目的
当方針は、情報セキュリティ管理法及び子法などの関係法令、規制の要求事項に適合し、内部、外部からの意図的または偶発的な脅威を受けないようにするため、陽明山国家公園管理処(以下、「当処」という。)に属する情報資産の機密性、完全性及び可用性の確保事項を定めることを目的とする。
適用範囲
- 当方針の適用範囲は、当処の全スタッフ(契約社員、外注者、ボランティアおよびアルバイト職員を含む)、アウトソーシングサービスプロバイダー、情報利用者(保管者を含む)および訪問客などである。
- 情報セキュリティ管理の範囲は、ヒューマンエラー、故意または自然災害などの要因による情報の不適切な使用、漏洩、改ざん、破壊などの事態が発生して当処に様々な可能性のあるリスクを引き起こすことを防ぐため、14つの分野をカバーする。
目標
当処の情報資産の機密性、完全性、および可用性を維持するため、当方針の実施を通じて次の目標を達成することが期待される。
- 当処の業務継続運営を保障するため、安全で信頼できる情報化作業環境を構築し、当処のデータ、システム、設備及びネットワークの安全性を確保する。
- 当処の業務サービスの安全性を保護し、許可された者のみが情報にアクセスできるようにしてその機密性を確保する。
- 当処の業務サービスの安全性を保護し、無許可変更を避けて、その正確性および完全性を確保する。
- 当処の業務継続運営計画を策定して、当処の情報業務サービスの継続運用を確保する。
- 当処の様々な業務サービスの遂行は、情報セキュリティ管理法およびその子法、ならびに関係法令や規定の要求事項に適合することを確保する。
- 当処の業務関連の個人情報の安全を保護し、外部の脅威または内部者の不適切な管理と利用により、盗取、改ざん、毀損、滅失、あるいは漏洩などのリスクを回避する。
- 個人情報の保護と管理能力を向上し、運営リスクを低減し、また信頼できる個人情報保護及びプライバシー環境をつくる。
責任
- 当処は、情報セキュリティ組織を設立して情報セキュリティ事項の推進を統括すること。
- 管理職層は、情報セキュリティ管理制度に積極的に参加すると共にサポートし、適切な基準と手順を通じて当方針を実施しなければならない。
- 当処の当処の全スタッフ(契約社員、外注者、ボランティアおよびアルバイト職員を含む)、アウトソーシングサービスプロバイダー、情報利用者(保管者を含む)および訪問客などは、いずれも当方針を遵守しなければならない。
- 当処の全スタッフ(契約社員、外注者、ボランティアおよびアルバイト職員を含む)、アウトソーシングサービスプロバイダー、情報利用者(保管者を含む)および訪問客は、適切な通報体制を通じて、情報セキュリティインシデントまたは弱点を通報する責任を有する。
- 情報セキュリティを危険にさらす行為は、その情状の重さに応じて民事上、刑事上の責任を追及するか、または当処の関連規定に基づき処罰する。
管理指標
- 情報セキュリティ管理目標の達成状況を評価するため、当処は、関連管理指標を定め、定期的に監視、評価及び改善するものとする。
- 当処の情報セキュリティ組織の人員の分掌を定期的に見直すことで、情報セキュリティ作業の推進を確保しなければならない。
- 主務官庁の要求を満たし、職員の職務及び責任に応じて適切な情報セキュリティ関連訓練を提供すること。
- 当処の情報機械室や施設の環境安全を強化し、適切な保護及び権限管理体制を採らなければならない。
- 情報が権限のない第三者に漏洩しないよう確保しなければならない。
- 当処の情報資産が適切に保護されるように、アクセス管理を強化し、無許可の不正アクセスを防止しなければならない。
- 当処の情報セキュリティシステムの開発は、セキュリティ要件を考慮して、定期的にセキュリティの弱点を監査しなければならない。
- すべての情報セキュリティインシデントまたは疑わしいセキュリティの弱点は、適切な通報体制に従って上級に反映し、適切に調査および処理されることを確保しなければならない。
管理レビュー
当方針は、政府の法令、技術および業務の最新の動向を反映し、当処の業務継続運用の能力を確保するため、少なくとも年に1回管理レビューを実施しなければならない。情報セキュリティ組織、主務官庁(または法令、規制の要求事項)あるいは専門家や学者などの利害関係者に情報セキュリティに関連するフィードバック事項がある場合、管理レビューのディスカッショントピックに盛り込むこと。
実施
当方針は、情報セキュリティ責任者の承認を受けた後で実施され、改正時も同様とする。