情報セキュリティポリシー

大分県立芸術文化短期大学情報セキュリティポリシー

（制定　2007年4月1日）

Ⅰ　情報セキュリティの基本方針

１．基本方針
　高度情報化社会の中で大分県立芸術文化短期大学（以下「本学」という。）の構成員が教育・研究、社会活動を安心・安全に遂行していくには、本学の情報資産の安全性を確保することが不可欠である。そのために、本学の学生、教職員のすべてが情報資産の価値を認識することが肝要であり、自身の情報を守るだけでなく、他者の資産も侵してはならないものとして行動すべきである。
　本学は、構成員や学外社会に向けて、高度の安全性が確保された情報システム環境を提供する。本学の構成員はそれを正しく利用するのみならず、本学からの不正な情報提供や不正アクセスをなくして、学外に対しても本学の情報システムの信頼性を高めていく。
　本学の全構成員が、情報環境を個々の活動の中で正しく利用していけるよう、情報システムの運用・管理、利用についての指針として、情報セキュリティポリシーを制定する。

　情報セキュリティポリシーの目指すものは次の通りである。
　（a）本学の情報セキュリティに対する侵害を阻止すること。
　（b）学内外の情報セキュリティを損ねる加害行為を抑止すること。
　（c）情報資産に関して、重要度に見合った管理を行うこと。
　（d）情報セキュリティに関する情報の取得を支援すること。

２．用語の定義
　大分県立芸術文化短期大学情報セキュリティポリシー（以下「ポリシー」と記す。）で使用する用語の定義については、平成１２年７月１８日の情報セキュリティ対策推進会議による「情報セキュリティポリシーに関するガイドライン」に定める定義と同様とする。
　http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html

３．ポリシーの対象者と対象範囲
　ポリシーの対象者は、本学の全構成員（専任教職員、非常勤教職員、専攻科生、学生、聴講生、委託業者など）および本学の情報資産を学内で利用しようとする来学者とする。
ポリシーの対象範囲は、本学のすべての情報資産に加えて、ポリシーの対象者が本学のネットワークに接続して使用するコンピュータを含むものとする。

　

Ⅱ　対策基準

１．組織・体制
　本学に最高情報セキュリティ責任者（理事長が任命する）を長とする情報セキュリティ委員会（委員は情報メディア委員会委員が兼ねる）を設置する。情報セキュリティ委員会は情報セキュリティポリシーを策定し、情報セキュリティ対策に関する重要事項を決定する。
　学科等および事務部門ごとに情報システム管理責任者（学科長、総務部長、事務部局のリーダなどが当たる）を置く。情報システム管理責任者はそれぞれの部門での情報セキュリティ対策ガイドラインを策定して実施する。
　最高情報セキュリティ責任者は情報システム管理責任者連絡会議を開いて、連絡調整、情報交換を行う。
情報教育センターは本ポリシーやガイドラインに従って、技術的対策の実装、対内外接続の維持・管理を行う。

２．情報の分類と管理
　２－１　情報の管理
　情報資産は、管理の権限を有するものによって管理される。
　本学に設置するすべてのパソコン、サーバ及び、ネットワーク設備にシステム管理者を定める。
　情報をパソコンやサーバに保存する場合、情報の管理者は、バックアップ等の業務をシステム管理者に代行させることができる。システム管理者は管理する上で必要な範囲を超えて情報にアクセスしてはならない。
　情報の管理者は、自己の管理する情報へのアクセスのためであっても、システム管理者から許可を得ていない者に情報システムを使用させてはならない。

　２－２　情報の分類
　情報の管理者は、ポリシーの対象となるすべての情報について、公開・非公開を定めなければならない。
　以下、閲覧できる者を限定した情報を非公開情報といい、情報の利用者すべてに閲覧を許す情報を公開情報という。
　（a）非公開情報
　　システム管理者から許可された者以外のものがコンピュータに非公開情報を保管してはならない。システム管理者は情報の機密性や重要度に応じた適切なセキュリティ対策を施して情報を管理しなければならない。
　　非公開情報へのアクセスを許可する者の範囲は情報の管理者が定める。
　（b）公開情報
　　公開情報は情報の改ざんや偽情報の流布への対抗策と、個人情報の漏えい、プライバシーや著作権の侵害への防止策が講じられなければならない。
　　情報発信を行う場合は、正規の発信者であることを証明する必要が生ずることに留意しなければならない。
　２－３　情報の作成、保守、システム開発
　情報を作成する際は、著作権などの他者の知的財産権を侵していないことを確認しなければならない。
　外部委託などのために、非公開情報を限定された第三者に開示する必要がある場合は、開示の都度、守秘義務契約を結ばなければならない。

　２－４　情報機器及び記憶媒体の処分
　情報機器及び記憶媒体を廃棄する場合は、その処分方法に注意しなければならない。
　情報機器及び記憶媒体を保守契約により交換する場合、又はレンタル機器の撤去を行う場合は、撤去後の記憶媒体の処理方法についても十分配慮しなければならない。

３．物理的セキュリティ
　３－１　パソコン端末機器とネットワーク設備
　システム管理者から許可を得ていない者が機器や設備を使えないような方策を整えなければならない。
　ネットワークについては認証と使用の記録を残さなければならない。
　端末機器とネットワーク設備には、災害、事故及び情報機器の盗難への対策を講じておかなければならない。

　３－２　サーバ機器
　サーバ機器は、その重要度に応じたセキュリティ対策が施された管理場所に設置されなければならない。停止したときに本学内の業務遂行に重大な支障をきたす重要なサーバ機器又はサーバ室に対しては、認証と入退室の記録を残さなければならない。
　サーバ機器に記録される情報資源は、サーバ機器の重要度に応じて定期的にバックアップを行うこととする。
　情報資源を保存するサーバ機器や、情報をバックアップしたメディアには、火災、地震等の災害や盗難等の犯罪から守るための対策を施さなければならない。
　重要なサーバ機器については、故障や停電などの事故の際、迅速に保守、回復ができるような体制を整えておかなければならない。

４．人的セキュリティ
　ポリシーの対象者は、ポリシーを遵守しなければならない。また、本学が提供する情報セキュリティの教育を受けなければならない。本学の情報資産に関わる者は、情報セキュリティに関する最新の情報について、自発的に情報セキュリティ委員会に提言することが望ましい。
　システム管理者は、責任を持って個々の情報システムの維持に努めなければならない。
教職員及び学生は、情報セキュリティに関する事故、情報システムの不審な動作、公開情報の改ざん、システム上の障害及び誤動作を発見した場合には、情報システム管理責任者と全学ネットワーク運用管理者（情報教育センター長）に直ちに報告しなければならない。全学ネットワーク運用管理者は、できるだけ速やかに必要な措置を講じなければならない。

５．技術的セキュリティ
５－１．コンピュータ及びネットワークの管理
情報システム管理責任者は、情報システムの運用管理手順やネットワーク管理、記録媒体の保護の規定について定めなければならない。
　５－２．アクセス制御
情報システム管理責任者は、業務要件に従って情報へのアクセス許可の必要性を定め、利用者の権限と責任について言及しなければならない。また、措置すべきパスワードの管理方法やシステム管理者の権限を定めなければならない。また、外部から利用者の接続を許可する場合の基準、情報及び情報システムへのアクセス要件等を定めなければならない。
　５－３．システム開発、導入、保守等
　新たに情報システムの開発又は導入若しくは更新をしようとする場合、情報システム管理責任者は、ポリシーに従ってリスク分析を行い、適切な情報セキュリティ対策を施すために必要な事項について定めねばならない。また、システム開発等を受託する者に対する必要な事項を定める必要がある。
　これらの新たな機器、ソフトウエア、媒体及びサービスの導入の際には、事前に不具合の確認等のセキュリティに関する確認を行うことが重要である。また、これらの仕様書等についても取扱いには注意する必要がある。
５－４．セキュリティ情報の収集
セキュリティホールは日々発見される性質のものであることから、システム管理者は積極的に情報収集を行う必要がある。このため、情報収集の体制、分析の手順、情報収集先等を定め、深刻なセキュリティホールが発見された場合、直ちに対応できるよう留意する必要がある。

６．評価・見直しに関して
最高情報セキュリティ責任者は、ポリシーに添った対策がどの程度実施されているかを評価するとともに、セキュリティレベルの向上に必要な措置を講じるため、情報セキュリティ委員会を年１回以上開催しなければならない。情報セキュリティ委員会は、ポリシーの実効性を少なくとも年１回評価し、必要な部分を見直して内容の変更および実施時期の決定を行い、よりセキュリティレベルの高い、かつ、遵守可能なポリシーに更新しなければならない。さらに、最高情報セキュリティ責任者は、教育研究審議会ならびに教授会に評価・見直しの結果を報告しなければならない。また、その要約を全学の構成員に提示しなければならない。