情報セキュリティに関する上位のセキュリティ方針等の策定についてはセキュリティ対策委員会(仮称)で、またユーザや担当者レベルで厳守すべきガイドラインや手順などについては、管理担当者レベルで構成される作業部会(仮称)で検討されることが望ましい。
また、全庁ネットワーク管理者を少なくとも一人、明確に決めておくことは運用上重要である。
(2)セキュリティ方針書(セキュリティ・ポリシー)
セキュリティ方針書とは、安全で効率的な情報の流通を確保するために、組織が守るべき情報資産や信用が遵守されるべきことを規定したルールであり、組織の情報セキュリティに関する運営方針となるものである。この方針書は、一連のセキュリティ対策を一貫したものにするためにも重要な役割を果たすものである。セキュリティ方針書を地方公共団体の現状に則したものにするためには、それなりのコストと時間がかかるが、セキュリティにかかわる全庁的な方針を踏まえた上で個別のセキュリティ対策を策定し、それぞれの対策を有効に機能させることができる。セキュリティ方針書は目的・原則・方針などから構成されることが多い。
目的 : セキュリティ対策を定める目的を明確にする
原則 : セキュリティの枠組み及び対象範囲の定義をする
方針 : 原則に則ってセキュリティ方針を定める
規程 : 具体的な手順や実施方法を明文化したもの
規程・手順書 : 規程を実施するための手続きを記述したもの