和歌山県警察情報セキュリティに係る管理体制について(例規)

(制定:平成26年1月27日 情管第4号)
和歌山県警察本部長から各所属長あて
和歌山県警察における情報セキュリティについては、「和歌山県警察情報セキュリティ対策基準の制定について(例規)」(平成20年1月25日付け情管第4号)及び「和歌山県警察情報セキュリティ実施細目の制定について(例規)」(平成20年1月25日付け情管第5号)(以下これらを「旧規程」という。)により実施してきたところであるが、情報セキュリティを巡る情勢の変化を踏まえ、和歌山県警察における情報セキュリティポリシーに基づき、和歌山県警察における情報セキュリティを確保するために必要な管理体制を下記のとおり定め、平成26年4月1日から施行することとしたので、適正な運用に努められたい。
なお、この通達の施行に伴い、旧規程は、廃止する。
第1 総則
1 情報の分類
情報の分類は、次のとおりとする。
(1) 機密性
ア 機密性高
情報のうち、秘密文書(和歌山県警察公文書管理規程(平成13年和歌山県警察本部訓令第21号)第8章に定めるものをいう。)の内容に相当する情報のその他の機密性が損なわれることによる影響が大きいもの
イ 機密性中
情報のうち、直ちに一般に公開することが前提としていないもの
ウ 機密性低
情報のうち、機密性高又は中に分類される以外のもの
(2) 完全性
ア 完全性高
情報のうち、改ざんされた場合又は滅失した場合に業務の的確な遂行に支障を及ぼすおそれがあるもの
イ 完全性低
情報のうち、可用性高に分類される以外のもの
(3) 可用性
ア 可用性高
情報のうち、その情報が使用できないときに業務の安定的な遂行に支障を及ぼすおそれがあるもの
イ 可用性低
情報のうち、可用性高に分類される以外のもの
2 用語の定義
警察情報セキュリティポリシーにおける用語の意義は、次のとおりとする。
(1) 警察情報セキュリティポリシー
規程及び規程に基づいて定められた情報セキュリティに関する事項をいう。
(2) 要機密情報
機密性高又は機密性中に分類される情報をいう。
(3) 外部記録媒体
フロッピーディスク、フラッシュメモリー、DVD規格媒体等電子計算機に接続し情報を入出力する電磁的記録媒体をいう。
(4) ネットワーク機器
システムを構成するルータ、ハブ等の機器又はこれらから出力されるデータを利用することによりネットワークを管理する機能を有する機器をいう。
(5) 外部回線
警察の管理が及ばない電子計算機が論理的に接続され、当該電子計算機の通信に利用されるインターネットその他の電気通信回線をいう。
(6) ネットワーク端末
ネットワークを介して他の電子計算機器と接続された端末装置であって、インターネットに接続されていないものをいう。
(7) インターネット端末
インターネットに接続された端末装置をいう。
(8) スタンドアロン電子計算機
他の電子計算機と接続されていない電子計算機をいう。
(9) 持出許可パソコン
一の警察の庁舎内から移動して運用するものとして整備した電子計算機(携帯電話機(スマートフォンを含む。)を含む。)をいう。
(10)サーバ等
情報を体系的に記録し、検索し、又は編集する機能を有するサーバ及びメインフレームをいう。
(11)自己復号型暗号
特定のソフトウェアをインストールすることなく復号することのできる暗号をいう。
第2 情報セキュリティ管理者の遵守事項
1 情報セキュリティ管理者は、情報セキュリティに係る事務を総括整理するに当たっては、その事務に関係するシステムセキュリティ責任者及びシステムセキュリティ維持管理者の意見を聴き、十分検討した上で処理しなければならない。
2 情報セキュリティ管理者は、警察情報システム及び和歌山県警察において警察業務に係る情報の処理を行うその他の電子計算機(以下「警察情報システム等」という。)について一元的に把握し管理するため、必要な事項を記載した台帳を整備しなければならない。
3 情報セキュリティ管理者は、警察職員に警察情報セキュリティポリシーを正しく理解させ、及び確実に遵守させるため、警察職員に対し、職務に応じた教養を実施しなければならない。
4 情報セキュリティ管理者は、災害時等において、警察情報システム等の復旧、通信手段の確保等のためにやむを得ないときは、警察情報セキュリティポリシーの規定にかかわらず、所要の措置を講ずるものとする。
第3 区域情報セキュリティ管理者
1 区域情報セキュリティ管理者の設置
(1) 情報セキュリティ管理者は、和歌山県警察庁舎管理規程(昭和54年和歌山県警察本部訓令第24号。以下「庁舎管理規程」という。)に定める庁舎(以下「庁舎」という。)を複数の区域に分割し、当該区域をクラス0からクラス3までに分類する。
(2) クラス0の区域を除く各区域に区域情報セキュリティ管理者を置き、情報セキュリティ管理者が指名する者をもって充てる。
(3) 区域の分類及び区域情報セキュリティ管理者の指名の方法は、次の基準による。
ア クラス0
各庁舎の敷地内であって、警察職員以外の者が自由に立ち入ることのできる区域は、一の区域とし、クラス0に分類する。
イ クラス1
各庁舎における廊下等、警察職員の共用の区域は、一の区域とし、クラス1に分類するとともに、区域情報セキュリティ管理者に、当該庁舎の庁舎管理に関する事務を処理する者を指名する。
ウ クラス2
執務室は、所属ごとに一の区域とし、クラス2に分類するとともに、区域情報セキュリティ管理者に、各所蔵の長を指名する。
エ クラス3
警察情報システム等に係る機械室は、室ごとに一の区域とし、クラス3に分類するとともに、区域情報セキュリティ管理者に、当該機械室を管理する所属の長を指名する
2 区域情報セキュリティ管理者の責務
区域情報セキュリティ管理者は、当該区域における情報セキュリティの確保のための管理対策を行うものとする。
3 区域情報セキュリティ管理者の遵守事項
区域情報セキュリティ管理者は、関係する他の区域情報セキュリティ管理者、情報セキュリティ管理者等と連携し、次に定める対策を実施しなければならない。
(1) クラス1の管理対策
ア 警察職員以外の者が不正に立ち入ることがないよう対策を執らなければならない。
イ 警察職員以外の立ち入らせるときは、その者の氏名、所属、訪問目的及び訪問相手を確認しなければならない。ただし、継続的に立入りを許可された者にあっては、この限りでない。
ウ 警察職員以外の者を立ち入らせるときは、警察職員とは種別の異なるカードを身に付けさせるなどして、警察職員とそれ以外の者を視覚上区別できるようにしなければならない。
(2) クラス2の管理対策
ア 下位区域との境界を施錠可能な扉等によって仕切らなければならない。
イ 無人となるときは、施錠しなければならない。
ウ 警察職員以外の者を立ち入らせるときは、当該区域内に設置された電子計算機の画面を不正に視認されないよう留意しなければならない。
エ クラス0に分類される区域と接するときは、当該境界に定める(1)に定める対策を実施しなければならない。ただし、合同庁舎等において、他の機関が(1)と同等以上の対策を実施しているときは、この限りではない。
(3) クラス3の管理対策
ア 常時施錠し、立ち入ることができる者の名簿を作成しなければなならない。名簿に記載された者以外の者が立ち入る必要があるときは、区域情報セキュリティ管理者の承認を得なければならない。
イ 当該区域に立ち入る者の氏名とその入退室の時刻を記録しなければならない。当該記録は、可能な限り電磁的に記録させなければならない。
ウ 電子計算機の画面、システムドキュメント及び入出力資料をその区域の外から視認することができない構造としなければならない。
エ 警察職員以外の者が立ち入っている間は、警察職員が立ち会わなければならない。
オ 自然災害の発生等を原因とする情報セキュリティの侵害に対して、施錠及び環境面から対策を講じなければならない。
4 例外
(1) 1から3までの規定(クラス3に関する規定を除く。)は、庁舎管理規程に定める警察本部庁舎(本部庁舎及び岡崎庁舎を除く。)及び警察署等庁舎においては適用しないものとするが、これらの施設を管理する運用管理者は、同規定を参考として、情報セキュリティの確保のための管理対策を行わなければならない。
(2) 庁舎管理規程に定める本部庁舎及び岡崎庁舎において、1の(3)の基準による運用をすることが困難であると情報セキュリティ管理者が認めたときは、当該基準によらない区域を設けることができる。この場合において、情報セキュリティ管理者は、3の規定を参考として、関係する他の情報セキュリティ管理者等と連携の上、可能な限り情報セキュリティの確保のための管理対策を行わなければならない。
第4 システムセキュリティ責任者
1 システムセキュリティ責任者の設置
警察情報システム等の整備を担当する所属にシステム責任者を置き、それぞれ当該所属の長をもって充てる。
2 システムセキュリティ責任者の責務
システムセキュリティ責任者は、整備する警察情報システム等が必要な情報セキュリティ要件を備えるための事務を処理するものとする。
3 システムセキュリティ責任者の遵守事項
(1) システムセキュリティ責任者は、整備する警察情報システム等の情報セキュリティ要件について、あらかじめ情報セキュリティ管理者の確認を受けなければならない。
(2) システムセキュリティ責任者は、所管する警察情報システム等ごとに、当該システムを利用する業務の主管課の長と連携の上、当該システムの運用要領を策定するなどして、警察職員が当該システムを取り扱う際に遵守すべき事項を警察職員に周知するとともに。情報セキュリティ管理者に周知しなければならない。遵守すべき事項には、次に掲げる事項を含むものとする。
ア 当該システムにおいて取り扱うことのできる情報の機密性の分類の範囲
イ 当該システムにおいて、警察職員が独自の判断で行うことのできる改造(新たな機器の接続、ソフトウェア追加等をいう。)の範囲
(3) システムセキュリティ責任者は、所管する警察情報システム等について、情報セキュリティに係る脆弱性に関する情報(以下「脆弱性情報」という。)を入手したときは、情報セキュリティ管理者に連絡するとともに、当該脆弱性情報が警察情報システム等にもたらすリスクを分析した上で、対策を講じなければならない。
(4) システムセキュリティ責任者は、所管する警察情報システム等について、災害時等においても継続して運用できるよう十分に検討し、必要に応じて業務継続計画を策定しなければならない。
また、当該業務継続計画は、可能な限り警察情報セキュリティポリシーとの整合を図らなければならない。
(5) システムセキュリティ責任者は、所管する警察情報システム等の情報セキュリティ対策について見直しを行う必要性の有無を適宜検討し、必要があると認めた場合にはその見直しを行い、必要な措置を講じなければならない。
第5 システムセキュリティ維持管理者
1 システムセキュリティ維持管理者の設置
警察情報システム等を構成する電子計算機及びネットワーク機器の管理者権限を保有する所属に、システムセキュリティ維持管理者を置き、それぞれ当該所属の長をもって充てる。
2 システムセキュリティ維持管理者の責務
システムセキュリティ維持管理者は、システムセキュリティ責任者の指示等を受け、担当する警察情報システム等の維持管理のための事務を処理するものとする。
3 システムセキュリティ維持管理者の遵守事項
(1) システムセキュリティ維持管理者は、管理者権限を適正に運用しなければならない。
(2) システムセキュリティ維維持管理者は、各種ソフトウェアのうち利用しない機能がある場合には、これを無効化しなければならない。
(3) システムセキュリティ維持管理者は、定期的に脆弱性情報に係る対策及び導入したソフトウェアのバージョンアップ等の状況を記録し、これの確認及び分析をするとともに、不適切な状態にある電子計算機及びネットワーク機器を把握した場合には適切な対処しなければならない。。
(4) システムセキュリティ維持管理者は、警察情報セキュリティポリシー又は運用要領に違反する行為を認知したときは、速やかにシステムセキュリティ責任者に連絡しなければならない。
第6 運用管理者
1 運用管理者の設置
警察情報システム等を運用する所属に運用管理者を置き、それぞれの所属の長をもって充てる。
2 運用管理者の責務
運用管理者は、所属における警察情報システム等の運用に関し、情報セキュリティの維持その他の警察情報システム等による処理に係る情報の適正な取扱いを確保するために必要な事務を処理するものとする。
第7 副運用管理者の設置
1 副運用管理者の設置
警察情報システム等を運用する所属に副運用管理者を置き、それぞれの当該所属の次席等(和歌山県警察処務規程(平成22年和歌山県警察本部訓令第2号)第2条第5号に定める者をいう。)をもって充てる。
2 副運用管理者の責務
副運用管理者は、第6の2に規定する事務に関し、運用管理者を補佐する。
第8 システム管理担当者
1 システム管理担当者の設置
システムセキュリティ維持管理者は、その管理するシステムごとにシステム管理担当者を指名し、業務の責務に即した必要な範囲において、管理者権限を付与しなければならない。
2 システム管理担当者の責務
システム管理担当者は、担当するシステムに係るシステム管理に関する業務を行うものとする。
3 システム管理担当者の遵守事項
(1) システム管理担当者は、権限のない者にIDを発行してはならない。
(2) システム管理担当者は、警察情報システム等に係るドキュメントを適正に管理しなければならない。
(3) システム管理担当者は、管理対象となる電子計算機に関連する脆弱性情報の入手に努めなければならない。情報を入手した場合には、システムセキュリティ責任者及びシステムセキュリティ維持管理者に報告しなければならない。
(4) システム管理担当者は、クラス3に指定された区域に設置されている警察情報システムを構成する機器、外部記録媒体及びシステムドキュメントを、クラス2以下に指定された区域に持ち出すときは、その状況を記録しなければならない。
(5) システム管理担当者は、システムの構成の変更等の作業(軽微なものを除く。)を行う場合において、情報セキュリティの観点から、あらかじめその影響を確認するとともに、その作業を監視し、必要な対応を行わなければならない。
第9 ネットワーク管理担当者
1 システム管理担当者の設置
システムセキュリティ維持管理者は、その管理するネットワークごとにネットワーク管理担当者を指名し、業務の責務に即した必要な範囲において、管理者権限を付与しなければならない。
2 ネットワーク管理担当者の責務
ネットワーク管理担当者は、担当するネットワーク機器に係るネットワーク管理に関する業務を行うものとする。
3 ネットワーク管理担当者の遵守事項
(1) ネットワーク管理担当者は、管理対象となるネットワーク機器に関連する脆弱性情報の入手に努めなければならない。情報を入手した場合には、システムセキュリティ責任者及びシステムセキュリティ維持管理者に報告しなければならない。
(2) ネットワーク管理担当者は、担当するネットワーク機器について、データ伝送に関する監視及び制御を行わせなければならない。
(3) ネットワーク管理担当者は、ネットワークの構成の変更等の作業(軽微なものを除く。)を行う場合において、情報セキュリティの観点から、あらかじめその影響を確認するとともに、その作業を監視し、必要な対応を行わなければならない。
第10 媒体利用管理者及び媒体保管責任者
1 媒体利用管理者及び媒体保管責任者の設置
(1) 外部記録媒体を利用する所属に1人又は複数人の媒体利用管理者を置き、警部(同相当職を含む。)以上の階(職)級にある警察職員の中から運用管理者が指名する者をもって充てる。
(2) 媒体利用管理者は、やむを得ない事情があるときは、運用管理者の許可を得て、自己の業務を代行する媒体保管責任者を指定することができる。
2 媒体利用管理者及び媒体保管責任者の責務
(1) 媒体利用管理者は、外部記録媒体の管理及び持出許可並びに外部記録媒体を利用した情報の入出力の管理に係る事務を行うものとする。
(2) 媒体保管責任者は、媒体利用管理者の業務の代行又は補助を行うものとする。
3 警察署における特例
警察署において、運用上必要と判断され得る場合、媒体利用管理者が運用管理者の許可を得て、若干名の警部補(同相当職を含む。)を媒体保管責任者に指定して、媒体利用管理者の業務を代行させることができる。
4 デジタルカメラ等の特例
外部記録媒体のうち、デジタルカメラ及びデジタルビデオレコーダ並びにこれに類するものにあっては、急訴事案に対応する必要がある機器であり、媒体利用管理者が施錠できる保管庫等に保管することが運用上困難で、別の手段によっても情報流出の防止措置を講ずることができると判断される場合にあっては、あらかじめ媒体利用管理者が運用管理者の許可を得て、警察職員を媒体保管責任者に指名し、当該手段により保管させる等、媒体利用管理者の業務を補助させることができる。
なお、この特例は、原則として警察署に限るものとする。
第11 その他
1 情報セキュリティインシデント発生時の措置
不正プログラム感染等の情報セキュリティインシデントが発生した際の措置については、情報セキュリティ管理者が別途定める。
2 分掌
区域情報セキュリティ管理者、システムセキュリティ責任者、システムセキュリティ維持管理者及び運用管理者は、それぞれの事務のうち分庁舎において処理されるものについて、当該分庁舎の警部(同相当職を含む。)以上の警察職員に分掌させることができる。
3 警察情報セキュリティポリシーの見直し
警察情報セキュリティポリシーの規定については、見直しを行う必要性の有無を適宜検討し、必要があると認めた場合にはその見直しを行わなければならない。
4 警察情報セキュリティポリシーの解釈
警察情報セキュリティポリシーの解釈に関し疑義があるときは、情報セキュリティ管理者がこれを裁定する。