セキュリティポリシー
制定 平成15年4月1日
改定 平成21年4月1日
情報セキュリティ基本方針
高度情報社会において恵泉女学園大学(以下「本学」)において、情報基盤の整備と、本学の情報資産のセキュリティを確保しておくことが不可欠です。
障害が発生した場合の対策を講じ、本学の情報資産を守り、安全かつ使いやすい情報システムを運用するために、情報セキュリティポリシーを策定。本学の情報資産の利用者は、この策定した情報セキュリティポリシーを遵守しなければなりません。また、法令および規則等を遵守することを原則とします。
1. 目的
情報セキュリティポリシーによって目指すものは、次のとおりです。
I 本学の情報セキュリティに対する侵害を阻止
II 学内外の情報セキュリティを損ねる加害行為を抑止
III 情報資産に関する事故・事件が発生した場合の対策
IV 情報資産に関して、重要度による分類と適切な管理
V 情報セキュリティに関する情報の取得を支援
VI その他必要とする対策
2.対象の範囲
本学の情報システムや情報資産、これらの情報資産に接する全ての者とします。また、本学のネットワークに、一時的あるいは永続的に接続する全てのコンピュータとその利用者も含みます。
3.用語の定義
情報資産
本学が所有又は管理する情報システム、その情報システムの内部に記録されている情報。また、その情報システムにより生成し、外部の記録媒体に記録された情報。
情報システム
情報処理および情報ネットワークに関わるシステム。
情報セキュリティ
情報資産の機密性、完全性および可用性を維持すること。
I 機密性
アクセスを認可された者だけが情報にアクセスできることを確実にし、情報を漏えいや不正アクセスから保護すること。
II 完全性
情報および処理方法が、正確・完全であること。情報の改ざんや間違いが無いように保護することをいいます。
III 可用性
認可された利用者が、必要なときに、情報・関連する資産へ確実にアクセスできることをいいます。情報の紛失・破損やシステムの停止が無いよう保護することです。
情報セキュリティポリシー
本学の情報セキュリティ対策について、根本的な考えを示す情報セキュリティの基本方針と、情報セキュリティを確保するために遵守すべき行為および判断の基準を示す情報セキュリティの対策基準からります。
4.情報セキュリティ対策の実施・評価・見直し
本学の情報セキュリティポリシーの目的とする諸対策をまとめ、具体的に実施し、情報セキュリティを取り巻く状況の変化に対応するために、見直しを適宜行います。
対策基準
1.情報の分類と安全対策
本学の情報システム内に保存された情報は、職務上定められたシステム管理者が管理します。また、情報を共有する範囲や、非公開情報を公開に変更・開示するにはどのような加工をするか、明確にしておく必要があります。
1.1 分類
I 非公開情報
許可された者以外が本学の情報システムに非公開情報を保管できないものとします。
II 限定公開情報
情報の登録および閲覧は、許可された者が許可された操作だけを行えるように、認証およびアクセス制御機能を設けます。
III 公開情報
公開情報は任意の場所からアクセス可能な性質を持つため、情報の改ざんや偽情報の流布に対して、個人情報の漏えい、プライバシーや著作権の侵害に注意します。また、情報の公開では、該当部分の情報だけを抽出し、適当な統計処理等の加工を行った情報に限ります。
1.2 安全対策
I アクセス制限
情報の内容に応じて、それにアクセスが許される利用者を定める必要があります。
II 情報の安全性
公開情報の複製・加筆による偽情報の作成および流布を防止するため、原本性の維持に努める必要があります。
III 情報の破棄
公開・非公開を問わず、情報機器および記憶媒体を破棄する場合は、その処分方法に十分に注意しなければなりません。
2.情報システムの管理
2.1 クライアント機器・ネットワーク接続
本学内にクライアント機器を設置・据付する場合、利用者がクライアント機器を使用する前に電子的認証または管理の行き届いた区域での使用、あるいは両方とするべきと考えます。また、クライアント機器をネットワークへ接続し、本学の情報システムを使用する場合は、その通信の安全性に十分な配慮を必要とします。
2.2 サーバー機器
サーバー機器の設置場所として、管理の行き届いた区域を設ける必要があります。システム管理者は、セキュリティの保持に十分な配慮が必要です。管理区域への出入り、データのバックアップ、ログ記録、アクセス監視、防災等全般にわたる対策が必要です。
2.3 ネットワーク機器
重要と思われるネットワーク機器は、その設置を限られたシステム管理者以外に公開すべきではありません。また、その設置場所への出入りには十分な配慮を要します。
ネットワークを利用する際は、事前に所定の手続きを経て承認を得ください。システム管理者は、ネットワークのセキュリティに十分な配慮を必要とします。
3.情報システムの運用
3.1 パスワード管理
自己が設定したパスワードは秘密としなければならない。また、自己のパスワードの設定および変更に配慮し、十分なセキュリティを維持する必要があります。
3.2 システム管理
システムの利用は、利用資格を有する者以外に利用者IDを発行してはなりません。また、利用資格を失った利用者IDは、直ちに削除するものとします。 利用状況等の解析では、必要性の要件と手続きを定めなければなりません。
3.3 不正アクセス等への対応
システム管理では、外部または内部からの不正アクセスを検出した場合の緊急措置の手順を定めておく必要があります。情報セキュリティ委員会は、不正アクセスが継続する場合には、当該情報機器またはそれを接続するネットワークに対し、定常的な利用の停止等の抑止措置をとることができるものとします。
不正アクセス等を行った者に対しては、本学の情報セキュリティ規程を適用します。重大な違反をした者で、本学の構成員である者に対しては、関係規程に基づき処分を行うこともあります。
4.組織・体制
情報セキュリティ対策の実施のための組織および体制については、別に定めます。
以上