(趣旨)

第1条　この訓令は、砥部町情報セキュリティ基本方針(令和5年砥部町訓令第12号。以下「基本方針」という。)の規定に基づき、具体的な遵守事項、判断基準その他の事項を定めるものとする。

(定義)

第2条　この訓令において使用する用語は、基本方針において使用する用語の例による。

(適用範囲)

第3条　この訓令が適用される行政機関及びこの訓令が対象とする情報資産は、基本方針の例による。

(最高情報セキュリティ責任者)

第4条　副町長を、最高情報セキュリティ責任者(以下「最高責任者」という。)とする。

(統括情報セキュリティ責任者)

第5条　企画財政課長を、最高責任者直属の統括情報セキュリティ責任者(以下「統括責任者」という。)とする。

(情報セキュリティ管理者)

第6条　町長部局の課長、町長部局の出先機関の長、行政委員会事務局の課長、行政委員会の出先機関の長及び地方公営企業の課長を、情報セキュリティ管理者(以下「管理者」という。)とする。

(情報システム担当者)

第7条　統括責任者の指示に従い、情報システムの開発、設定の変更、運用、更新その他の作業を行う者を、情報システム担当者(以下「担当者」という。)とする。

(情報化推進委員会)

第8条　本町の情報セキュリティ対策を統一的に行うため、砥部町情報化推進委員会設置規程(平成17年砥部町訓令第35号)に規定する砥部町情報化推進委員会(以下「委員会」という。)において、ポリシーその他の情報セキュリティに関する重要な事項を決定するものとする。

(兼務の禁止)

第9条　情報セキュリティ対策の実施において、やむを得ない場合を除き、承認又は許可の申請を行う者とその承認者又は許可者は、同じ者が兼務してはならない。

(情報資産の分類)

第10条　本町における情報資産は、機密性、完全性及び可用性を踏まえ、次のとおり分類し、必要に応じて取扱制限を行うものとする。

(情報資産の管理責任)

第11条　管理者は、その所管する情報資産について管理責任を有するものとする。

(情報資産の分類の表示)

第12条　職員等は、情報資産について、必要に応じてフォルダ、ファイル、格納する記録媒体又は文書の隅に情報資産の分類を表示するとともに、必要に応じて取扱制限についても明示しなければならない。

(情報の作成)

第13条　職員等は、業務上必要のない情報を作成してはならない。

(情報資産の入手)

第14条　職員等が作成した情報資産を入手した者は、入手元の情報資産の分類に応じた取扱いをしなければならない。

(情報資産の利用)

第15条　情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。

(情報資産の保管)

第16条　管理者は、情報資産の分類に従って、情報資産を適切に保管しなければならない。

(情報の送信)

第17条　電子メールにより機密性2以上の情報を送信する者は、必要に応じ暗号化又はパスワード設定を行わなければならない。

(情報資産の運搬)

第18条　機密性2以上の情報資産を外部へ運搬する者は、必要に応じて、鍵付きのケースへの格納、暗号化又はパスワードの設定その他の方法により、情報資産の不正利用を防止するための措置を講じなければならない。

(情報資産の提供及び公開)

第19条　機密性2以上の情報資産を外部に提供する者は、必要に応じて暗号化又はパスワードの設定を行わなければならない。

(情報資産の廃棄等)

第20条　情報資産の廃棄、リース返却等を行う者は、情報を記録している記録媒体が不要になった場合は、記録されている情報の機密性に応じ、記録媒体の情報を復元できないように処置しなければならない。

(業務系の対策)

第21条　業務系と外部を通信できないようにしなければならない。

(LGWAN接続系とインターネット接続系の分離)

第22条　LGWAN接続系及びインターネット接続系は、両環境間の通信環境を分離した上で、必要な通信だけを許可できるようにしなければならない。なお、メール及びデータをLGWAN接続系に取り込む場合は、次の実現方法等により、無害化通信を図らなければならない。

(インターネット接続系の対策)

第23条　インターネット接続系においては、通信パケットの監視、ふるまい検知等の不正通信の監視機能の強化により、情報セキュリティインシデントの早期発見及び対処並びにLGWANへの不適切なアクセス等の監視等の情報セキュリティ対策を講じなければならない。

(機器の取付け)

第24条　統括責任者は、サーバその他の機器の取付けを行う場合は、火災、水害、埃、振動、温度及び湿度の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切に固定する等、必要な措置を講じなければならない。

(機器の電源)

第25条　統括責任者は、施設管理部門と連携し、サーバその他の機器の電源について、停電その他の事故による電源供給の停止に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。

(通信ケーブル等の配線)

第26条　統括責任者は、施設管理部門と連携し、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。

(機器の保守及び修理)

第27条　統括責任者は、可用性2のサーバその他の機器の保守を実施しなければならない。

(敷地外への機器の設置)

第28条　統括責任者は、町の施設の敷地外にサーバその他の機器を設置する場合は、最高責任者の承認を得なければならない。

(機器の廃棄等)

第29条　統括責任者は、機器を廃棄又はリース返却を行う場合は、専用のソフトウエアによる消去又は記憶媒体の物理的破壊により、機器内部の記憶装置から全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

(管理区域の構造等)

第30条　ネットワークの基幹機器及び重要な情報システムの設置、管理及び運用を行うための部屋を管理区域とする。

(管理区域の入退室管理等)

第31条　統括責任者は、管理区域への入退室を許可された者のみに制限し、指紋認証等の生体認証又はパスワードの認証による入退室管理を行わなければならない。

(機器等の搬入出)

第32条　統括責任者は、搬入する機器その他の物品が既存の情報システムに与える影響について、あらかじめ正規職員又は委託した業者に確認を行わせなければならない。

(ネットワークのセキュリティ対策)

第33条　統括責任者は、庁内の通信回線及び通信回線装置を、施設管理部門と連携し、適切に管理しなければならない。

(端末及び記録媒体等の管理)

第34条　統括責任者は、情報システムへのログインに際し、パスワード、スマートカード又は生体認証等の認証情報の入力を必要とするように設定しなければならない。

(ポリシー等の遵守)

第35条　職員等は、ポリシー及び実施要領を遵守しなければならない。

(業務以外の目的での使用の禁止)

第36条　職員等は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。

(端末等の持ち出し等)

第37条　最高責任者は、機密性2以上、完全性2及び可用性2の情報資産を外部で処理する場合における安全管理措置を定めなければならない。

(パソコン等の持込みの禁止)

第38条　職員等は、私物のパソコン及び記録媒体を庁舎内又は町の施設内に持ち込み、業務に使用してはならない。ただし、業務上必要な場合は、管理者の許可を得てこれらを持ち込むことができる。

(持ち出し及び持込みの記録)

第39条　管理者は、記録媒体の外部への持ち出し及び外部からの持ち込みについて、記録を作成し、保管しなければならない。

(セキュリティ設定変更の禁止)

第40条　職員等は、端末のソフトウエアに関するセキュリティ機能の設定を統括責任者の許可なく変更してはならない。

(机上の端末等の管理)

第41条　職員等は、端末、記録媒体及び情報が印刷された文書について、第三者に使用されること又は管理者の許可なく情報を閲覧されることがないように、離席時には端末のロックを行うとともに、記録媒体及び文書を容易に閲覧されない場所に保管する等、適切な措置を講じなければならない。

(退職時等の遵守事項)

第42条　職員等は、異動、退職その他の事由により業務を離れる場合には、利用していた情報資産を、返却しなければならない。

(インターネット接続及び電子メール使用等の制限)

第43条　管理者は、会計年度任用職員に端末による作業を行わせる場合において、インターネットへの接続及び電子メールの使用その他の行為が不要の場合は、これを利用できないようにしなければならない。

(ポリシー等の掲示)

第44条　統括責任者は、職員等が常にポリシー及び実施要領を閲覧できるようにグループウエアに掲示しなければならない。

(外部委託事業者に対する説明)

第45条　管理者は、ネットワーク及び情報システムの開発、保守その他の業務を外部委託事業者に発注する場合は、外部委託事業者から再委託を受ける事業者も含めて、ポリシー及び実施要領のうち外部委託事業者が守るべき内容の遵守事項及びその機密事項を説明しなければならない。

(情報セキュリティ対策に関する研修及び訓練)

第46条　最高責任者は、定期的に情報セキュリティ対策に関する研修及び訓練を実施しなければならない。

(研修計画の立案及び実施)

第47条　最高責任者は、幹部を含め全ての職員等に対する情報セキュリティ対策に関する研修計画を定期的に立案しなければならない。

(緊急時対応訓練)

第48条　最高責任者は、緊急時対応を想定した訓練を定期的に実施しなければならない。

(庁内からのインシデントの報告)

第49条　職員等は、情報セキュリティ対策に関する事故、システム上の欠陥及び誤作動並びにそれらにつながりかねない事象(以下「インシデント」という。)を発見した場合は、速やかに管理者に報告しなければならない。

(住民等外部からのインシデントの報告)

第50条　職員等は、本町が管理するネットワーク及び情報システムその他の情報資産に関するインシデントについて、外部から報告を受けた場合は、管理者に報告しなければならない。

(事故等の究明、記録及び再発防止等)

第51条　統括責任者は、報告されたインシデントの可能性について状況を確認し、インシデントであるかの評価を行わなければならない。

(ICカードの取扱い)

第52条　職員等は、自己の管理するICカードに関し、次の事項を遵守しなければならない。

(IDの取扱い)

第53条　職員等は、自己の管理するIDに関し、次の事項を遵守しなければならない。

(パスワードの取扱い)

第54条　職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。

(ファイルサーバの設定等)

第55条　統括責任者は、職員等が使用できるファイルサーバの容量を設定し、職員等に周知しなければならない。

(バックアップの実施)

第56条　統括責任者は、ファイルサーバその他の機器に記録された情報について、必要に応じて定期的にバックアップを実施しなければならない。

(他団体との情報システムに関する情報等の交換)

第57条　管理者は、他の団体と情報システムに関する情報及びソフトウエアを交換する場合は、その取扱いに関する事項をあらかじめ定め、統括責任者の許可を得なければならない。

(システム管理記録)

第58条　統括責任者は、所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。

(情報システム仕様書等の管理)

第59条　統括責任者は、ネットワーク構成図又は情報システム仕様書について、記録媒体に関わらず、業務上必要とする者以外の者の閲覧又は紛失がないよう、適切に管理しなければならない。

(アクセス記録等の取得等)

第60条　統括責任者は、各種アクセス記録及び情報セキュリティの確保に必要な記録(以下「アクセス記録等」という。)を取得し、7年間保存しなければならない。

(障害記録)

第61条　統括責任者は、職員等からのシステム障害の報告、システム障害に対する処理結果、システム障害に対する問題その他の事項を、障害記録として記録し、適切に保存しなければならない。

(ネットワークの接続制御及び経路制御等)

第62条　統括責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータその他の機器の通信ソフトウエアを設定しなければならない。

(外部の者が利用できるシステムの分離)

第63条　統括責任者は、電子申請の汎用受付システム等、外部の者が利用できるシステムについて、必要に応じて他のネットワーク及び情報システムと物理的又は論理的に分離する措置を講じなければならない。

(外部ネットワークとの接続制限等)

第64条　統括責任者は、所管するネットワークを外部ネットワークと接続しようとする場合には、最高責任者の許可を得なければならない。

(複合機のセキュリティ管理)

第65条　管理者は、複合機を調達する場合は、当該複合機が備える機能及び設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。

(IoT機器を含む特定用途機器のセキュリティ管理)

第66条　統括責任者は、IoT機器を含む特定用途機器について、取り扱う情報、利用方法及び通信回線への接続形態により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を実施しなければならない。

(無線LAN及びネットワークの盗聴対策)

第67条　統括責任者は、無線LANの利用を認める場合は、解読が困難な暗号化及び認証技術の使用を義務付けなければならない。

(電子メールのセキュリティ管理)

第68条　統括責任者は、権限のない利用者により、電子メールの中継処理その他の電子メール転送が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。

(電子メールの利用制限)

第69条　職員等は、自動転送機能を用いて、他のメールサーバへ電子メールを転送してはならない。

(電子署名、暗号化及びパスワード設定)

第70条　職員等は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、最高責任者が定めた電子署名、暗号化又はパスワード設定の方法を使用して、送信しなければならない。

(無許可ソフトウエアの導入等の禁止)

第71条　職員等は、端末に無断でソフトウエアを導入してはならない。

(機器構成の変更の制限)

第72条　職員等は、端末に対し機器の改造、増設又は交換を行ってはならない。

(無許可でのネットワーク接続の禁止)

第73条　職員等は、統括責任者の許可なく端末をネットワークに接続してはならない。

(業務以外の目的でのウェブ閲覧の禁止)

第74条　職員等は、業務以外の目的でウェブを閲覧してはならない。

(ソーシャルメディアサービスの利用)

第75条　管理者は、本町が管理するアカウントでソーシャルメディアサービスを利用する場合は、情報セキュリティ対策に関する次の事項を含めたソーシャルメディアサービス運用手順を定めなければならない。

(アクセス制御)

第76条　統括責任者は、所管するネットワーク又は情報システムごとにアクセスする権限のない職員等がアクセスできないように、システム上制限しなければならない。

(職員等による外部からのアクセス等の制限)

第77条　職員等が外部から内部のネットワーク又は情報システムにアクセスする場合は、統括責任者の許可を得なければならない。

(パスワードに関する情報の管理)

第78条　統括責任者は、職員等のパスワードに関する情報を厳重に管理しなければならない。

(特権による接続時間の制限)

第79条　統括責任者は、特権によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。

(情報システムの調達)

第80条　統括責任者は、情報システムの開発、導入、保守その他の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。

(情報システムの開発)

第81条　統括責任者は、システム開発の責任者及び作業者を特定しなければならない。

(情報システムの導入)

第82条　統括責任者は、システムの開発、保守及びテスト環境からシステム運用環境への移行について、システムの開発又は保守計画の策定時に手順を明確にしなければならない。

(システムの開発及び保守に関連する資料等の保管)

第83条　統括責任者は、システムの開発又は保守に関連する資料及び文書を適切な方法で保管しなければならない。

(情報システムにおける入出力データの正確性の確保)

第84条　統括責任者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列の入力を除去する機能を組み込むように情報システムを設計しなければならない。

(情報システムの変更管理)

第85条　統括責任者は、情報システムを変更した場合は、プログラム仕様書の変更履歴を作成しなければならない。

(開発用又は保守用のソフトウエアの更新等)

第86条　統括責任者は、開発用又は保守用のソフトウエアを更新又はパッチの適用をする場合は、他の情報システムとの整合性を確認しなければならない。

(システムの更新時及び統合時の検証)

第87条　統括責任者は、システムの更新時及び統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新後及び統合後の業務運営体制の検証を行わなければならない。

(統括責任者の措置事項)

第88条　統括責任者は、不正プログラム対策として、次に規定する措置をしなければならない。

(職員等の遵守事項)

第89条　職員等は、不正プログラム対策に関し、次の事項を遵守しなければならない。

(専門家の支援体制)

第90条　統括責任者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。

(統括責任者の措置事項)

第91条　統括責任者は、次に規定する措置をしなければならない。

(攻撃の予告)

第92条　最高責任者及び統括責任者は、サーバその他の機器に攻撃を受けるリスクがある場合は、システムの停止を含む必要な措置を講ずるとともに、関係機関と連絡を密にして情報の収集に努めなければならない。また、総務省、県等と連携を密にして情報の収集に努めなければならない。

(記録の保存)

第93条　最高責任者及び統括責任者は、サーバその他の機器に攻撃を受け、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号)の違反その他の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。

(内部からの攻撃)

第94条　統括責任者は、職員等及び外部委託事業者が使用している端末からの庁内のサーバその他の機器に対する攻撃及び外部のサイトに対する攻撃を防止するための措置を講じなければならない。

(職員等による不正アクセス)

第95条　統括責任者は、職員等による不正アクセスを発見した場合は、当該職員等が所属する部署の管理者に通知し、適切な処置を求めなければならない。

(サービス不能攻撃)

第96条　統括責任者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。

(標的型攻撃)

第97条　統括責任者は、標的型攻撃による内部への侵入を防止するために、教育等の人的対策を講じなければならない。また、標的型攻撃による組織内部への侵入を低減する対策(入口対策)並びに内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、及び外部との不正通信を検知して対処する対策(内部対策及び出口対策)を講じなければならない。

(セキュリティホールの対策)

第98条　統括責任者は、セキュリティホールに関する情報を収集し、必要に応じて、関係者間で共有しなければならない。

(不正プログラム等の対策)

第99条　統括責任者は、不正プログラムその他のセキュリティ情報を収集し、必要に応じて対応方法について、職員等に周知しなければならない。

(情報セキュリティ対策に関する情報の収集及び共有)

第100条　統括責任者は、情報セキュリティ対策に関する情報を収集し、必要に応じ、関係者間で共有しなければならない。

(監視による事案検知)

第101条　統括責任者は、セキュリティに関する事案を検知するため、情報システムを監視しなければならない。

(遵守状況の確認及び対処)

第102条　管理者は、ポリシーの遵守状況について確認を行い、問題を認めた場合には、速やかに最高責任者及び統括責任者に報告しなければならない。

(端末及び記録媒体の調査)

第103条　最高責任者及び最高責任者が指名した者は、不正アクセス又は不正プログラムの調査のために、職員等が使用している端末及び記録媒体のアクセス記録及び電子メールの送受信記録を調査することができる。

(職員等の報告義務)

第104条　職員等は、ポリシーに対する違反行為を発見した場合は、直ちに統括責任者及び管理者に報告を行わなければならない。

(緊急時対応計画の策定)

第105条　委員会は、情報セキュリティ対策に関する事故、ポリシーの違反その他の事案により情報資産への侵害が発生した場合又は発生するおそれがある場合において連絡、証拠保全、被害拡大の防止、復旧、再発防止その他の措置を迅速かつ適切に実施するために、緊急時対応計画を定めておき、侵害時には当該計画に従って適切に対処しなければならない。

(緊急時対応計画に盛り込むべき内容)

第106条　緊急時対応計画には、次に掲げる事項を定めなければならない。

(事業継続計画との整合性確保)

第107条　本町が自然災害その他の事態に備えて事業継続計画を策定する場合は、委員会は当該計画とポリシーの整合性を確保しなければならない。

(緊急時対応計画の見直し)

第108条　委員会は、情報セキュリティ対策を取り巻く状況の変化及び組織体制の変動に応じ、必要に応じて緊急時対応計画の規定を見直さなければならない。

(外部委託先の選定基準)

第109条　管理者は、外部委託先の選定に当たり、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。

(契約項目)

第110条　情報システムの運用を外部委託する場合には、委託事業者との間で必要に応じて次に掲げる情報セキュリティ対策要件を明記した契約を締結しなければならない。

(確認及び措置等)

第111条　管理者は、外部委託事業者において必要な情報セキュリティ対策が確保されていることを定期的に確認し、必要に応じて、前条に規定する契約に基づき措置しなければならない。

(外部サービスの選定)

第112条　管理者は、取り扱う情報の分類及び取扱制限を踏まえ、外部サービス(機密性2以上の情報を取扱う場合に限る。以下この節において同じ。)の利用を検討しなければならない。

(外部サービスの利用に係る調達及び契約)

第113条　管理者は、外部サービスを調達する場合は、外部サービス提供者の選定基準及び選定条件並びに外部サービスの選定時に定めた情報セキュリティ対策要件を調達仕様に含めなければならない。

(外部サービスを利用した情報システムの導入時及び構築時の対策)

第114条　管理者は、外部サービスの特性及び責任分界点に係る考え方等を踏まえ、次に掲げる事項を含む調達した外部サービスを利用して情報システムを構築する際の情報セキュリティ対策を規定しなければならない。

(外部サービスを利用した情報システムの運用時及び保守時の対策)

第115条　管理者は、外部サービスの特性及び責任分界点に係る考え方を踏まえ、次に掲げる事項を含む調達した外部サービスを利用して情報システムを運用する際の情報セキュリティ対策を規定しなければならない。

(外部サービスを利用した情報システムの更改時及び廃棄時の対策)

第116条　管理者は、外部サービスの特性及び責任分界点に係る考え方を踏まえ、次に掲げる事項を含む調達した外部サービスの利用を終了する際の情報セキュリティ対策を規定しなければならない。

(外部サービスの利用に係る規定の整備)

第117条　管理者は、次に掲げる事項を含む外部サービス(機密性2以上の情報を取り扱わない場合に限る。以下この節において同じ。)の利用に関する規定を整備しなればならない。

(外部サービスの利用における対策の実施)

第118条　職員等は、利用するサービスの約款その他の提供条件等から、利用に当たってのリスクが許容できることを確認した上で機密性2以上の情報を取り扱わない場合の外部サービスの利用を申請しなければならない。また、管理者は、当該外部サービスの利用において適切な措置を講じなければならない。

(例外措置の許可)

第119条　管理者及び統括責任者は、情報セキュリティ対策関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、最高責任者の許可を得て、例外措置をとることができる。

(緊急時の例外措置)

第120条　管理者及び統括責任者は、行政事務の遂行に緊急を要する場合であって、例外措置を実施することが不可避のときは、事後速やかに最高責任者に報告しなければならない。

(例外措置の申請書の管理)

第121条　最高責任者は、例外措置の申請書及び審査結果を適切に保管し、定期的に申請状況を確認しなければならない。

(関係法令の遵守)

第122条　職員等は、職務の遂行において使用する情報資産を保護するために、次に掲げる法令のほか関係法令を遵守し、これに従わなければならない。

(懲戒処分)

第123条　ポリシーに違反した職員等及びその監督責任者は、その重大性及び発生した事案の状況に応じて、地方公務員法による懲戒処分の対象とする。

(違反時の対応)

第124条　統括責任者が職員等のポリシー違反を確認した場合は、統括責任者は当該職員等が所属する部署の管理者に通知し、適切な措置を求めなければならない。

(実施方法)

第125条　委員会は、情報セキュリティ監査責任者(以下「監査責任者」という。)を指名し、ネットワーク及び情報システムその他の情報資産における情報セキュリティ対策状況について、定期的に、又は必要に応じて監査を行わせなければならない。

(監査を行う者の要件)

第126条　監査責任者は、監査を実施する場合には、被監査部門から独立した者に対して、監査の実施を依頼しなければならない。

(監査実施計画の立案及び実施への協力)

第127条　監査責任者は、監査を行うに当たって、監査実施計画を立案し、委員会の承認を得なければならない。

(外部委託事業者に対する監査)

第128条　外部委託事業者に委託している場合は、監査責任者は、外部委託事業者から下請として受託している事業者も含めて、ポリシーの遵守について監査を定期的に、又は必要に応じて行わなければならない。

(報告)

第129条　監査責任者は、監査結果を取りまとめ、委員会に報告しなければならない。

(保管)

第130条　監査責任者は、監査の実施を通して収集した監査証拠及び監査報告書の作成のための監査調書を、紛失その他の事案が発生しないように適切に保管しなければならない。

(監査結果への対応)

第131条　最高責任者は、監査結果を踏まえ、指摘事項を所管する管理者に対し、当該事項への対処を指示しなければならない。

(ポリシーの見直し等への活用)

第132条　委員会は、監査結果をポリシーの見直しその他情報セキュリティ対策の見直し時に活用しなければならない。

(実施方法)

第133条　統括責任者は、所管するネットワーク及び情報システムについて、定期的に、又は必要に応じて自己点検を実施しなければならない。

(報告)

第134条　統括責任者は、自己点検結果及び自己点検結果に基づく改善策を取りまとめ、委員会に報告しなければならない。

(自己点検結果の活用)

第135条　職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。

(委員会によるポリシーの見直し)

第136条　委員会は、ポリシーについて情報セキュリティ監査、自己点検の結果及び情報セキュリティに関する状況の変化を踏まえ、必要があると認めた場合は、その見直しを行うものとする。