2　CISOは、次に掲げる事項についての権限及び責任を有する。

2　統括情報セキュリティ責任者は、CISOを補佐し、CISOに事故があるとき、又は欠けたときは、その職務を代理する。

3　統括情報セキュリティ責任者は、次に掲げる事項についての権限及び責任を有する。

2　統括情報セキュリティ管理者は、統括情報セキュリティ責任者を補佐し、情報資産に関して適正な情報セキュリティ対策が実施されるよう管理する。

2　情報セキュリティ責任者は、次に掲げる事項についての権限及び責任を有する。

2　情報セキュリティ管理者は、情報セキュリティ責任者の承認を得て行う次に掲げる事項についての権限及び責任を有する。

2　情報セキュリティ担当者は、情報セキュリティ管理者の指示等に従い、課等内における情報セキュリティ対策に関する作業を行うものとする。

2　情報システム管理者は、情報セキュリティ責任者の承認を得て行う次に掲げる事項についての権限及び責任を有する。

2　情報システム担当者は、情報システム管理者の指示等に従い、情報システムの開発、設定の変更、運用、見直し等の作業を行うものとする。

2　監査を行う権限を有する者は、やむを得ない場合を除き、その権限に属するものの監査を行ってはならない。

2　CISOは、CSIRTに所属する職員を指名し、その中からCSIRT責任者を置き、並びにCSIRT内の統括及び外部との連携等を行う者を定めなければならない。

3　CISOは、情報セキュリティに関する統一的な窓口機能を整備し、情報セキュリティインシデントについて部局等より報告を受けた場合には、その状況を確認し、自らへの報告が行われる体制を整備しなければならない。

4　CSIRTは、CISOによる情報セキュリティ戦略の意思決定が行われた際には、その内容を関係部局等に提供しなければならない。

5　CSIRTは、情報セキュリティインシデントを認知した場合には、CISO、総務省、県等へ報告を行わなければならない。

6　情報セキュリティインシデントを認知した場合には、その重要度や影響範囲等を勘案し、報道機関への通知及び公表を行わなければならない。

7　CSIRTは、情報セキュリティに関して、関係機関や他の地方公共団体の情報セキュリティに関する統一的な窓口の機能を有する部署、業務委託事業者等との情報共有を行わなければならない。

2　情報セキュリティ管理者は、情報資産を管理するに当たっては、情報の内容及び情報資産の分類を表示しなければならない。

3　職員は、業務以外の目的で情報資産を作成してはならない。

4　職員は、情報資産を作成するときは、当該情報資産の分類を定めなければならない。

5　職員は、作成中の情報についても、紛失や流出等を防止しなければならない。この場合において、情報が不要になった場合は、当該情報を復元できないように処理したうえで廃棄しなければならない。

6　職員は、他の職員が作成した情報資産を入手したときは、入手元の情報資産の分類に基づいた取扱いをしなければならない。この場合において、入手した情報資産の分類が不明なときは、情報セキュリティ管理者の指示を受けるものとする。

7　職員は、職員以外の者が作成した情報資産を入手したときは、当該情報資産の分類を定めなければならない。

2　情報セキュリティ管理者は、機密性3若しくは機密性2、完全性2又は可用性2に分類される情報資産を記録した電磁的記録媒体を保管する場合は、耐火、耐熱、耐水及び耐湿を講じた場所に施錠して保管するよう努めなければならない。

3　情報セキュリティ管理者は、情報資産を記録した電磁的記録媒体を長期に保管する場合は、書込禁止の措置を講じて保管するとともに、保管した情報資産に係る改ざん等の有無について定期的に確認しなければならない。

2　職員は、機密性3又は機密性2に分類される情報資産を外部に提供し、又は運搬するときは、必要に応じてパスワードの設定等による暗号化を行わなければならない。電子メールにより送信するときも、同様とする。

3　情報セキュリティ管理者は、住民に公開する情報資産について、完全性を確保しなければならない。

2　職員は、ガバメントクラウドの利用終了時期を確認し、ガバメントクラウド上で取り扱う全ての情報資産が適切に移行又は消去されるよう管理しなければならない。

2　情報システム管理者は、停電等によるサーバ等の機器への電源供給の停止に備えるため、当該機器が適正に停止するまでに必要な容量の予備電源を備え付けなければならない。

3　情報システム管理者は、落雷等による過電流からサーバ等の機器を保護するための必要な措置を講じなければならない。

4　情報システム管理者は、通信ケーブル及び電源ケーブルの損傷等を防止するため、配線収納管を使用する等必要な措置を講じなければならない。この場合において、主要な箇所の通信ケーブル及び電源ケーブルの損傷等の報告があったときは、施設管理者と連携して対応しなければならない。

5　情報システム管理者は、職員以外の者が容易にネットワークに接続し、又はネットワークを遮断することができないようにネットワーク接続口を適正に管理しなければならない。

6　情報システム管理者は、契約により操作を認められた業務委託事業者以外の者が配線の変更又は追加をできないように必要な措置を講じなければならない。

7　情報システム管理者は、可用性2に分類される情報資産のサーバ等の機器の定期保守を実施しなければならない。

8　情報システム管理者は、電磁的記録媒体を内蔵する機器を外部の事業者に修理させる場合は、その修理する事業者との間において、守秘義務契約の締結及び秘密保持体制の確認を行わなければならない。

9　情報システム管理者は、庁外にサーバ等の機器を設置する場合は、CISOの承認を得なければならない。この場合において、情報システム管理者は、当該機器への情報セキュリティ対策状況について定期的に確認しなければならない。

10　情報システム管理者は、機器の廃棄、リース返却等をする場合は、記録されている情報の機密性に応じて機器内部の電磁的記録媒体から、全ての情報を消去する等復元不可能な状態にする措置を講じなければならない。

11　情報システム管理者は、ガバメントクラウドの外部サービス提供者が利用するサーバ等を廃棄する場合は、情報セキュリティを確保した措置が講じられているか確認しなければならない。ただし、当該外部サービス提供者が第三者による監査報告書、認証等を取得している場合は、この限りでない。

12　情報システム管理者は、第2項から第4項までの規定による措置等を講じるときは統括情報セキュリティ責任者及び施設管理者と、第5項、第6項及び第9項の規定による措置等を講じるときは統括情報セキュリティ責任者と連携を図るものとする。

2　情報システム管理者は、管理区域内の機器等に対して転倒、落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。

3　情報システム管理者は、管理区域に配置する消火薬剤、消防用設備等が、機器等及び電磁的記録媒体に影響を与えないようにしなければならない。

4　情報システム管理者は、前3項の規定による措置等を講じるときは、統括情報セキュリティ責任者及び施設管理者と連携を図るものとする。

5　統括情報セキュリティ責任者は、管理区域への入退室を許可された者のみに制限するとともに、ICカード等の所有物認証、指紋認証等の生体認証や入退室管理簿の記載による入退室管理を行わなければならない。

6　統括情報セキュリティ責任者は、機密性3又は機密性2に分類される情報資産を取り扱う情報システムを設置している管理区域には、当該情報システムに関連しない、又は個人が所有するパソコン、モバイル端末、通信回線装置、電磁的記録媒体等を持ち込ませないようにしなければならない。

7　統括情報セキュリティ責任者は、外部からの訪問者が管理区域に入る場合には、必要に応じて立入り区域を制限したうえで、管理区域への入退室を許可された職員を付き添わせなければならない。

8　統括情報セキュリティ責任者は、搬出入する機器等が既存の情報システムに与える影響について、あらかじめ職員又は業務委託事業者に確認を行わせなければならない。

9　統括情報セキュリティ責任者は、管理区域内の機器等の搬出入については、必ず職員を立ち会わせなければならない。

2　統括情報セキュリティ責任者は、外部ネットワークへの接続を必要最小限にしなければならない。

3　統括情報セキュリティ責任者は、機密性3又は機密性2に分類される情報資産を取り扱う情報システムに通信回線の接続をする場合は、必要なセキュリティ水準を検討のうえ、適正な回線を選択しなければならない。

4　統括情報セキュリティ責任者は、ネットワークに使用する回線については、通信途上で情報の漏えい、改ざん等が生じないように十分な情報セキュリティ対策を実施しなければならない。

5　統括情報セキュリティ責任者は、可用性2の情報を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択しなければならない。また、必要に応じ、回線を冗長構成にする等の措置を講じなければならない。

2　情報システム管理者は、情報システムを利用する際にはパスワードの入力を必要とするよう設定しなければならない。

3　情報セキュリティ管理者は、個人番号利用事務系において多要素認証を行うよう設定しなければならない。

2　情報システム管理者は、ガバメントクラウドのバックアップ機能を利用する場合は、ガバメントクラウドの外部サービス提供者にバックアップ機能の仕様の提供を求め、当該仕様が適正なセキュリティ要件を満たすことを確認しなければならない。

2　情報システム管理者は、所管する情報システムにおいて、システム変更等の作業を行った場合は、その作業内容について記録を作成し、窃取、改ざん等をされないように適正に管理しなければならない。

3　情報システム管理者は、所管する情報システムにおいて、業務委託事業者がシステム変更等の作業を行う場合、2名以上で作業させることとし、その作業を確認するものとする。

4　情報システム管理者は、前3項の規定による情報システム仕様書等の管理等においては、統括情報セキュリティ責任者と連携を図るものとする。

2　情報システム管理者は、ガバメントクラウドの外部サービス提供者が取得し、保存するログについて、ログ管理等に係る対策及び機能に関する情報を確認し、ログに係る保護が実施されていることを確認しなければならない。

3　情報システム管理者は、監査及び調査分析に必要となるログ等の情報について、ガバメントクラウドの外部サービス提供者から提供されるログ等の監視機能で不足する場合は、外部サービス提供者にログ等の提出を求める手続を明確にしておかなければならない。

2　情報システム管理者は、所管する情報システムを外部ネットワークと接続しようとする場合には、許可された通信のみを判断し通過させる装置(以下「ファイアウォール」という。)を外部ネットワークとの境界(以下「ゲートウェイ」という。)に設置し、庁内の全てのネットワーク、情報資産に影響が生じないことを確認したうえで、CISOの許可を得なければならない。

3　情報システム管理者は、接続した外部ネットワークの瑕疵(かし)により、情報の漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者との間で損害賠償責任を明確にしなければならない。

4　情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、侵害の危機がある場合は、統括情報セキュリティ責任者に報告するとともに、直ちに当該外部ネットワークを物理的に遮断する等適正な措置を講じなければならない。

2　統括情報セキュリティ責任者は、複合機が備える機能について適正な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。

3　統括情報セキュリティ責任者は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全ての情報を抹消し、又は再利用できないようにする対策を講じなければならない。

2　統括情報セキュリティ責任者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。

2　職員は、ソフトウェアライセンスの不正利用をしてはならない。

2　統括情報セキュリティ責任者は、支給したパソコンが異なるネットワークに接続できないよう技術的な措置を講じなければならない。

2　統括情報セキュリティ責任者は、職員のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、情報セキュリティ管理者に通知し、適正な措置を求めなければならない。

2　機密性3又は機密性2に分類される情報は、ソーシャルメディアサービスで発信してはならない。

3　情報セキュリティ管理者は、利用するソーシャルメディアサービスごとの責任者を定めなければならない。

4　情報セキュリティ管理者は、アカウントの不正利用を確認した場合は、被害を最小限にするための措置を講じなければならない。

2　統括情報セキュリティ責任者は、庁内ネットワーク又は情報システムに対する外部からのアクセス権限の付与を必要最小限としなければならない。

3　統括情報セキュリティ責任者は、外部からのアクセスを認める場合、情報システム上で利用者認証を行う機能を確保しなければならない。

4　統括情報セキュリティ責任者は、外部からのアクセスを認める場合、通信途上の盗聴を防ぐため、暗号化等の措置を講じなければならない。

5　統括情報セキュリティ責任者等は、外部からのアクセスに利用するパソコンを職員に貸与する場合、セキュリティ確保のために必要な措置を講じなければならない。

2　統括情報セキュリティ責任者又は情報システム管理者は、所管する情報システムの利用者IDの登録、変更、抹消等の情報を管理するとともに、アクセス権限の付与を必要最小限としなければならない。

3　統括情報セキュリティ責任者は、個人番号利用事務系等において、機器の固有情報によってネットワークとの接続可否が自動的に識別されるように情報システムを設定しなければならない。

4　統括情報セキュリティ責任者又は情報システム管理者は、認証情報を厳重に管理するとともに、認証情報の不正利用を防止するための措置を講じなければならない。

2　統括情報セキュリティ責任者は、不要なサービスについて、機能を削除又は停止しなければならない。

3　情報システム管理者は、不正アクセスによるウェブページの改ざんを検出し、自らへの通報が行われるように努めなければならない。

4　統括情報セキュリティ責任者は、情報セキュリティに関する統一的な窓口と連携し、監視、通知、外部連絡窓口及び適正な対応などを実施できる体制並びに連絡網を構築しなければならない。

5　情報システム管理者は、ガバメントクラウドを利用する場合において、適正なアクセス制御がガバメントクラウドの外部サービス提供者から提供される機能等により実施できるかどうかについて、事前に外部サービス提供者に確認しなければならない。

6　情報システム管理者は、ガバメントクラウドを利用する場合において、業務委託事業者にアクセス権限を付与するときは、多要素認証を行うよう設定しなければならない。

7　CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受けた場合又は攻撃を受けるリスクがある場合は、情報システムの停止等必要な措置を講じなければならない。この場合において、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号)に違反する等犯罪の可能性があるときには、攻撃の記録を保存するとともに、警察及び関係機関に通報しなければならない。

8　統括情報セキュリティ責任者及び情報システム管理者は、職員が使用しているパソコンからの庁内のサーバ又は外部のサイトに対する攻撃を防止する措置を講じなければならない。

9　統括情報セキュリティ責任者及び情報システム管理者は、職員による不正アクセスを発見した場合は、アクセス権限の停止、ネットワークの切断等の適正な措置を講じなければならない。

10　統括情報セキュリティ責任者及び情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。

11　統括情報セキュリティ責任者及び情報システム管理者は、情報システムにおいて、標的型攻撃による内部への侵入を防止するために、教育等の人的対策を講じなければならない。また、標的型攻撃による組織内部への侵入を低減する対策、内部に侵入した攻撃を早期に検知して対処する対策、外部との不正通信を検知して対処する対策等を講じなければならない。

12　統括情報セキュリティ責任者及び情報システム管理者は、情報システムのセキュリティ上の弱点に関する情報を収集し、その緊急度に応じてソフトウェアの更新等の対策を実施しなければならない。

13　統括情報セキュリティ責任者及び情報システム管理者は、ガバメントクラウドを利用する場合において、ガバメントクラウドの外部サービス提供者にガバメントクラウドのセキュリティ上の脆弱性の管理内容について情報の提供を求め、業務及び情報資産に対する影響について特定するとともに、脆弱性管理の手順について、外部サービス事業者に確認しなければならない。

2　職員は、市が所管するパソコン、電磁的記録媒体、ソフトウェア等の情報資産を外部に持ち出し、及び外部で情報処理作業を行う場合は、情報セキュリティ管理者の許可を得なければならない。

3　情報セキュリティ管理者は、前項の許可をした場合は、記録を作成し保管しなければならない。

2　情報セキュリティ管理者は、前項の許可をした場合は、記録を作成し保管しなければならない。

2　CISOは、情報セキュリティ研修等の計画の策定とその実施体制の構築を定期的に行い、委員会(奥州市情報セキュリティ委員会設置規程(平成22年奥州市訓令第1号)第1条に規定する奥州市情報セキュリティ委員会をいう。以下同じ。)の承認を得なければならない。

3　CISOは、毎年度1回、委員会に対して、職員の情報セキュリティ研修等の実施状況について報告しなければならない。

4　CISOは、緊急時対応を想定した訓練を適宜実施しなければならない。

5　職員は、定められた情報セキュリティ研修等に参加しなければならない。

2　情報セキュリティ管理者は、前項の報告に係る情報セキュリティインシデントが、情報システムに関連する場合は統括情報セキュリティ責任者及び情報システム管理者に、ネットワークに関連する場合は統括情報セキュリティ責任者に報告しなければならない。

3　前項の場合において、情報セキュリティ管理者は、その情報セキュリティインシデントの内容等から必要と認めるときは、併せてCISO及び情報セキュリティ責任者に報告しなければならない。

4　情報セキュリティ管理者は、第1項の報告に係る情報セキュリティインシデントがガバメントクラウドの利用に関する場合は、CSIRTと連携を図り、外部サービス提供者等に報告しなければならない。

5　CISOは、情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等の外部から報告を受けるための窓口を設置し、当該窓口への連絡手段を公表しなければならない。

6　統括情報セキュリティ責任者及び情報システム管理者は、ガバメントクラウドを利用する場合において、ガバメントクラウドの外部サービス提供者が検知した情報セキュリティインシデントの報告及び状況を追跡する仕組みの構築について明確にしておかなければならない。

7　CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認したうえで、情報セキュリティインシデントであるかの評価を行い、情報セキュリティインシデントであると評価した場合には、速やかにCISOに報告しなければならない。

8　CSIRTは、情報セキュリティインシデントの被害が拡大しないよう措置を講じたうえで復旧に努めるとともに、当該情報セキュリティインシデントの原因を究明し、記録を保存しなければならない。

9　CSIRTは、情報セキュリティインシデントの原因究明の結果から、再発防止策を検討し、CISOに報告しなければならない。

10　CISOは、CSIRTから情報セキュリティインシデントの報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。

2　職員は、認証カードを紛失し、又は破損した場合は、直ちに情報セキュリティ管理者に報告しなければならない。

3　情報セキュリティ管理者は、前項の報告を受けた場合は、直ちに統括情報セキュリティ責任者に報告しなければならない。

4　統括情報セキュリティ責任者は、前項の報告を受けた場合は、直ちに当該認証カードを使用したアクセス権を停止しなければならない。

5　統括情報セキュリティ責任者は、認証カードを切り替える場合、切替え前の認証カードを回収し、復元不可能な処理を行ったうえで廃棄しなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者は、ログを取得するサーバの時刻が、正確なものとなるよう各種設定等の措置を講じなければならない。情報システムをガバメントクラウドにおいて利用する場合も、同様とする。

3　統括情報セキュリティ責任者及び情報システム管理者は、ガバメントクラウドを利用する場合において、必要となる監視機能を確認するとともに、情報システムの監視により、業務継続のうえで必要となる容量及び能力を予測し、業務が維持できるようにしなければならない。

4　統括情報セキュリティ責任者及び情報システム管理者は、ガバメントクラウドの利用において重大な情報セキュリティインシデントにつながるおそれのある次に掲げる事項について手順化しておかなければならない。

2　統括情報セキュリティ責任者は、前項の報告を受けた事項について、その重要度に応じてCISOに報告しなければならない。

3　情報システム管理者は、統括情報セキュリティ責任者と連携を図り、ネットワーク及びサーバ等のシステム設定等におけるこの訓令の規定の遵守状況について、定期的に確認を行い、違反行為を認めた場合は、適正かつ速やかに対処しなければならない。

4　CISOは、不正アクセス、不正プログラム等の調査のために必要と認めるときは、職員を指名し、当該職員が使用するパソコン及び電磁的記録媒体等のログ、電子メールの送受信記録等の状況を調査することができる。

2　情報セキュリティ管理者は、前項の報告を受けた場合は、統括情報セキュリティ責任者及び情報システム管理者に報告しなければならない。

3　統括情報セキュリティ責任者は、違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると判断した場合は、次条に規定する緊急時対応計画に従って適正に対処しなければならない。

2　統括情報セキュリティ責任者は、ガバメントクラウドを利用する場合において、ガバメントクラウドの外部サービス提供者と情報セキュリティインシデント管理における責任と役割の分担を明確にし、ガバメントクラウドの障害時を想定した措置を緊急時対応計画の中に定めておかなければならない。

3　統括情報セキュリティ責任者は、自然災害、感染症のまん延等に備えるために、情報通信技術の利用に係る業務継続計画を定め、委員会の承認を得なければならない。業務継続計画を変更する場合も、同様とする。

4　統括情報セキュリティ責任者は、情報セキュリティを取り巻く状況の変化、組織体制の変動等に応じ、緊急時対応計画を見直さなければならない。

2　情報セキュリティ管理者及び情報システム管理者は、事務の遂行に緊急を要する等やむを得ない場合であって、前項の許可をとる時間的余裕がないときは、事後速やかにCISOに報告のうえ承認を得なければならない。

3　CISOは、例外的な措置に係る書類等を適正に保管しなければならない。

2　情報システム管理者は、職員の違反行為を確認した場合は、統括情報セキュリティ責任者並びに当該職員が所属する組織の情報セキュリティ責任者及び情報セキュリティ管理者に通知し、適正な措置を求めなければならない。

3　統括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティ責任者又は情報セキュリティ管理者の指導によっても職員の違反行為が改善されない場合は、当該職員の情報システムにアクセスする権限を停止しなければならない。この場合において、統括情報セキュリティ責任者は、その内容をCISO並びに当該職員が所属する組織の情報セキュリティ責任者及び情報セキュリティ管理者に通知するものとする。

2　統括情報セキュリティ責任者又は情報システム管理者は、重要な情報資産を取り扱う業務の委託に当たっては、業務委託事業者との間で必要に応じて次に掲げる条件を明記した契約を締結しなければならない。

3　統括情報セキュリティ責任者又は情報システム管理者は、業務委託事業者において必要な情報セキュリティ対策が確保されていることを確認し、必要に応じて改善要求等の措置を講じなければならない。この場合において、統括情報セキュリティ責任者又は情報システム管理者は、その内容を重要度に応じてCISOに報告しなければならない。

2　情報セキュリティ管理者は、外部サービスを利用しようとする場合は、取り扱う情報の分類及び取扱制限を踏まえて、前項に規定する基準等に従って利用の可否を検討しなければならない。

2　情報システム管理者は、ガバメントクラウドを利用する場合において、外部サービス提供者に前項に規定する事項を含む情報セキュリティ対策に係る情報の提供を求め、その内容を確認し、適正なセキュリティ要件を満たすことを評価しなければならない。

3　情報システム管理者は、外部サービスが中断し、又は終了した場合に円滑に業務を移行するための対策を検討し、外部サービス提供者の選定の条件としなければならない。

4　情報システム管理者は、ガバメントクラウドを利用する場合において、ガバメントクラウドの外部サービス提供者と情報セキュリティに関する役割及び責任の分担について確認しなければならない。

5　情報システム管理者は、外部サービスで取り扱われる情報資産に対して国内法以外の法令及び規制が適用されるリスクを考慮して外部サービス提供者を選定し、必要に応じて情報資産が取り扱われる場所並びに契約に定める準拠法及び裁判管轄を選定の条件としなければならない。

6　情報システム管理者は、外部サービス提供者がその役務の一部を再委託する場合は、再委託により生じる脅威に対して情報セキュリティが十分に確保されるよう、再委託先の情報セキュリティ対策の実施状況を提供することについて、外部サービス提供者の選定の条件としなければならない。

7　情報システム管理者は、外部サービスの特性を考慮したうえで、外部サービス全般にわたる情報セキュリティが適切に確保されるよう、必要な対策を講じなければならない。

8　情報システム管理者は、情報セキュリティ監査による報告書の内容、各種認証制度等の適用状況等から、外部サービス提供者の信頼性が十分であるかを評価しなければならない。

2　情報システム管理者は、外部サービス提供者及び外部サービスが調達仕様書の内容を満たすことを確認し、当該内容を明記した契約を締結しなければならない。

2　統括情報セキュリティ責任者は、外部サービスの利用を承認した場合は、承認済み外部サービスとして記録しなければならない。

2　情報システム管理者は、前項に規定する情報セキュリティ対策について、情報システムの構築時に実施状況を確認及び記録しなければならない。

3　情報システム管理者は、ガバメントクラウドを利用する場合において、外部サービス提供者に第1項に規定する情報セキュリティ対策に配慮した構築の手順及び実践がされているかの情報の提供を求め、実施状況を確認及び記録しなければならない。

2　情報システム管理者は、外部サービスの特性等を踏まえ、外部サービスで発生した情報セキュリティインシデントを認知した際の対処手順を整備しなければならない。

3　情報システム管理者は、第1項に規定する情報セキュリティ対策について、情報システムの運用時に実施状況を定期的に確認及び記録しなければならない。

4　情報システム管理者は、ガバメントクラウドを利用する場合において、外部サービス提供者に第1項に規定する情報セキュリティ対策に配慮した運用の手順及び実践がされているかの情報の提供を求め、実施状況を定期的に確認及び記録しなければならない。

2　情報システム管理者は、前項に規定する情報セキュリティ対策について、外部サービスの利用終了時に実施状況を確認及び記録しなければならない。

3　情報システム管理者は、ガバメントクラウド上で機密性の高い情報を保存する場合は、機密性を維持するために暗号化するとともに、当該情報を廃棄するときは、暗号化した鍵を削除する等の方法により、復元できないようにしなければならない。

2　情報セキュリティ管理者は、外部サービスの利用を承認した場合は、承認済み外部サービスとして記録しなければならない。

3　職員は、適正な措置を講じたうえで外部サービスを利用しなければならない。

2　情報セキュリティ管理者は、所管する課等における情報セキュリティ対策の状況について、定期的に自己点検を行い、統括情報セキュリティ責任者に報告しなければならない。

3　統括情報セキュリティ責任者は、情報システム管理者及び情報セキュリティ責任者と連携を図り、自己点検の結果及びその結果に基づく改善策を取りまとめ、委員会に報告しなければならない。

4　統括情報セキュリティ責任者は、自己点検の結果を職員に公表しなければならない。

5　職員は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。

2　情報セキュリティ監査統括責任者は、総務部長をもって充てる。

3　情報セキュリティ監査統括責任者は、監査を行うに当たっては、監査実施計画を策定し、委員会の承認を得なければならない。

4　監査を受ける組織は、監査の実施に協力しなければならない。

5　情報セキュリティ監査統括責任者は、別に監査人を指名し、又は依頼したうえで、監査を行わなければならない。

6　監査人は、監査を受ける組織から独立し、かつ、監査及び情報セキュリティに関する専門知識を有する者でなければならない。

7　情報セキュリティ監査統括責任者は、業務委託事業者(再委託する事業者を含む。)に対し、この訓令及び情報セキュリティ実施手順に定められている事項の遵守義務の履行に係る監査を定期的に又は必要に応じて行わなければならない。

8　情報セキュリティ監査統括責任者は、ガバメントクラウドの外部サービス提供者に対し、外部サービス提供者自らが定める情報セキュリティに関する規定の遵守について、定期的に監査を行わなければならない。ただし、当該外部サービス提供者より、第三者の監査人が発行する証明書、監査報告書等の提示があった場合は、この限りでない。

9　情報セキュリティ監査統括責任者は、実施した監査の結果を取りまとめ、委員会に報告しなければならない。

10　情報セキュリティ監査統括責任者は、監査の実施を通して収集した監査証拠及び監査報告書の作成のための監査調書を適正に保管しなければならない。

11　CISOは、監査の結果、指摘事項があった情報セキュリティ管理者に対し、当該指摘事項の是正又は改善を指示しなければならない。この場合において、他の組織にあっても指摘事項と同種の課題及び問題点がある可能性が高い場合は、情報セキュリティ管理者と連携を図り、その有無を確認するものとする。

(施行期日)

1　この訓令は、平成22年4月1日から施行する。

(奥州市個人情報保護管理規程の一部改正)

2　奥州市個人情報保護管理規程の一部を次のように改正する。

この訓令は、平成23年4月1日から施行する。

この訓令は、平成24年4月1日から施行する。

この訓令は、平成27年4月1日から施行する。

この訓令は、平成27年10月1日から施行する。

この訓令は、平成28年4月1日から施行する。

この訓令は、平成31年4月1日から施行する。

この訓令は、令和2年4月1日から施行する。

この訓令は、令和3年11月1日から施行する。

この訓令は、令和4年4月1日から施行する。

この訓令は、令和5年4月1日から施行する。

この訓令は、令和6年4月1日から施行する。