本サイトは、「行政院およびそれに所属する各機関の情報セキュリティ管理要綱」・「行政院およびそれに所属する各機関の情報セキュリティ管理規範」・「内政部営建署情報セキュリティポリシー」に基づき、また花蓮県政府(以下、「本県」という)の業務上の必要を考慮して、本ポリシーを制定します。また、本処は情報セキュリティ管理の強化・情報の機密性の確保・完全性および可用性・情報設備(パソコンのハード・ソフト・アクセサリを含む)とインターネットシステムの信頼性および従業員の情報セキュリティに対する認知のため、並びに叙述の資源があらゆる要因による妨害・破壊・侵入あるいはあらゆる不利な行為や企てに利用されることのないよう、本ポリシーを制定します。情報セキュリティ管理などの事項の調整・計画・会計監査および推進などを統一的に計画して勧めるため、部署を跨ぐ情報チーム(以下省略して「当チーム」という)を設立しました。当チームのスタッフ業務は本処企画経理課が担当し、チームのメンバーは本処の各部門から選出・派遣され、処長の許可を得て後、タスクフォースが結成されます。
以下に示す役割分担の原則に従い、権限および責務を関連部門の従業員に割り当てます。
- 情報セキュリティポリシー、プロジェクトおよび技術仕様の検討・協議、設定および評価等に関しては、本処の企画経理課が担当する。
- データおよび情報システムのセキュリティ要求事項の検討・協議・管理および保護等に関しては、本処の各業務部門が担当する。
- 情報機密保持および情報セキュリティ監査等に関しては、本処の人事室が倫理を兼任し関連部門と共に担当する。
本ポリシーの範囲は以下に示す通りです。関連の部門および従業員は下記事項に定められる関連の管理規範または実施計画に従うとともに、実施状況とその成果に対する評価を定期的に行わなければなりません。
- 従業員の管理および情報セキュリティに関する教育訓練
- コンピューターシステムのセキュリティ管理
- インターネットのセキュリティ管理
- システムのアクセス制御
- システムの改善およびセキュリティ管理
- 情報資源のセキュリティ管理
- 実体および環境のセキュリティ管理
- 事業永続化計画の企画と管理
従業員の管理および情報セキュリティに関する教育訓練
- 情報関連の職務および作業に対し、安全性の評価を行わなければならない。また、従業員の採用および作業や任務の任命の際は、従業員の適性を慎重に評価するとともに必要な審査を行わなければならない。各業務の主管人員は、所属している全ての従業員の情報の取り扱いの安全性を監督指導し、違法な行為や不当な行為を防止しなければならない。
- 管理・営業・情報など様々な職務におけるニーズに応じて定期的に情報安全教育訓練および周知啓発活動を行い、従業員の情報の安全に対する認識を高めるとともに、情報の安全保護レベルを引き上げる。
コンピューターシステムのセキュリティ管理
- 情報関連業務のアウトソーシングを行う場合は、事前に情報セキュリティニーズをしっかりと検討し、業者の情報保護の責任および秘密保持規定を明確に定めて契約を結び、業者に遵守するよう求めるとともに定期的に審査を実施しなければならない。
- 関連の法規または契約の規定に従いソフトウェアを複製および使用するとともに、ソフトウェア使用管理制度を構築する。
- 事前に必要な予防措置および保護措置をとり、コンピューターウイルスやその他の悪意のあるソフトウェアを検知およびブロックして、システムの正常な動作を確保する。
- 各種システムの変更作業に対して管理制度を構築し、後の調査に備えて記録を作成する。
- 情報ソフト・ハードウェア設備を購入する際は、国の基準あるいは権利と責任を有する主管機関が制定した政府情報安全規範に基づいて情報セキュリティニーズをしっかりと検討し、購入する設備の規格に反映させる。
インターネットのセキュリティ管理
- 外部に対し作業用情報システムへのアクセスを許可する際は、データおよびシステムの重要性や価値に応じてデータの暗号化・本人認証・デジタル署名・ファイアウォール、脆弱性検査など異なるセキュリティレベルの技術または措置を施し、データやシステムが不正侵入されたり、破壊・改ざん・削除されたり、ライセンスを受けずにアクセスされたりすることを防がなければならない。
- 外部のインターネットと繋がっているノードは、ファイアウォールやその他の必要な安全措置をとり、外部と内部インターネットのデータ送信やデータのアクセスを制御しなければならない。
- インターネットやグローバル情報サイトを利用し情報を公開または流通させる際は、情報セキュリティレベルの評価を実施しなければならず、機密性のあるデータ、センシティブデータおよび当事者の同意が得られていない個人のプライベートなデータや文書は、ネット上で公開してはならない。
- 電子メールの利用規定を定め、機密性のあるデータや文書は電子メールまたはその他の電子的な手段を用いて送信してはならない。
- インターネットの利用者が不注意で本処における関連のインターネット安全規定に抵触することを避けるため、インターネット管理担当者は、関連のインターネット技術を用いて、インターネットの正常な利用を妨げないという原則の下、本処のインターネットに関する規定に違反した利用者を積極的に取り締まることができる。
システムのアクセス制御
- システムのアクセスポリシーおよびライセンス規定を制定するとともに、書面・電子あるいはその他の方法で、従業員および利用者に関連の権限および責任を告げる。
- 従業員が離職(または休職)する際は、各項の情報ソースに関する全ての権限を直ちに取り消さなければならず、これを離職(または休職)の必要な手続きの中に組み込まなければならない。従業員の職務の調整や異動の際は、システムのアクセスポリシーおよびライセンス規定に基づき、期間を限定してその権限を調整しなければならない。
- システムの利用者登録管理制度を構築して利用者のパスワード管理を強化し、利用者のパスワードの変更周期は、最長6カ月以内を原則とする。
- システム提供メーカーがリモートアクセスの形でシステムのメンテナンスを行う場合は、セキュリティ管理を強化するとともに、人員名簿を作成し、関連する安全および秘密保持についての責任を課さなければならない。
- 情報セキュリティ監査制度を構築し、定期または不定期に情報セキュリティ監査作業を実施する。
システムの改善およびセキュリティ管理
- 独自またはアウトソーシングでシステムを開発する際は、システムのライフサイクルの初期段階において、情報セキュリティのニーズを考慮に入れなければならない。システムのメンテナンス、更新、オンラインでの実行およびバージョンの変更作業を行う際は、安全管理を行い、望ましくないソフトウェア・バックドア・ウイルスなどシステムへの脅威を防止しなければならない。
- メーカーのソフト・ハードウェアシステムの構築およびメンテナンスを行う担当者に関しては、そのアクセスできるシステムおよびデータの範囲を規範に定めて制限するとともに、長期のシステム同定コードやパスワードの発行を厳しく禁じなければならない。実際の作業に必要な場合は、メーカーが使用するための短期または臨時のシステム同定コードやパスワードをメーカーに対して発行することができるが、使用後は直ちにその使用権限を取り消さなければならない。
- メーカーに委託して重要なソフト・ハードウェア設備の構築やメンテナンスを行う場合は、同設備を使用している本処の課や部署の関連の従業員の監督・同伴の下で行わなければならない。
情報資源のセキュリティ管理
- 情報システムに関する情報資源リストを作成する場合は、情報資源の項目、所有者およびセキュリティレベルの類別などを定めなければならない。
- 国家機密の保護・コンピューターで処理される個人情報の保護・政府の情報公開など関連の法規に基づき、情報セキュリティレベルの分類基準と、それに対応する保護措置を構築する。
- 各セキュリティレベルに分類された情報やシステムのアウトプットデータは、適切なセキュリティレベルを標示して利用者に遵守させなければならない。
事業の持続可能な運営計画の企画と管理
- 事業の持続可能な運営計画を定め、各種の人為的災害または自然災害が事業の運営に及ぼす影響を評価し、緊急措置や復旧作業プロセスおよび関連する各人員の権利と責任を定めるとともに、定期的な訓練および計画の調整や更新を行う。
- 情報セキュリティ事件に対する緊急措置システムを構築し、情報セキュリティ事件が発生した際は、規定にある処理手順に従い、直ちに情報セキュリティ部門または担当者に報告して対処を行うとともに、検察、警察および調査機関に連絡して捜査の協力を依頼しなければならない。
- 関連の法規に基づきデータのセキュリティレベルを定めて区分し、各レベルに応じた適切かつ十分な情報セキュリティ措置をとる。本ポリシーは少なくとも1年に1回評価を行い、政府の法令や技術および業務などの最新の状況を反映させて情報セキュリティの実務作業の有効性を確保しなければならない。本情報セキュリティポリシーは本処処長の審査および許可を得て後に施行され、修訂の場合も同様とする。