会計検査院 情報セキュリティポリシー基本方針
第1 目的
現在、社会経済の情報化の進展に伴い、会計検査院(以下「本院」という。)と本院を取り巻く環境は、情報技術なしでは成り立たない状況となっている。そして、本院内部や検査対象である各府省等では、情報技術を利用した業務が行われていて、本院職員や関係者は、多様な場面で様々な情報に接する機会が増大している。
このような状況を踏まえ、本院は、各府省等との連携を図りつつ本院業務の情報化を推進していくことで、情報化による業務の一層の円滑化・効率化を図っているところである。
一方、情報化には、常に情報の漏えいや改ざん、情報システムの事故や故障、地震や火災等の自然災害等の脅威が伴い、これらの脅威が現実化した場合、業務の遂行が著しく困難になることはもとより、国民の信頼を損なうなど、その損害は甚大になるおそれがある。
上記の脅威に適切に対応し、国の財政監督機関として必要な情報セキュリティ水準を達成するため、情報セキュリティに係る対策(以下「情報セキュリティ対策」という。)として、会計検査院情報セキュリティ規程(平成19年会計検査院事務総局規程第5号)第7条の規定に基づき、情報セキュリティポリシー(以下「ポリシー」という。)を定める。
第2 適用範囲
- (1)ポリシーにおいて適用対象とする者は、全ての職員等とする。
- (2)ポリシーにおいて適用対象とする情報は、以下のものとする。
- ① 職員等が職務上使用することを目的として本院が調達し、又は開発した情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された紙媒体に記載された情報及び紙媒体から情報システムに入力された情報を含む。)及び紙媒体の情報
- ② その他の情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された紙媒体に記載された情報及び紙媒体から情報システムに入力された情報を含む。)であって、職員等が職務上取り扱う情報
- (3)ポリシーにおいて適用対象とする情報システムは、ポリシーの適用対象となる情報を取り扱う全ての情報システムとする。
第3 情報セキュリティの基本原則
情報セキュリティの基本は、本院で取り扱う情報の重要度に応じた「機密性」・「完全性」・「可用性」を確保することであり、本院として情報セキュリティ対策を講じていくことが原則である。本院の情報セキュリティの基本原則は、以下のとおりとする。
- (1)最高情報セキュリティ責任者を設置し、情報セキュリティ対策を実施するための体制を構築する。
- (2)基本方針を遵守し、対策基準が定める事項を遵守及び適用する。また、情報セキュリティを確保するために必要となる実施手順を作成し、これに基づいた運用を行う。
- (3)情報セキュリティ対策を適切に実施するために、情報セキュリティに関する必要な教育を実施する。
- (4)情報セキュリティに支障を及ぼすインシデントが発生した場合に速やかに対応する。
- (5)情報及び情報システムを情報セキュリティ上の脅威から保護するため、リスクアセスメントを実施し、適切な情報セキュリティ対策を行う。
- (6)情報セキュリティ対策の実施状況を点検するために情報セキュリティ監査、自己点検等を実施する。
- (7)情報セキュリティの水準を維持するとともに、定期的に見直しを実施し必要に応じて改善する。
- (8)職員等は、ポリシー、実施手順のほか、著作権、個人情報の保護、文書管理及び情報セキュリティに関する法令等(以下「関係法令等」という。)を遵守する。
- (9)ポリシー違反に対して、厳正に対処する。