大田原市情報セキュリティ監査実施要綱

○大田原市情報セキュリティ監査実施要綱

(平成29年3月31日告示第59号)

第1条　この要綱は、市の情報セキュリティに関する監査(以下「監査」という。)の実施について基本的な事項を定め、情報セキュリティの維持及び向上に資することを目的とする。

第2条　この要綱において使用する用語は、大田原市情報システム管理運営要綱(平成28年告示第55号)において使用する用語の例によるほか、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

[大田原市情報システム管理運営要綱(平成28年告示第55号)]

(1)　監査人　大田原市情報セキュリティ対策基準(平成28年4月1日実施。以下「セキュリティ対策基準」という。)第133条に定める要件を満たす者で、監査を行うものをいう。

[大田原市情報セキュリティ対策基準(平成28年4月1日実施。以下「セキュリティ対策基準」という。)第133条]

(2)　被監査部門　監査を受ける課等をいう。

(3)　中期計画　監査に関する3年間の基本方針を定める計画をいう。

(4)　年度計画　中期計画の各年度における監査方針、監査目標、被監査部門及び実施時期を定める計画をいう。

(5)　実施計画　年度計画に基づき個別に実施する監査の計画をいう。

(6)　特命監査　最高情報セキュリティ責任者(以下「CISO」という。)の命令又はその他の理由により行う実施計画以外の監査をいう。

(7)　セキュリティスタッフ　情報セキュリティ強化のために各課等に配置し、大田原市情報セキュリティ委員会の組織及び運営に関する要領(平成28年4月1日実施)に定める役割を担う者をいう。

[大田原市情報セキュリティ委員会の組織及び運営に関する要領(平成28年4月1日実施)]

(8)　情報セキュリティポリシー　情報セキュリティの対策についてとりまとめたもので、大田原市情報セキュリティの基本方針を定める規程(平成28年訓令第3号。以下「セキュリティ基本方針」という。)第2条に定めるものをいう。

[大田原市情報セキュリティの基本方針を定める規程(平成28年訓令第3号。以下「セキュリティ基本方針」という。)第2条]

(9)　フォローアップ　情報セキュリティを改善するために行う指導及び追跡調査をいう。

第3条　監査の対象は、セキュリティ基本方針第4条に定める適用範囲とする。

[セキュリティ基本方針第4条]

2　監査は、前項に定める適用範囲を対象として課等ごとに行う。

(情報セキュリティ監査責任者)

第4条　監査を実施する責任者として、情報セキュリティ監査責任者(以下「監査責任者」という。)を置き、総合政策部長の職にある者をもって充てる。

2　監査責任者は、監査人を指名する。

3　監査責任者は、外部の専門家を監査人として指名することができる。

(監査の実施体制)

第5条　監査は、監査人で構成されるチーム(以下「監査チーム」という。)が行う。

2　監査人は、監査チームに属する監査人の中から互選で、当該監査チームの代表となる監査人(以下「代表監査人」という。)を選出する。

(監査人の権限)

第6条　監査人は、被監査部門に対し、当該監査に関する資料の提出、事実説明及びその他監査人が必要とする事項の開示を求めることができる。

2　被監査部門は、前項の監査人からの求めに対して、正当な理由なくこれを拒否することはできない。

3　監査人は、被監査部門における外部委託先など業務上の関係先に対して、事実の確認を求めることができる。

4　監査人は、監査の結果に基づき、必要に応じて被監査部門に対して改善を命じることができる。

(監査人等の責務)

第7条　監査人は、常に公正かつ客観的に監査を行わなければならない。

2　監査人は、監査及び情報セキュリティに関する専門知識を最大限に活用し、相当な注意をもって監査を行わなければならない。

3　監査人は、監査を行った結果について、第12条に定める調書を作成し、その内容については、CISO及び監査責任者とともに責任を負わなければならない。

4　CISO、監査責任者及び監査人は、前項の規定により作成された調書の内容及び監査の実施により業務上知り得た秘密事項を正当な理由なく他の第三者に漏らしてはならない。その職を退いた後も、同様とする。

(監査関係文書の管理)

第8条　監査に関する文書は、セキュリティ対策基準に定める方法により管理しなければならない。

第9条　監査は、中期計画、年度計画及び実施計画(以下これらの計画を「監査計画」という。)に基づいて行わなければならない。

2　監査責任者は、監査計画を策定し、情報セキュリティ監査中期計画書(様式第1号。以下「中期計画書」という。)、情報セキュリティ監査年度計画書(様式第2号。以下「年度計画書」という。)及び情報セキュリティ監査実施計画書(様式第3号。以下「実施計画書」という。)を作成し、セキュリティ対策基準に定めるところにより承認を受け、及び報告を行わなければならない。

3　特命監査は、同監査を行うよう命令を受けた者が特命監査に関する実施計画書(以下「特命監査実施計画書」という。)を作成し、CISOの承認を得なければならない。なお、特命監査実施計画書の内容は、実施計画書と同じとする。

(監査実施通知)

第10条　監査責任者は、監査を行うにあたり、原則として実施日の3箇月前までに被監査部門の情報セキュリティ管理者に対し、情報セキュリティ監査実施通知書(様式第4号)で知らせなければならない。ただし、特命監査を行う場合は、この限りでない。

(監査実施及び監査基準)

第11条　監査チームは、監査を行う場合は実施計画書に基づいて、特命監査を行う場合は特命監査実施計画書に基づいて行わなければならない。

2　監査チームは、監査を行うときは、被監査部門のセキュリティスタッフを立ち会わせなければならない。ただし、特命監査を行う場合は、この限りでない。

3　監査チームは、情報セキュリティポリシーに定める内容を基準として監査及び特命監査を行わなければならない。

第12条　監査チームは、監査及び特命監査を行った結果について、大田原市情報セキュリティ監査調書(様式第5号。以下「監査調書」という。)を作成しなければならない。監査調書には、必要に応じて証拠資料及び関連する資料を添付するものとする。

2　監査人は、監査により指摘した問題点について、事実誤認などがないことを確認するため、被監査部門のセキュリティスタッフと意見交換を行わなければならない。ただし、特命監査については、この限りでない。

3　代表監査人は、前項の意見交換後、速やかに監査調書を監査責任者に提出しなければならない。ただし、監査結果の報告に緊急を要する場合は、口頭での報告をもって監査調書の提出に替えることができる。

4　代表監査人は、特命監査を行うよう命令を受けた者へ特命監査の監査調書を提出しなければならない。ただし、当該査結果の報告に緊急を要する場合は、口頭での報告をもって監査調書の提出に替えることができる。

(監査結果の通知)

第13条　監査責任者は、監査調書の提出を受けたときは、速やかに当該監査の結果及び改善事項について、情報セキュリティ監査結果通知書(様式第6号。以下「結果通知書」という。)により被監査部門の情報セキュリティ管理者に通知しなければならない。

2　結果通知書により改善事項の指摘を受けた被監査部門の情報セキュリティ管理者は、セキュリティ対策基準に定める期日までに、情報セキュリティ監査結果に基づく改善計画書(様式第7号。以下「改善計画書」という。)を監査責任者に提出しなければならない。

(フォローアップ)

第14条　監査責任者は、前条第2項に定める改善計画書の実施について、適宜フォローアップを行わなければならない。

(改善措置の確認)

第15条　改善計画書を提出した情報セキュリティ管理者は、改善措置終了後速やかに情報セキュリティ改善措置報告書(様式第8号)を監査責任者に提出するとともに、その確認を受けなければならない。

(監査結果の報告)

第16条　監査責任者は、当該年度に行った監査の結果及び第14条で定めるフォローアップの状況について、情報セキュリティ監査報告書(様式第9号。以下「報告書」という。)を作成し、セキュリティ対策基準に定めるところにより報告しなければならない。

第17条　監査の庶務は、総合政策部情報政策課において処理する。

第18条　この要綱に定めるもののほか、監査の実施に関し必要な事項は、市長が別に定める。

この要綱は、平成29年4月1日から施行する。

様式第1号(第9条関係)

情報セキュリティ監査中期計画書

様式第2号(第9条関係)

情報セキュリティ監査年度計画書

様式第3号(第9条関係)

情報セキュリティ監査実施計画書

様式第4号(第10条関係)

情報セキュリティ監査実施通知書

様式第5号(第12条関係)

情報セキュリティ監査調書

様式第6号(第13条関係)

情報セキュリティ監査結果通知書

様式第7号(第13条関係)

情報セキュリティ監査結果に基づく改善計画書

様式第8号(第15条関係)

情報セキュリティ改善措置報告書

様式第9号(第16条関係)

情報セキュリティ監査報告書