情報セキュリティ監査実施要綱

○情報セキュリティ監査実施要綱

平成22年11月15日

要綱第21号

第1章　総則

(目的)

第1条　この要綱は、精華町における情報セキュリティ監査に関する基本的事項を定め、本町の情報セキュリティの維持・向上に資することを目的とする。

(用語の定義)

第2条　この要綱において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1)　ネットワーク　精華町における各部、各行政委員会、消防、各地方公営企業、各教育機関(事務室及び職員室のみ)等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。

(2)　情報システム　業務系の電子計算機(業務系におけるネットワーク、ハードウェア及びソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。

(3)　情報資産　ネットワーク及び情報システムの開発と運用に係る全てのデータ並びにネットワーク及び情報システムで取り扱う全てのデータをいう。

(4)　情報セキュリティ　情報資産の機密の保持並びに正確性及び完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。

(5)　情報セキュリティ会議　精華町情報セキュリティ組織規程(平成14年規程第3号。以下「精華町情報セキュリティ組織規程」という。)第4条に規定する情報セキュリティ会議をいう。最高情報統括責任者、ネットワーク管理者、総括情報セキュリティ責任者、施設担当課長、人事担当課長で組織する。

(6)　最高情報総括責任者　精華町情報セキュリティ組織規程第3条第2項により、副町長をいう。

(7)　ネットワーク管理者　精華町情報セキュリティ組織規程第3条第3項により、情報システム担当課の長をいう。

(8)　統括情報セキュリティ責任者　精華町情報セキュリティ組織規程第3条第4項により、部の長をいう。

(9)　施設担当課長　各施設の担当課の長をいう。

(10)　人事担当課長　人事所管の担当課の長をいう。

(11)　情報セキュリティ責任者　精華町情報セキュリティ組織規程第3条第5項により、全てのネットワーク、情報システム及び情報資産を利用する部署の課等の長をいう。

(監査対象)

第3条　情報セキュリティ監査は、精華町情報セキュリティポリシーに定める行政機関を対象に実施する。

(監査担当部門及び担当者)

第4条　情報セキュリティ監査は、情報システム所管係が担当する。

2　情報セキュリティ監査統括責任者は、監査担当の所管課長とする。

3　情報セキュリティ監査は、情報セキュリティ監査統括責任者が指名する監査人によって実施する。

4　外部監査を行う場合は、客観的で公平な手続に従って調達を行い、外部の専門家により情報セキュリティ監査を実施する。

(監査の権限)

第5条　監査人は、情報セキュリティ監査の実施にあたって被監査部門に対し、資料の提出、事実などの説明、その他監査人が必要とする事項の開示を求めることができる。

2　被監査部門は、前項の求めに対して、正当な理由なくこれを拒否することはできない。

3　監査人は、外部委託先など業務上の関係先に対して、事実の確認を求めることができる。

4　監査人は、被監査部門に対して改善勧告事項の実施状況の報告を求めることができる。

(監査担当者の責務)

第6条　監査人は、監査を客観的に実施するために、監査対象から独立していなければならない。

2　監査人は、情報セキュリティ監査の実施にあたり、常に公正かつ客観的に監査判断を行わなければならない。

3　監査人は、監査及び情報セキュリティに関する専門知識を有し、相当な注意をもって監査を実施しなければならない。

4　監査報告書の記載事項については、情報セキュリティ監査統括責任者及び監査人がその責任を負わなければならない。

5　情報セキュリティ監査統括責任者及び監査人は、業務上知り得た秘密事項を正当な理由なく他に開示してはならない。

6　前項の規定は、その職務を離れた後も存続する。

(監査関係文書の管理)

第7条　監査関係文書は、紛失等が発生しないように適切に保管しなければならない。

第2章　監査計画

(監査計画)

第8条　情報セキュリティ監査は、原則として監査計画に基づいて実施しなければならない。

2　監査計画は、中期計画、年度計画及び監査実施計画とする。

(中期計画及び年度計画)

第9条　情報セキュリティ監査統括責任者は、中期の監査基本方針を中期計画として策定し、情報セキュリティ会議による議決又は、情報セキュリティ会議構成員の総意により承認を得なければならない。

2　情報セキュリティ監査統括責任者は、中期計画に基づき、当該年度の監査方針、監査目標、監査対象、監査実施時期、監査要員、監査費用などを定めた年度計画を策定し、情報セキュリティ会議による議決又は、情報セキュリティ会議構成員の総意により承認を得なければならない。

(監査実施計画)

第10条　情報セキュリティ監査統括責任者は、年度計画に基づいて、個別に実施する監査ごとに監査実施計画を策定し、情報セキュリティ会議による議決又は、情報セキュリティ会議構成員の総意により承認を得なければならない。

2　特命その他の理由により、年度計画に記載されていない監査を実施する場合も、監査実施計画を策定しなければならない。

第3章　監査実施

(監査実施通知)

第11条　情報セキュリティ監査統括責任者は、監査実施計画に基づく監査の実施にあたって、原則として4週間以上前に被監査部門の情報セキュリティ責任者に対し、監査実施の時期、監査日程、監査範囲、監査項目等を文書で通知しなければならない。ただし、特命その他の理由により、事前の通知なしに監査を実施する必要性があると判断した場合には、この限りではない。

(監査実施)

第12条　監査人は、監査実施計画に基づき、監査を実施しなければならない。ただし、特命その他の理由によりやむを得ない場合には、情報セキュリティ監査統括責任者の承認を得てこれを変更し実施することができる。

(監査調書)

第13条　監査人は、実施した監査手続の結果とその証拠資料など、関連する資料を監査調書として作成しなければならない。

(監査結果の意見交換)

第14条　監査人は、監査の結果、発見された問題点について事実誤認などがないことを確認するため、被監査部門との意見交換を行わなければならない。

第4章　監査報告

(監査結果の報告)

第15条　情報セキュリティ監査統括責任者は、監査終了後、速やかに監査結果を監査報告書として取りまとめ、情報セキュリティ会議に報告しなければならない。ただし、特命その他の理由により緊急を要する場合は口頭をもって報告することができる。

2　監査報告書の写しは、必要に応じて、被監査部門の情報セキュリティ責任者に回覧又は配布する。

3　情報セキュリティ監査統括責任者は、被監査部門に対して監査報告会を開催しなければならない。

(監査結果の通知と改善措置)

第16条　最高情報統括責任者は、情報セキュリティ会議への監査結果報告後、速やかに監査結果を被監査部門の情報セキュリティ責任者へ通知しなければならない。

2　前項の通知を受けた被監査部門の情報セキュリティ責任者は、改善勧告事項に対する改善実施の可否、改善内容、改善実施時期などについて、最高情報統括責任者に回答しなければならない。

3　情報セキュリティ会議は、監査結果を情報セキュリティポリシーの見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

(フォローアップ)

第17条　情報セキュリティ監査統括責任者は、被監査部門における改善勧告事項に対する改善実施状況について、適宜フォローアップしなければならない。

2　前項による確認結果については、適宜とりまとめ、情報セキュリティ会議に報告しなければならない。

(補則)

第18条　この要綱に定めるもののほか、情報セキュリティ監査に関し必要な事項は、町長が別に定める。

附則

この要綱は、公布の日から施行する。