本方針を実行に移すため、情報セキュリティ対策を行う上で必要となる基本的な要件について、具体的な遵守事項及び判断基準を明記した情報セキュリティ対策基準を策定する。

（情報セキュリティ基本方針の公開）

第6条

　セキュリティポリシーには、企業団のセキュリティに関する内容が含まれることから、情報セキュリティ確保の観点において、情報セキュリティ基本方針のみ公開し、情報セキュリティ対策基準は公開しない。

（情報資産の評価）

第7条

　情報資産の分類において重要性を評価し、適切な管理を行う。

（職員等の義務）

第8条

　情報資産を取り扱うに当たり、情報セキュリティの重要性について共通の認識を持つとともに、関係法令及びセキュリティポリシーを遵守しなければならない。

（情報セキュリティ委員会）

第9条

　情報資産の適正な管理運営及び情報セキュリティ遵守の実効性の担保を計る体制を維持するため、情報セキュリティ委員会（以下「委員会」という。）を設置する。

（教育及び訓練）

第10条

　企業団は、情報セキュリティ基本方針の適用範囲である情報資産を取り扱う全ての者に対して、意識向上を主とした積極的な情報セキュリティ教育を必要に応じて行う。また、セキュリティインシデント発生時における職員の対応力を向上させるため、訓練を必要に応じて行う。

２　企業団の情報資産を取り扱う全ての者は、企業団が必要に応じて提供する情報セキュリティ教育及び訓練を受けなければならない。

（情報セキュリティ監査）

第11条

　セキュリティポリシーの遵守状況を確認するために、定期的又は必要に応じて情報セキュリティに関する監査を実施する。

（点検及び見直し）

第12条

　情報セキュリティ監査の実施による結果等を踏まえ、情報セキュリティを取り巻く状況、環境の変化や、セキュリティポリシーの遵守状況等を考慮し、セキュリティポリシーがその実効性を維持するよう、点検及び評価を定期的に行う。

２　監査、点検及び評価の結果、情報セキュリティの見直しが必要になった場合や、情報資産を取り巻く状況の変化に迅速かつ適切に対応するために、新たな対策等が必要になった場合は、セキュリティポリシーの見直しを適宜行う。