情報セキュリティーポリシー
平成19年4月1日 制定
Ⅰ.情報セキュリティ基本方針
1.情報セキュリティ基本方針
長岡工業高等専門学校(以下「本校」という。)が教育活動、学術研究を円滑に行い、広く社会に貢献するためには、情報基盤の整備に加え、情報セキュリティを確保することが不可欠である。
このため、本校においては、情報セキュリティに対する侵害を阻止し、学内外の情報資産への加害行為を抑止するための包括的な規定として、この情報セキュリティポリシー(以下「ポリシー」という。)を策定し、本校の情報資産をあらゆる脅威から守るために必要な情報セキュリティの確保に最大限取り組むこととする。
また、本校のすべての学生・教職員は、この目的を果たすため、ポリシーの実施に責任を負うとともに、ポリシーを遵守しなければならない。
情報資産を、故意(破壊、改ざんや不正アクセス等)、過失(入力ミス及び操作ミス)、災害(火災や地震等)、故障等の脅威から守るため、以下の対策を講じる。
(1)組織・体制
全校が一体となり、恒常的に情報セキュリティ対策を推進するための組織・体制を定め、その果たすべき役割、責任及び権限を明確にする。
(2) 情報の分類と管理
情報システムで取扱う情報(教育情報、研究情報及び事務情報等)について、重要な情報を重点管理する考え方から、重要度に応じた情報分類の定義、情報の管理責任及び管理の方法を規定する。改ざんや破壊によるリスク分析を、全校レベルで実施する。
(3)物理的セキュリティ
情報システムの設置場所について、不正な立入り、損傷及び妨害から情報資産を保護するため、管理区域を設置するなどの物理的な対策を講ずる。また、固定的に設置されている情報機器の管理にも十分に配慮する。なお、持ち運び可能なノートパソコン、メディア(USBメモリ等)による個人情報の持ち出しによる漏洩対策について規定する。
(4)人的セキュリティ
情報セキュリティに関する権限や責任を定め、すべての学生・教職員にポリシーの内容を周知徹底する等、情報セキュリティに関する認識を確実にするために、必要に応じて教育研修を実施するとともに、他機関での教育研修への参加の機会を積極的に推進する。
また、基幹回線の維持管理に関しては、24時間365日運用を前提として、十分な要員を確保することに努める。
(5)技術的セキュリティ
情報資産を外部及び内部からの不正なアクセス等から適切に保護するため、また、学外へ被害を拡大させないように、ネットワーク管理に必要な対策を講ずる。必要に応じてセキュリティ機器を導入し、アクセス制限を行う。情報の分類によって物理的または論理的に異なるネットワークを構築する。各情報機器の通信記録を取得し一定期間保存し、必要に応じて分析する。
(6)運用
ポリシーの実効性を確保するため、また、不正使用及び不正利用によって他の情報システムに対する攻撃に悪用されることを防ぐため、ポリシーの遵守状況の確認、ネットワークの監理といった運用面に関して必要な措置を講ずる。また、セキュリティ事故が発生した際の迅速な対応を可能とするため、緊急時対応体制を規定する。
(7)評価・見直し
ポリシー及び情報セキュリティ対策の評価、情報システムの変更、新たな脅威等を踏まえ、定期的に対策基準の評価・見直しを実施することとし、このための必要な措置を講ずる。また、必要に応じて学外の機関による外部監査を行う。
2.定義
(1)情報セキュリティ
情報資産の機密性、保全性、信頼性、責任及び可用性を維持すること。
(2)情報資産
情報及び情報を管理する仕組み(情報システム及びシステム開発、運用及び保守のための資料等)の総称。
(3)情報システム
ハードウエア、ソフトウエア、ネットワーク、記録媒体で構成されるものであって、これら全体で業務処理を行うもの。
(4)情報セキュリティポリシー
情報資産の情報セキュリティ対策について、総合的・体系的かつ具体的に取りまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るかについての基本的な考え方並びに情報セキュリティを確保するための体制、組織及び運用を含めた規定。情報セキュリティ基本方針及び情報セキュリティ対策基準からなる。
3.対象範囲
ポリシーの対象範囲は、本校で使用するハードウエア、ソフトウエア、ネットワーク、記録媒体等の情報機器およびこれらの組み合わせのシステム等(システム構成図等の文書を含む。)と、これらに記録された情報、これから記録されるべき情報、及び一時的に接続されたコンピュータとする。ポリシーの対象者は、すべての学生・教職員(以下「教職員等」という。)、委託事業者(委託事業者の委託した者を含む。)及び来校者とする。
4.情報セキュリティ対策基準の策定
この基本方針に基づき、情報セキュリティ対策を実施するに当たっての遵守すべき事項や判断等の統一的な基準として「情報セキュリティ対策基準」(以下「対策基準」という。)を定めるものとする。(Ⅱ.情報セキュリティ対策基準参照)
5.実施手順の作成
情報セキュリティ管理委員会はポリシーで定められた内容を具体的な情報システムまたは業務においてどのような手順で実行していくかを示した教育用、研究用、事務用等、必要に応じて実施手順を策定する。
6.対策基準及び実施手順の扱い
対策基準及び実施手順は、公にすることにより本校の管理運営に重大な支障を及ぼすおそれのある情報であることから学外に対して非公開とする。
7.教職員等の義務
教職員等は、この目的を果たすため、ポリシーの実施に責任を負うとともに、ポリシーを遵守しなければならない。本校構成員がポリシー及び実施手順に違反した場合は、その重要性、発生した事案の状況等によっては、懲戒処分等の対象となる場合もあり得る。
Ⅱ.情報セキュリティ対策基準
1.管理体制組織
本校における情報セキュリティ責任者は校長とする。校長は、情報セキュリティに関する総括的な意思決定を行い、学内外に対する責任を負うものとする。ポリシーの解釈に関しては、校長がすべての管理権を保有し、校長による解釈をもってその最終決定とする。
ポリシーの策定、実施手順及び改定は、情報セキュリィティ管理委員会が行い、本校における情報セキュリティ対策を推進する。
情報システムの日常的な管理運営業務を円滑に実施するため、ネットワーク管理者グループと、学科等ごとの情報管理者グループを構成する。
ネットワーク管理者グループは、総合情報処理センター長を管理責任者として、学科等情報管理者及びシステム管理者から構成される。
情報管理者グループは、学校における保有個人情報の管理に関する事務を総括する任にあたる総括保護管理者、各学科・課等における保有個人情報を適切に管理する任にあたる保護管理者、各学科・課等における保有個人情報の管理を担当する保護担当者から構成される。
ネットワーク管理者グループと情報管理者グループは協力して、情報管理の実施、及び緊急時の対応等に当たるものとする。
2.情報セキュリティ侵害の阻止
(1)不正アクセス等への対応
ネットワーク管理者は、外部または内部からの不正アクセスが検出された場合、関連する通信の遮断、又は該当する情報機器の切り離しを実施する。不正アクセスが継続する場合には、所定の手続きに基づいて、当該情報機器、又はそれを接続するネットワークに対し事態の警告を行い、かつ対策をとるよう勧告し、さらには、定常的な利用を停止するなどの抑止措置をとることができる。
(2)アクセス制限
情報管理者は、情報の内容に応じて、アクセス可能な利用者を定め、不正なアクセスを阻止するために必要なアクセス制限を行わなければならない。
3. 情報資産の分類と管理
情報管理者グループは、情報資産を重要と分類し、セキュリティ管理対策を講じなければならない。
(1)情報資産の管理者
情報管理者グループは、本校の管理する機器及び保管場所に保存された情報資産を管理しなければならない。本校の管理するネットワークに個人及び自主管理ドメインの機器を接続した場合、当該機器内の情報は、その機器及び自主管理ドメインの情報管理者と利用する教職員等が管理しなければならない。
(2)非公開情報資産
情報管理者グループは、情報資産を適切に管理し、情報の盗難・漏洩等を防止するため、非公開情報を扱う場合は、暗号化や盗聴防止策を講じることが望ましく、かつ盗難防止策を講じなければならない。さらに、情報が記録された媒体は、適切に管理しなければならない。
(3)公開情報資産
情報管理者グループは、情報資産を改ざん、破壊されないように適切に管理しなければならない。また、非公開情報を公開する場合には、個人情報の漏洩、プライバシーや著作権の侵害に十分注意し、公開できる情報だけの抽出を行い、公開してよい形に加工しなければならない。情報が記録された媒体は、適切に管理しなければならない。