○国立大学法人長岡技術科学大学情報セキュリティ管理基本方針
| (令和5年3月2日 学長裁定) |
|
|
国立大学法人長岡技術科学大学情報セキュリティ管理基本方針(平成20年9月3日学長裁定)の全部を改正する。
(目的)
第1条 この基本方針は、国立大学法人長岡技術科学大学(以下「本学」という。)における情報セキュリティの効果的な確保のため、情報資産の保全及び活用に関し全学で遵守すべき基本原則を定め、もって、全学的でかつ、より高い水準の情報セキュリティ管理を実現することを目的とする。
(情報セキュリティポリシー)
第2条 この基本方針、国立大学法人長岡技術科学大学情報セキュリティ管理基本規程及び国立大学法人長岡技術科学大学情報セキュリティ管理運用の取扱いを総称して情報セキュリティポリシーという。
2 この情報セキュリティポリシーが対象とする情報は、以下とする。
(1) 役職員等が職務上使用することを目的として本学が調達し、又は開発した情報処理若しくは通信の用に供する情報システム又は外部電磁的記録媒体に記録された情報
(2) 情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報
(3) 第1号及び第2号のほか、本学が調達し、又は開発した情報システムの設計及び運用管理に関する情報
3 本学は、この情報セキュリティポリシー及びその他の規程等の定めるところにより、次の各号に定める対策を行う。
(1) 情報セキュリティ対策の実施体制の整備
(2) 情報及び情報システムの保護
(3) 情報システムや情報サービスの管理・運用
(4) 情報セキュリティインシデントへの対応
(5) 情報資産を利用する者への啓発・教育
(6) 第1号から第5号の各号を含む情報セキュリティマネジメントの実施
(定義)
第3条 この基本方針において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。
(1) ハードウェア 機器(通信回線装置、サーバ装置、端末)の総称。機器本体、キーボードやマウス、スキャナー等の入力装置、ハードディスク等の記憶装置、ディスプレー等の出力装置等で構成される。ハードウェアはソフトウェアによって制御される。
(2) 通信回線 複数の情報システム又は情報システムの構成要素である機器(本学が調達等を行うもの以外のものを含む。)の間で所定の方式に従って情報を送受信するための仕組みをいい、特に断りのない限り、本学の情報システムにおいて利用される通信回線を総称したものをいう。通信回線には、本学が直接管理していないものも含まれ、その種類(有線又は無線、物理回線又は仮想回線等)は問わない。
(3) 通信回線装置 通信回線間又は通信回線と情報システムの接続のために設置され、回線上を送受信される情報の制御等を行うための装置をいう。通信回線装置には、いわゆるハブやスイッチ、ルータ等のほか、ファイアウォール等も含まれる。
(4) サーバ装置 情報システムの構成要素である機器のうち、通信回線等を経由して接続してきた端末に対して、自らが保持しているサービスを提供するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)で、原則として本学が調達又は開発するものをいい、通信回線及び通信回線装置を介して学内LANに接続されるものとする。
(5) 端末 情報システムの構成要素である機器のうち、本学の情報及び情報システムを利用する者が情報処理を行うために直接操作するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)で、本学が調達又は開発するもの及び学内ネットワークに接続する本学支給以外のものをいう。
(6) 学内LAN 複数の情報システム又は情報システムの構成要素である機器の間で所定の方式に従って情報通信を行うための仕組みのうち、本学の情報システム又は情報システムの構成要素である機器において利用され、かつ、総合情報センターネットワークインフラ部門により通信回線が管理されているもので、原則として有線又は無線接続が可能なものをいう。
(7) ソフトウェア サーバ装置及び端末を動作させる手順及び命令をサーバ装置及び端末が理解できる形式で記述したものをいい、オペレーティングシステム(Windows、macOS等)、オペレーティングシステム上で動作するアプリケーション(ウェブブラウザ、メールソフトウェア、ソーシャルメディアサービス、クラウドサービス、Microsoft Office等)を含む。
(8) クラウドサービス ソフトウェア又はハードウェアのうち、共用可能な物理的又は仮想的なリソースにネットワーク経由でアクセス可能なウェブサービスとして事業者によって提供され、本学の情報及び情報システムを利用する者によって自由にリソースの設定及び管理が可能であって、かつ、情報セキュリティに関する必要な設定ができるものをいう。
(9) 情報システム 非電子化情報を含むすべての情報の処理、蓄積及び通信を行うハードウェア並びにこれに用いられるソフトウェアであって、本学の教育、研究及び事務処理に使用するもので、特に断りのない限り、本学が調達又は開発するもの(管理を外部委託しているシステムを含む。)をいう。
(10) 外部委託 本学の情報処理業務の一部又は全部について、契約をもって外部の者に実施させることをいう。「委任」「準委任」「請負」といった契約形態を問わず、全て含むものとする。
(11) 情報機器 情報システムの構成要素の総称をいう。
(12) 情報資産 情報及び情報システムをいう。
(13) 記録媒体 情報が記録され、又は記載される有体物をいう。記録媒体には、文字、図形等人の知覚によって認識することができる情報が記載された紙その他の有体物(書面)と、電子的方式、磁気的方式そのほか人の知覚によっては認識することができない方式で作られる記録であって、情報システムによる情報処理の用に供されるもの(電磁的記録)に係る記録媒体(電磁的記録媒体)がある。なお、電磁的記録媒体には、次に掲げるものがある。
ア 情報機器や端末に内蔵されるもの(内蔵電磁的記録媒体)
イ 情報機器や端末の外部に接続することによって情報の記録又は記載が可能な記録媒体(USBメモリ、外付けハードディスクドライブ、DVD-R等)(外部電磁的記録媒体)
(14) 組織責任者 系長、センター長及び共同研究等の事業におけるプロジェクトの長、監査室長、事務局における事務局長、事務局次長、課長、室長並びに技術長をいう。
(15) 役職員等 本学の役員のほか、本学に勤務する教員、事務職員、技術職員(いずれも非常勤を含む。)その他本学の業務に従事し、組織責任者が認めた者をいう。
(16) 学生 本学学則に定める学部学生、大学院学生、研究生、聴講生、科目等履修生、外国人留学生等をいう。
(17) アクセス 情報を使用すること(閲覧を含む。)及び情報の利用手段を使用することをいう。
(18) アクセス権限 アクセスできる権限をいう。
(19) アクセス権限者 アクセス権限を有する者をいう。
(20) 機密性 アクセスを許可されていない者が情報にアクセスできないことをいう。
(21) 完全性 情報が正確であり、かつ不備がないことをいう。
(22) 可用性 必要な場合、確実に情報にアクセスできることをいう。
(23) 情報セキュリティ 情報の機密性、完全性、可用性を維持すること。
(24) 情報セキュリティ管理 情報資産の環境を適切に管理することにより、情報セキュリティの維持・改善・向上を図ることをいう。
(25) 情報セキュリティインシデント 本学の情報資産に対する望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いものをいう。
(基本原則)
第4条 情報セキュリティ管理を実現するための基本原則は、次のとおりとする。
(1) 情報の管理責任を明確にすることによって、別に定める機密性の格付けの区分及びその有効期限の設定、適切なアクセス権限の設定、使用目的その他情報管理に重要な事項を定めること。
(2) 職務上必要とする者にのみ当該情報へのアクセス権限を付与すること。
(3) アクセス権限者だけが、正しい情報を、必要なときにいつでも利用できる状態に管理すること。
(義務)
第5条 本学の情報及び本学で扱う情報システムを利用する者、管理・運用の業務に携わる者は、情報セキュリティポリシー、関連規程及びその他関係法令等を遵守しなければならない。
(罰則)
第6条 本学の情報及び本学で扱う情報システムを利用する者、管理・運用の業務に携わる者が、故意又は重大な過失により、情報セキュリティポリシー、関連規程及びその他関係法令等に違反し、大学内外の情報セキュリティに対して重大な影響を与えた又は与えかねない悪質な行為をしたと認められた場合には、情報資産の利用の制限を行うものとする。
2 前項の場合において、役職員等のうち、本学に勤務する教員、事務職員、技術職員(いずれも非常勤を含む。)については 国立大学法人長岡技術科学大学職員就業規則等関係学内規則(以下「就業規則等」という。)、学生については国立大学法人長岡技術科学大学学則に基づき必要な措置を講ずる。
3 第1項の場合において、役職員等のうち、 役員については就業規則等に準じて取扱う等、必要な措置を講ずる。
(基本方針の改廃)
第7条 この基本方針の改廃は、国立大学法人長岡技術科学大学情報統合管理会議の議を経て、学長が行う。
附 則
この管理基本方針は、令和5年4月1日から実施する。