学校法人長崎学院 情報セキュリティポリシー

平成29年12月1日制定

Ⅰ. 情報セキュリティ基本方針

(目的)
第1条 学校法人長崎学院(以下、「学院」という。)において健全な教育・研究活動を実践し、社会的責務を果たすためには、情報基盤の整備に加えて、学院の情報資産のセキュリティを確保することが不可欠である。
学院全体の情報セキュリティ意識の向上に努め、その根拠を明確にし、学院の全構成員が情報セキュリティの重要性を認識し、情報資産の円滑な運用と保護に取り組むため、学院は「学校法人長崎学院 情報セキュリティポリシー」(以下、「ポリシー」という。)を規定する。

ポリシーによって目指すものは、次のとおりである。
(1) 学院の情報セキュリティに対する侵害の阻止
(2) 学院内外の情報セキュリティを損ねる加害行為の抑止
(3) 情報資産の分類と重要度に見合った保護・管理
(4) 学院における情報セキュリティ対策の実施に関する支援

(用語の定義)
第2条 ポリシーで使用する用語の定義は、以下のとおりとする。
(1) 情報
学院の教育・研究・管理運営に関わる者が作成し、又は収集及び取得した内容が記録された電磁的媒体、紙媒体及びそれに準ずる媒体をいう。
(2) 情報資産
情報システムに記録された情報及び情報システムに関係がある書面に記載された情報であり、電磁的に記録された情報全てを含む。書面に記載された情報には、電磁的に記録されている情報を記載した書面(情報システムに入力された情報を記載した書面、情報システムから出力した情報を記載した書面)及び情報システムに関する設計書が含まれる。
(3) 情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
a 機密性・・・情報資産にアクセスすることを許可された者だけが、情報資産にアクセスできることを確保すること。
b 完全性・・・情報資産が破壊、改ざん又は消去されていない状態を確保すること。
c 可用性・・・情報資産にアクセスすることを許可された利用者が、必要なときに情報にアクセスできる状態を確保すること。
(4) 情報システム
ハードウェア、ソフトウェア、ネットワーク、記録媒体で構成されるものであって情報処理を行う仕組みをいう。本法人の情報システムは、学院により所有又は管理されているもの及び本法人との契約あるいは他の協定に従って提供されるものをいい、本法人の情報ネットワークに接続される機器を含む。
(5) 情報セキュリティポリシー
学院が所有する情報資産の情報セキュリティ対策について、総合的・体系的かつ具体的に取り纏めた規程で、根本的な考え方を表す「情報セキュリティ基本方針」、並びに情報セキュリティを確保するために遵守すべき行為及び判断の基準を示す「情報セキュリティ対策基準」から成る。
(6) 情報セキュリティ実施手順
情報セキュリティ対策を実施するため、情報セキュリティ対策基準に基づいて適宜策定される規程、基準及び計画をいう。
(7) 情報機器
パソコン、サーバ等のコンピュータ本体及びディスプレイ、プリンタ等の周辺機器をいう。
(8) サーバ機器
複数のクライアント機器からアクセスされ、共同で利用される情報機器をいう。
(9) クライアント機器
サーバ機器の提供する機能やデータ へアクセスすることで処理を進めていく情報機器をいう。
(10) 記録媒体
電磁的に情報を記録した媒体あるいは情報をプリントアウトした紙媒体等をいう(CD、DVD、MO、フロッピーディスク、フラッシュメモリ等)。
(11) 部局
教学組織においては学部、事務組織においては各課室(センターを含む)をいう。

(適用対象範囲)
第3条 ポリシーの適用対象範囲は、次の各号に定めるとおりとする。
(1) 適用対象資産
本法人が管理する全ての情報資産とする。
(2) 適用対象者
学院の情報資産を利用する全ての者で、役員、教員(非常勤教員を含む)、職員(臨時職員、派遣職員等を含む)、研究員、共同研究者、学生(研究生,科目等履修生等を含む)、委託業者、来学者等とする。

(実施手順の作成)
第4条 ポリシーの具体的な実施手順は、Ⅱ.に規定する情報セキュリティ対策基準に基づき、各部局において定めることとする。

(遵守義務)
第5条 学院の情報資産を利用する全ての者は、情報セキュリティの重要性について、共通の認識を持ち、業務の遂行にあたっては、ポリシー、情報セキュリティ実施手順及びその他関連法令等を遵守しなければならない。

Ⅱ.情報セキュリティ対策基準

第1章 総則
(趣旨)
第6条 ここに規定する情報セキュリティ対策基準(以下、「対策基準」という。)は、情報セキュリティ基本方針に基づき、情報セキュリティ対策を講ずるにあたり遵守すべき行為及び判断等の基準を統一するため、必要となる基本的な要件を定めるものである。

第2章 情報セキュリティの管理体制
(組織・体制)
第7条 学院における情報基盤を整備し、情報資産の有効活用・セキュリティ確保を実現するための組織・体制を次のとおり定める。又、組織・体制図は別表1のとおりとする。
(1) 最高情報セキュリティ責任者
学院に最高情報セキュリティ責任者を置き理事長をもって充てる。最高情報セキュリティ責任者は、学院の情報セキュリティに関する総轄的な意思決定をし、学内及び学外に対する責任を負う。
(2) 情報セキュリティ管理責任者
学院に情報セキュリティ管理責任者を置き、法人事務局長をもって充てる。情報セキュリティ管理責任者は、学院における情報セキュリティ対策の管理・運営に関し総轄し、最高情報セキュリティ責任者を補佐する。
(3) 部局システム管理責任者(教学組織においては学部長、事務組織においては事務長)
部局に部局システム管理責任者を置き、該当部局の長をもって充てる。部局システム管理責任者は、部局内の情報セキュリティに関する権限と責任を有する。
(4) システム管理者(教学組織においては各教員、事務組織においては各課室長)
部局にシステム管理者を置き、教学組織においては、個々のクライアント機器により情報システムを利用する教員をもって充て、事務組織においては,当該部局の課室長をもって充てる。システム管理者は、個々の情報機器、ソフトウェア及び情報を管理・監督し、セキュリティを維持するための責任を負う。

(情報セキュリティ委員会)
第8条 最高情報セキュリティ責任者は、次の各号に掲げる事項について審議する必要があるときは、情報セキュリティ委員会(以下、「委員会」という。)を設置する。
(1) 情報資産に対する重大な脅威への警戒・監視に関する事項
(2) 情報セキュリティに関わる事件・事故の調査・分析及び再発防止策の立案に関する事項
(3) その他情報セキュリティに関する重要な事項
2 委員会は、次の各号に掲げる委員をもって組織する。
(1) 情報セキュリティ管理責任者
(2) 学長
(3) 部局システム管理責任者
(4) ICT教育支援室長
(5) 総務課長
(6) その他最高情報セキュリティ責任者が必要と認めて指名した者
3 委員会には委員長を置き、前項第1号の委員をもってこれに充てる。
4 委員会において決するべき事項が生じた場合には、出席委員の過半数をもって決する。可否同数の場合は、委員長の決するところによる。
5 委員会の事務局は総務課とする。

第3章 情報資産の分類と管理
(情報資産の分類)
第9条 情報資産は、その内容に応じ、別表2に掲げる区分に準じて非公開情報資産・限定公開情報資産・公開情報資産に分類し、その重要度に応じた情報セキュリティ対策を講じなければならない。

(非公開情報資産の取り扱い)
第10条 非公開情報資産は、次の各号に掲げる事項に従い、取り扱われなければならない。
(1) 個人情報、教育・研究、事務等の非公開情報資産を不当に利用してはならない。
(2) 非公開情報を不特定の者が可読な状態にしてはならない。
(3) 情報の盗難・漏洩等を防止するため、暗号化や盗聴防止策を講じることが望ましく、かつ盗難防止策を講じなければならない。

(限定公開情報資産の取り扱い)
第11条 限定公開情報資産は、次の各号に掲げる事項に従い、取り扱われなければならない。
(1) 特定の利用者に特定の情報を公開する場合、その情報の登録・閲覧は、許可された者が許可された操作だけを行えるよう、認証及びアクセス制御等を実施しなければならない。
(2) 情報の盗難・漏洩等を防止するため、暗号化や盗聴防止策及び盗難防止策を講じることが望ましい。
(3) 異常な登録、閲覧及び操作が行われていないか、定期的に調査・確認を行わなければならない。

(公開情報資産の取り扱い)
第12条 公開情報資産は、次の各号に掲げる事項に従い、取り扱われなければならない。
(1) あらゆる公開情報資産を不当に利用してはならない。
(2) 情報資産は、改ざん、破壊されないよう、適切に管理されなければならない。
(3) 情報を公開する場合には、個人情報の漏洩、プライバシーや著作権の侵害に十分に注意し、公開できる情報だけの抽出を行い、公開してよい形に加工しなければならない。

(情報資産の管理)
第13条 情報資産は、原則として、当該情報資産を作成した部局が本規程第9条に定める分類により管理しなければならない。
2 学院が所有するサーバ機器に保存されず、個々のクライアント機器に保存された情報資産は、原則として、当該クライアント機器を日常的に利用する者が管理しなければならない。

第4章 物理的セキュリティ
(管理区域の設置)
第14条 情報セキュリティ管理責任者は、サーバ機器等の重要な情報システム又は情報資産を、管理する情報の重要度に従い、それぞれ設定された管理区域内に設置し、正当なアクセス権のない者が使用できないよう、必要に応じて入退室の認証・記録や警備システムの設置等、物理的なセキュリティ確保に努めなければならない。

(情報機器及び記録媒体の盗難対策)
第15条 システム管理者は、情報機器及び記録媒体の盗難予防に努めなければならない。

(情報機器及び記録媒体の学外への持ち出し)
第16条 個人情報及び本法人の重要なデータが入った情報機器及び記録媒体は、原則として学外へ持ち出してはならない。やむを得ず、情報機器及び記録媒体を学外へ持ち出す場合は、情報の漏えいが発生しないよう、情報セキュリティ対策を講じなければならない。

(情報機器及び記録媒体の学内への持ち込み)
第17条 情報機器及び記録媒体を学内へ持ち込む場合、ウィルスチェックを行う等の情報セキュリティ対策を講じなければならない。

(情報のバックアップ)
第18条 サーバ機器等に記録するデータは、必要に応じて定期的にバックアップしなければならない。

(情報機器及び記録媒体の処分)
第19条 情報機器及び記録媒体を破棄する場合は、残存情報が第三者に読み取られることのないよう、情報セキュリティ対策を講じなければならない。

第5章 人的セキュリティ
(教育・研修)
第20条 情報セキュリティ管理責任者は、情報セキュリティに関する啓発や教育を実施するため、必要な措置を講じるよう努めるものとする。

(事故・障害時の報告・対応)
第21条 情報資産を利用する者は、情報セキュリティに関する事故・障害及び公開情報の改ざん等を発見した場合には、直ちに部局システム管理責任者又はシステム管理者に報告しなければならない。
2 部局システム管理責任者又はシステム管理者は、発生した事故・障害等について、直ちに必要な措置を講じ、情報セキュリティ管理責任者に報告しなければならない。
3 情報セキュリティ管理責任者は、重大な事故が発生した場合は、最高情報セキュリティ責任者に報告しなければならない。
4 最高情報セキュリティ責任者は、重大な事故について審議する必要がある場合は、情報セキュリティ管理責任者に指示し、情報セキュリティ委員会を開催させることができる。
5 情報セキュリティ管理責任者及び部局システム管理責任者は、発生した全ての情報セキュリティ上の事故等に関する記録を一定期間保存しなければならない。

(委託契約)
第22条 情報システムの開発又は運用管理を外部委託する場合は、外部委託業者から再委託を受ける業者も含め、ポリシーを遵守することを明記した契約を締結するものとする。

第6章 技術的セキュリティ
(不正アクセス等への対応)
第23条 情報セキュリティ管理責任者は,不正アクセスの防止並びに検出するための適切な手段を講じなければならない。不正アクセスが検出された場合は、関連する通信の遮断又は該当する情報機器の切り離しを実施する。

(アクセス制限)
第24条 システム管理者は、情報の内容に応じて、アクセス可能な利用者を定め、不正なアクセスを阻止するために必要なアクセス制限を行わなければならない。
2 情報資産を利用する者は、アクセス権限のない情報にアクセスしたり、許可されていない情報を利用してはならない。

(ネットワークの運用管理)
第25条 学院の基幹ネットワークの管理は、ICT教育支援室長がこれを行う。
2 ICT教育支援室長は、基幹ネットワーク及び重要なサブネットワークについて、ファイアウォール等のセキュリティ対策機器を導入し、外部からの不正アクセス等に対する防御や内部から外部への攻撃に対処しなければならない。
3 ICT教育支援室長は、ファイアウォール等のログを一定期間保存しなければならない。
4 ICT教育支援室長は、新たな技術による学内ネットワークへの攻撃に対処できるよう、必要に応じて、セキュリティ対策機器及びセキュリティ対策機器上のソフトウェア(ファームウェアを含む)を更新しなければならない。

(ネットワークのモニタリング)
第26条 情報セキュリティ管理責任者は、セキュリティ確保のために、あらかじめ指名した者に、ネットワークを通じて行われる通信のモニタリングを行わせることができる。
2 前項の指名を受けた者は、モニタリングによって知り得た情報の内容を他の者に伝達してはならない。ただし、学院又は外部に対する重大な情報セキュリティ侵害を防止するために必要と認められる場合は、この限りではない。
3 第1項のモニタリングの範囲及び手順、前項ただし書に該当した場合の伝達にかかる手続及び要件、モニタリングによって採取した記録の取扱いその他のネットワークのモニタリングに必要な事項は別に定める。

(ネットワークバックドアの排除)
第27条 学院のネットワークのセキュリティ機能を回避する目的でバックドア(PPPサーバ、コンピュータに接続する外部ネットワーク、VPN装置及びソフトウェア等)を設置することは、原則として禁止する。

(ネットワーク接続機器)
第28条 学院のネットワークに接続する情報機器は、ウィルス対策ソフトを導入する等のセキュリティ対策を講じたものでなければならない。
2 情報セキュリティ管理責任者及びICT教育支援室長は、学院のネットワークに接続する情報機器の利用者を把握しておかなければならない。

(利用記録の保存)
第29条 個人情報等の非公開情報を管理するサーバ及び必要とされるサーバについては、システムログやアクセス記録等の運用に関する記録を一定期間保存しなければならない。又、最高情報セキュリティ責任者又は情報セキュリティ委員会から運用に関する記録の提供を求められた場合は、速やかに開示しなければならない。

(アカウント及びパスワードの整備)
第30条 情報資産を利用する者は、自己のアカウントのパスワードを秘密としなければならない。又、十分なセキュリティを維持できるよう、自己のパスワードの設定及び変更に配慮しなければならない。

第7章 評価・見直し
(情報資産の点検)
第31条 情報セキュリティ管理責任者は、情報資産に係る物理的・技術的・人的セキュリティ対策について、定期的な点検を実施し、その結果を最高情報セキュリティ責任者に報告しなければならない。

(情報セキュリティ対策の更新)
第32条 最高情報セキュリティ責任者は、前条の報告により、改善が必要と認められる場合には、情報セキュリティ管理責任者に対して、情報セキュリティ対策の更新等、必要な措置を講じるよう命じなければならない。

(ポリシーの評価)
第33条 ポリシーの実効性については、定期的に評価を行い、改善が必要と認められる場合には、セキュリティレベルの高い、かつ遵守可能なポリシーに更新しなければならない。

(ポリシーの改廃)
第34条 ポリシーの改廃は、理事会の議を経て理事長が行う。

附 則
この規程は、平成29年12月1日から施行する。

別表1

別表2


関連のあるお知らせ

現在、関連のあるお知らせはありません。