(1)基本方針
農業共済ネットワーク化情報システムが、継続的かつ安定的に実施できる環境を維持し、農家の個人情報等を保有・管理する団体にふさわしいセキュリティ水準を確保するために、次の事項を内容とするセキュリティ対策を策定する。
ア 組織体制
情報セキュリティを確保していくためには、管理職が情報セキュリティの重要性を十分理解し、率先して推進することが重要であり、セキュリティ水準を向上させていくためには、全職員が情報セキュリティ対策に取り組んでいくことが重要であることから、「情報セキュリティ推進委員会」にその責任及び権限を与えるとともに、部課ごとに情報セキュリティに関する権限や責任を有する者を人選し、積極的に推進する。
イ 情報の区分と管理
情報システムで取り扱う情報については、重要度に応じた情報区分を行い、 その重要度に応じて情報の管理を行う。
ウ 物理的セキュリティ
損傷等から情報資産を保護するために、設置場所・配線等の物理的な対策を講じる。
エ 人的セキュリティ
すべての職員が、情報資産の管理の面で遵守しなければならない事項を定めるとともに、その周知徹底を図るなど十分な教育及び啓発を講じる。
オ 技術的セキュリティ
情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等について対策を講じる。
カ 運 用
ポリシーの実効性を確保するとともに、不正アクセスによって情報システムへの攻撃に悪用されることを防ぐため、ポリシーの遵守状況の確認、ネットワークの監視などの運用面の対策を講じる。また、緊急事態が発生した場合の迅速な対応を可能とするため、緊急連絡網の整備を図る。
キ 法令・規則・ポリシー遵守、違反者への措置等
すべての職員は、職務の遂行において使用する情報資産について法令・規則を遵守しなければならない。違反した職員に対しては、その発生した事案の状況等に応じて懲戒処分を含む厳正な処分等を行う。
ク 評価・見直し
ポリシー及び情報セキュリティ対策の評価、情報システムの変更、新たな脅威等を踏まえ、定期的に対策基準の評価・見直しを行う。
ケ 予算措置
情報セキュリティ対策を積極的に推進するため、対策に必要な予算の確保に努める。
(2)ポリシーの対象範囲
ポリシーの対象範囲は、次表に掲げた情報システム等、情報システムに記録される情報及びこれらに接するすべての者とする。
| 区分 | 対象範囲 |
| 情報システム等 |
ハードウェア:各種サーバ、パソコン、UPS、ルータ、 (情報機器) HUB、ケーブル、記録媒体(DVD等)等 ソフトウェア:すべての基本ソフトウェア等 その他:システム設計情報、システム設計図等 |
|
情報システムに 記録される情報 |
農業共済関係情報、アクセス記録、文書等の電磁的記録 |
|
これらの情報に 接するすべての者 |
役職員、臨時職員、外部委託先職員 |
(3)実施手順の作成
構築された情報システムについて、それぞれの情報システムの管理状況を勘案の上、本ポリシーを踏まえ具体的な実施手順を定めることとする。