別記

愛知県警察における情報セキュリティに係る運用管理体制要綱

第1　総則

1　目的

この要綱は、愛知県警察情報セキュリティに関する規程(平成30年愛知県警察本部訓令第20号。以下「セキュリティ規程」という。)第2章に規定する管理体制に基づいて行う運用に関し必要な事項を定め、もって愛知県警察における情報セキュリティを維持することを目的とする。

2　定義

この要綱における用語の意義は、セキュリティ規程及び管理対象情報の取扱いに係る情報セキュリティ対策要綱の制定(平成30年総情発甲第98号)中の定義、略称その他の例によるほか、次に定めるところによる。

ア　警察情報セキュリティポリシー　セキュリティ規程及び同規程に基づいて定められた情報セキュリティに関する事項をいう。

イ　基盤となる情報システム　他の機関と共通的に使用する情報システム(一の機関でハードウェアからアプリケーションまで管理し、及び運用している情報システムを除く。)をいう。

ウ　ネットワーク機器　警察情報システムを構成するルータ、ハブ等の機器又はこれらから出力されるデータを利用することによりネットワークを管理する機能を有する機器をいう。

エ　主体　警察情報システムにアクセスする者又は他の警察情報システムにアクセスする端末、サーバ等をいう。

オ　電子署名　電子署名及び認証業務に関する法律(平成12年法律第102号)第2条第1項に規定する電子署名をいう。

カ　識別コード　ユーザID、ホスト名等、主体を識別するために、警察情報システムが認識するコード(符号)をいう。

キ　主体認証　識別コードを提示した主体が、その識別コードを付与された正当な主体であるか否かを検証することをいう。

ク　主体認証情報　パスワード等、主体認証をするために、主体が警察情報システムに提示する情報をいう。

ケ　ドメイン名　国、組織、サービス等の単位で割り当てられたネットワーク上の名前であり、英数字及び一部の記号を用いて表したものをいう。

コ　名前解決　ドメイン名及びホスト名とIPアドレスを相互に変換することをいう。

サ　外部記録媒体　USBメモリ、DVD―R、外付けハードディスクドライブその他の電磁的記録媒体のうち警察情報システムに装填して情報を入力し、又は出力するものをいう。

第2　責務等

1　総務部長

総務部長は、次に掲げる責務を負う。

ア　情報セキュリティに係る事務を総括するに当たっては、その事務に関係するシステムセキュリティ責任者の意見を踏まえ、十分検討した上で処理すること。

イ　本県警察が整備した全ての情報システムの警察情報システム台帳(別記様式)を整備すること。

ウ　警察情報システムで取り扱う情報について、当該情報に係る業務の所管所属長及び当該情報を取り扱う警察情報システムのシステムセキュリティ責任者と協議の上、機密性、完全性及び可用性の分類をそれぞれ決定すること。

エ　ウにより決定した情報の分類を関係所属長に通知すること。

オ　ウにより決定した情報の分類を変更する必要がある場合は、当該情報に係る業務の所管所属長及び当該情報を取り扱う警察情報システムのシステムセキュリティ責任者と協議した上で、必要な見直しを行うこと。

カ　職員に警察情報セキュリティポリシーを正しく理解させ、確実に遵守させるため、職務に応じた教養を実施すること。

キ　警察情報セキュリティポリシーに係る課題、問題点又は重大な違反の報告を受けた場合は、速やかに警察庁情報セキュリティ管理者に報告すること。

ク　非常時において優先業務を支える警察情報システムの業務継続計画を整備するに当たり、非常時における情報セキュリティに係る対策事項を検討すること。

ケ　警察情報システムの業務継続計画の教養訓練、維持改善等を行うに当たっては、非常時における情報セキュリティに係る対策事項が運用可能であるかを確認すること。

コ　災害時等において、警察情報システムの復旧、通信手段の確保等のためにやむを得ないときは、警察情報セキュリティポリシーの規定にかかわらず、所要の措置を執ること。

2　システムセキュリティ責任者

システムセキュリティ責任者は、次に掲げる責務を負う。

ア　基盤となる情報システムを利用して警察情報システムを構築する場合は、基盤となる情報システムの運用管理に係る規程等に規定する事務を処理すること。

イ　整備する警察情報システムの情報セキュリティ要件について、あらかじめ総務部長の承認を受けること。

ウ　所管する警察情報システムのライフサイクル全般にわたって情報セキュリティの維持が可能な体制の確保に努めること。

エ　所管する警察情報システムについて、次の仕様書等を整備すること。

(ア)　サーバ等及び端末の仕様書又は設計書

(イ)　電気通信回線及びネットワーク機器の仕様書又は設計書

オ　システム管理担当者及びネットワーク管理担当者に対し、セキュリティ機能の利用方法等に関する教養を実施すること。

カ　所管する警察情報システムの運用及び保守において、当該システム内のセキュリティ機能を適切に運用すること。

キ　管理対象情報及び警察情報システムに対する主体からのアクセスの権限を適切に管理するとともに、アクセスを許可する主体を制限するアクセス制限機能を適切に運用すること。

ク　電子署名の付与を行う警察情報システムにおいて、電子署名の正当性を検証するための情報又は手段を、署名検証者に安全な方法で提供すること。

ケ　暗号化を行う警察情報システム又は電子署名の付与若しくは検証を行う警察情報システムにおいて、暗号化又は電子署名のために選択されたアルゴリズムの危殆たい化及びプロトコルの脆ぜい弱性に関する情報を定期的に入手すること。

コ　所管所属長と連携の上、当該情報システムの運用要領を策定するなどして、職員が当該情報システムを取り扱う際に遵守すべき事項を職員に周知するとともに、総務部長に報告すること。

なお、遵守すべき事項には、次に掲げるものを含むものとする。

(ア)　当該システムにおいて利用を認めるソフトウェア及び利用を禁止するソフトウェア

(イ)　当該システムにおいて職員が独自の判断で行うことのできる改造(新たな機器の接続、ソフトウェアの追加等)の範囲

(ウ)　当該システムにおける構成要素ごとの情報セキュリティ水準の維持に関する手順

(エ)　情報セキュリティインシデントを認知した際の対処手順

サ　利用を認めるソフトウェア及び利用を禁止するソフトウェアについて定期的に見直しを行うこと。

シ　所管する警察情報システムについて、公開された情報セキュリティに関する脆ぜい弱性に係る情報(原因、影響範囲、対策方法及び脆ぜい弱性を悪用する不正プログラムの流通状況を含む。以下「脆ぜい弱性情報」という。)を適宜入手するとともに、脆ぜい弱性情報を入手したときは、速やかに総務部長に報告すること。

ス　シで入手した脆ぜい弱性情報が所管する警察情報システムにもたらすリスクを分析した上で、脆ぜい弱性対策計画を策定し、速やかに必要な措置を執ること。

セ　公開された脆ぜい弱性情報がない段階においても、サーバ等、端末及びネットワーク機器上で講じ得る対策がある場合は、必要な対策を講ずること。

ソ　所管する警察情報システムについて、災害時等においても継続して運用できるよう十分検討し、可能な限り警察情報セキュリティポリシーとの整合性を考慮しつつ、必要に応じて業務継続計画を策定すること。

タ　要安定情報を取り扱う警察情報システムを構成するネットワーク機器について、運用状態を復元するために必要な設定情報等のバックアップを取得し、及び保管すること。

チ　ネットワーク機器が動作するために必要なソフトウェアを決定し、ソフトウェアを変更する際に行う許可申請手続を整備すること。ただし、ソフトウェアを変更することが困難なネットワーク機器については、この限りでない。

ツ　所管する警察情報システムの情報セキュリティ対策について脆ぜい弱性に係る検査等により見直しを行う必要性の有無を適宜検討し、必要があると認めた場合は、速やかに必要な措置を執ること。

テ　ウェブアプリケーションの運用時において、既知の種類の脆ぜい弱性を排除するための対策に漏れが無いか定期的に確認し、対策に漏れがある状態を確認したときは、速やかに必要な措置を執ること。

ト　定期的に脆ぜい弱性情報に係る対策及び導入したソフトウェアのバージョンアップ等の状況を記録して分析し、不適切な状態にある端末その他の電子計算機を把握したときは、適切に対処すること。

ナ　コンテンツサーバにおいて管理するドメインに関する情報が正確であることを定期的に確認すること。

ニ　キャッシュサーバにおいて、名前解決の要求への適切な応答を維持するための措置を執ること。

ヌ　基盤となる情報システムを利用して構築された警察情報システムを運用する場合は、基盤となる情報システムを整備して運用管理する機関との責任の分界に応じた運用管理体制を構築し、基盤となる情報システムの運用管理に係る規程等に従い、基盤全体の情報セキュリティ水準を低下させることのないよう、適切に警察情報システムを運用すること。

ネ　管理者権限を適正に運用するものとし、その権限を濫用しないこと。

ノ　主体が警察情報システムを利用する必要がなくなった場合は、当該主体の識別コード及び主体認証情報の不正な利用を防止するための措置を速やかに執ること。

ハ　各種ソフトウェアのうち利用しない機能は無効化すること。

ヒ　所管する警察情報システムにおける不正な通信等を必要に応じて監視するとともに、不正な通信等を認知した場合は、速やかに適切な対応を行うこと。

フ　所管する警察情報システム機器のソフトウェアの名称、バージョン等に関する情報を必要に応じて自動で収集し、管理する機能を導入すること。

ヘ　警察情報セキュリティポリシーに定めるもののほか、所管する警察情報システム機器の設置環境、取り扱う管理対象情報の分類、管理対象情報の取扱者等に応じて、必要な対策を講ずること。

ホ　その他総務部長が別に定める細目的事項を遵守すること。

3　所属長

所属長は、自所属の職員に対して警察情報セキュリティポリシーに係る教養を適切に受講させなければならない。

4　主任情報セキュリティ指導員

主任情報セキュリティ指導員は、外部記録媒体を利用した管理対象情報の入出力の管理に係る事務を行う。

5　システム管理担当者

(1)　設置

システムセキュリティ責任者は、その管理する警察情報システムごとにシステム管理担当者を指名し、業務の責務に即した必要な範囲において、管理者権限を付与する。

(2)　責務

システム管理担当者は、担当する警察情報システムに係るシステム管理に関する業務を行う。

(3)　遵守事項

システム管理担当者は、次に掲げる事項を遵守しなければならない。

(ア)　権限のない職員に識別コードを発行しないこと。

(イ)　警察情報システムに係るドキュメントを適正に管理すること。

(ウ)　管理対象となる電子計算機に関連する脆ぜい弱性情報の入手に努め、脆ぜい弱性情報を入手したときは、速やかにシステムセキュリティ責任者に報告すること。

(エ)　クラス3に指定された区域に設置されている警察情報システムを構成する機器、外部記録媒体及びシステムドキュメントを他の区域に持ち出すときは、その状況を記録すること。

(オ)　警察情報システムの構成の変更等の作業(軽微なものを除く。)を行う場合において、情報セキュリティの観点から、あらかじめその影響を確認するとともに、その作業を監視し、必要な対応を行うこと。

6　ネットワーク管理担当者

(1)　設置

システムセキュリティ責任者は、その管理するネットワークごとにネットワーク管理担当者を指名し、業務の責務に即した必要な範囲において、管理者権限を付与する。

(2)　責務

ネットワーク管理担当者は、担当するネットワーク機器に係るネットワーク管理に関する業務を行う。

(3)　遵守事項

ネットワーク管理担当者は、次に掲げる事項を遵守しなければならない。

(ア)　管理対象となるネットワーク機器に関連する脆ぜい弱性情報の入手に努め、脆ぜい弱性情報を入手したときは、速やかにシステムセキュリティ責任者に報告すること。

(イ)　担当するネットワーク機器について、データ伝送に関する監視及び制御を行うこと。

(ウ)　ネットワークの構成の変更等の作業(軽微なものを除く。)を行う場合において、情報セキュリティの観点から、あらかじめその影響を確認するとともに、その作業を監視し、必要な対応を行うこと。

第3　その他

1　兼務を禁止する役割

(1)　職員は、情報セキュリティ対策の運用において、承認又は許可(以下「承認等」という。)の申請者と当該承認等を行う者(以下「承認権限者等」という。)を兼務してはならない。

(2)　職員は、承認等を申請する場合において、自らが承認権限者等であるときその他承認権限者等が承認等の可否の判断をすることが不適切と認められるときは、当該承認権限者等の上司又は適切な者に申請し、承認等を得なければならない。

2　管理体制の代替措置

第2の2のコに定める遵守すべき事項について、警察情報セキュリティポリシーに定める管理体制と同等以上の水準であることについて総務部長の承認を受けた場合は、当該事項に従うこと。

3　警察情報セキュリティポリシーの見直し

総務部長は、情報セキュリティの運用、自己点検、監査等の結果等を踏まえて警察情報セキュリティポリシーの規定について見直しを行う必要性の有無を適宜検討し、必要があると認めたときはその見直しを行わなければならない。

4　警察情報セキュリティポリシーの解釈

警察情報セキュリティポリシーの解釈に関し疑義があるときは、総務部長がこれを裁定する。

〔平31総情発甲50号・本別記一部改正〕

〔平31総情発甲50号令元務警発甲93号・本様式一部改正〕