○公立大学法人公立諏訪東京理科大学情報セキュリティ規程
| (平成30年4月1日規程第92号) |
|
|
(目的)
第1条 この規程は、公立大学法人公立諏訪東京理科大学(以下「法人」という。)及び公立諏訪東京理科大学(以下「大学」という。)が所有する重要な情報資産について、多様な脅威から保護するため、情報セキュリティを確保及び維持するための基本方針を定め、もって情報資産に係るリスクを適切にコントロールすることを目的とする。
(用語の定義)
第2条 この規程において次の各号に掲げる用語の定義は、当該各号に定めるところによる。
(1) 情報システム 情報を保存、処理及び伝達するためのコンピュータ、ソフトウェア、ネットワーク等をいう。
(2) 情報資産 法人及び大学(以下「法人等」という。)のデジタル情報、情報システム及びそれらが適切に保護され機能するために必要な要件の総称をいう。情報資産には情報システムを構成するハードウェア、ソフトウェア、ネットワーク、各種データファイル、情報システムの企画・開発・運用・保守に必要な資料等を含む。
(3) 情報セキュリティ 情報資産の機密性、完全性、可用性を維持することをいう。
ア 機密性 情報資産に対して正当なアクセス権限のない者に、内容が開示・漏えいされないこと。
イ 完全性 情報資産の収集又は取得から利用及び廃棄に至るまで、その内容が改ざんされることなく、正確で完全に処理されること。
ウ 可用性 情報資産に対して正当なアクセス権限をもつ者が、必要な時にいつでも利用可能であること。
(4) 情報取扱者 情報資産を取り扱う者であり、公立大学法人公立諏訪東京理科大学業務規程(平成30年規程第4号)第5条に規定する職員(以下「職員」という。)、大学の学生のほか、法人等の情報資産に対するアクセスが許可された全ての者をいう。
(5) 外部委託先 法人等における業務及び教育研究活動(以下「業務等」という。)の全部又は一部を委託する者又は機関のことをいう。委託する者又は機関が一部の業務等を再委託する者又は機関も含む。
(6) 情報セキュリティ管理部署 法人等の情報セキュリティ全般を統括し、管理する部署をいう。
(7) セキュリティホール 情報システムの欠陥をいう。
(8) マルウェア 悪意を持って作られたソフトウェアをいう。
(9) 対策プログラム OS、ソフトウェア等のセキュリティホールに対するアップデートファイル並びにマルウェアを駆除するためのソフトウェア及びその設定ファイルをいう。
(適用範囲)
第3条 この規程の適用対象は次の各号に掲げるものとし、いずれも外部委託先を含むものとする。
(1) 情報資産及びそれを取り扱うための施設・設備
(2) 情報資産を取り扱う業務等
(3) 情報資産の取扱い及び管理に携わる者
2 この規程に基づいて業務等を行うことができない場合、又はこの規程に定めのない重要な事項が発生した場合は、第6条で定める情報セキュリティ責任者の指示に従うものとする。
[第6条]
(情報セキュリティ最高責任者)
第4条 第1条に掲げる目的を達成するために、法人等に情報セキュリティ最高責任者を置く。
[第1条]
2 情報セキュリティ最高責任者は、理事長をもってこれに充てる。
3 情報セキュリティ最高責任者は、法人等の情報セキュリティ確保に関する総括的な権限及び責任を有する。
4 情報セキュリティ最高責任者を補佐するため情報セキュリティ最高責任者補佐を置く。
5 情報セキュリティ最高責任者補佐は、学長及び事務部長をもってこれに充てる。
(情報セキュリティ委員会)
第5条 情報セキュリティを組織的に管理及び運営するため、情報セキュリティ最高責任者の下に情報セキュリティ委員会(以下、「委員会」という。)を置く。
2 委員会について必要な事項は、別に定める。
(情報セキュリティ責任者)
第6条 法人等の部門に情報セキュリティ責任者を置く。
2 情報セキュリティ責任者は、学部長、研究科長、機構長、センター長、館長、共通・マネジメント教育センター長及び財務課長をもってこれに充てる。
3 情報セキュリティ責任者は、随時、当該部門の情報セキュリティ確保のための監査を実施し、必要に応じて適当な措置を講ずるものとする。
(情報セキュリティ管理者)
第7条 情報セキュリティ責任者の職務を助けるため、情報セキュリティ管理者を置くことができる。
2 情報セキュリティ管理者は、当該部門施設内の情報セキュリティを維持・管理するために必要な対策を講じるものとする。
3 情報セキュリティ管理者は、前項の目的を達するため、当該部門施設内における情報セキュリティに関し、必要な監査等を行うことができる。
(情報セキュリティ管理部署)
第8条 法人等に情報セキュリティ管理部署を置く。
2 情報セキュリティ管理部署は、事務部財務課とする。
3 情報セキュリティ管理の客観性を担保するため、情報システム・設備等又はこれに関係する情報システム・設備等(以下、「当該情報システム等」という。)の管理を担当する者は、当該情報システム等の情報セキュリティ管理の担当者を兼任しないものとする。
(情報取扱者の行動と責務)
第9条 情報取扱者は、情報資産の機密性、完全性、可用性を維持するよう、注意を払うものとする。
2 情報取扱者は、職務上知り得た法人等、関係法人、学生等に係る秘密情報を、法人等、関係法人、学生等の同意がある場合、法令に基づく場合等の正当な理由なく、他に漏えい、開示してはならない。
3 前項の守秘義務は、情報取扱者が法人等を退職、卒業、修了、契約終了等によってアクセス権限を喪失した後も維持するものとする。
(リスクの認識)
第10条 情報セキュリティ責任者は、次の各号に掲げる情報資産に係るリスクを正しく認識し、これらを低減又は回避するために、適切なリスクマネジメントを行う。
(1) 機密性リスク
ア アクセス権限の無い者による情報システムへの不正アクセスによる情報漏えい
イ アクセス権限の無い者による情報資産の設置場所への物理的な不正侵入による情報漏えい
ウ 情報取扱者の不正行為による情報漏えい
エ 情報取扱者の情報セキュリティ認識不足による情報漏えい
オ 外部委託先へ持ち出した情報の管理不足による情報漏えい
カ その他情報セキュリティ責任者が必要と認めたもの
(2) 完全性リスク
ア 機密性の欠如により発生する情報改ざん
イ マルウェア等の不正プログラムによる意図しない情報更新又は情報破壊
ウ 情報取扱者の事務処理の誤りによる意図しない情報更新又は情報破壊
エ プログラム不備等の情報システムの不具合による意図しない情報更新又は情報破壊
オ 情報システムの運用操作の誤りによる意図しない情報更新又は情報破壊
カ その他情報セキュリティ責任者が必要と認めたもの
(3) 可用性リスク
ア 完全性の欠如により発生する情報破壊
イ 自然災害、人的災害又は破壊行動による情報資産の破壊
ウ 何らかの事情による意図しない情報システムの停止
エ 情報システムへのアクセス制御の誤りによるアクセス拒否
オ その他情報セキュリティ責任者が必要と認めたもの
(情報セキュリティの管理方針)
第11条 情報セキュリティ責任者は、前条のリスクについて、適切なリスクマネジメントを行うため、情報資産をその重要度に応じて秘密情報及び制限情報(以下「重要情報」という。)並びにそれ以外の情報に分類する。
(1) 秘密情報
業務等において知り得た情報のうち、適切な許可を得ることなく行われる開示、改ざん、破壊、法人等外への漏えい等により法人等又は社会に損害及び不利益を与える情報、又は法人等に甚大な損害及び不利益を与える情報とする。
(2) 制限情報
個人情報の保護に関する法律(平成15年法律第57号)等の法令又は契約等により制限される情報であり、その情報の破壊、改ざん、又は法人等外への漏えい等により法人等に損害及び不利益を与える情報とする。
2 情報セキュリティ責任者は、情報資産に係るリスクが発現した場合に備え、その影響範囲を最小限にとどめるよう、必要な対応策を定める。
3 秘密情報及び制限情報の分類例を以下に示す。
| 重要度 | 対象情報資産例 |
| 秘密情報 | 財務データ |
| 人事データ | |
| 入学試験問題(試験前) | |
| その他各部門で特に定める秘密情報とみなすもの | |
| 制限情報 | 個人情報データ |
| システム設計書(要件定義書 等) | |
| その他各部門で特に定める制限情報とみなすもの |
(アクセス管理に係る基本方針)
第12条 情報セキュリティ責任者は、次の各号に定める方法により、重要情報に対して第三者及び当該情報資産の利用を必要としない者からのアクセスを制限し、適切な保護対策を講じる。
(1) 物理的アクセス管理の実施
情報資産の設置場所には、その情報資産に適切なアクセス管理を行い、アクセスは必要最小限の要員に限定する。
(2) 論理的アクセス管理の実施
情報資産に対して、利用者を特定できるアクセス管理を行い、利用状況の把握及び利用者を制限する機能を設ける。
(情報資産の収集、利用、提供及び管理に係る基本方針)
第13条 情報セキュリティ責任者は、以下の基本方針に基づき、情報資産を収集、利用、提供及び管理する。
(1) 情報の収集又は作成
情報の収集又は作成は、業務等に必要なものに限定し、利用目的を明確にする。
(2) 情報資産の利用
情報取扱者による情報資産の利用は、利用目的内に限定する。
(3) 情報資産の管理
秘密情報を含む情報資産については、その所在を的確に把握できるよう適切に管理するとともに、情報資産の破棄は、その重要度に応じた手段により行う。
(重要情報の法人等外への持出しに係る基本方針)
第14条 情報セキュリティ責任者は、重要情報の法人等外への持出しについて、以下のとおり手続を定め、適切に管理する。
(1) 情報取扱者による持出し
情報取扱者による重要情報の法人等外への持出しは、必要最小限にとどめ、これを持ち出す場合には、利用する場所等を考慮した適切な管理を行うものとする。
(2) 外部委託先への持出し
情報取扱者が重要情報を外部委託先へ持ち出す場合は、持出し先の情報セキュリティ対策の実施状況を十分確認し、適切な管理を行うものとする。
(外部委託先の情報取扱いに係る基本方針)
第15条 情報セキュリティ責任者は、情報資産を取り扱う業務を外部に委託する場合においても、情報セキュリティの確保に努める。
2 前項の目的を達するため、情報セキュリティの確保に必要な要求事項を外部委託先との間で合意し、責任範囲を明確にする。
3 個人情報の取扱いを外部に委託する場合には、個人情報の安全管理が図られるよう、委託先に対して適切な監督を行う。
(情報セキュリティに関する啓発・教育の基本方針)
第16条 情報セキュリティ委員会は、情報セキュリティ対策の有効性を確実にするため、情報取扱者に対して、以下のとおり情報セキュリティに関する義務を周知する活動を行う。
(1) 情報セキュリティ教育等の実施
情報セキュリティ委員会は、情報取扱者の情報セキュリティに関する認識を向上させるため、情報セキュリティ教育等を行う。
(2) 情報セキュリティ教育等の効果測定
情報セキュリティ委員会は、情報セキュリティに係る教育等の効果を測定し、情報取扱者への周知徹底状況を確認する。
(セキュリティホール及びマルウェアの対策に係る基本方針)
第17条 情報セキュリティ責任者は、情報システムにおけるセキュリティホール及びマルウェアに対して、情報取扱者に以下の基本事項を励行させるものとし、この基準については別途定めるものとする。
(1) 最新の対策プログラムの使用
情報取扱者は各自の端末で最新の対策プログラムを使用するものとする。
(2) マルウェアの感染予防
情報取扱者は各自の端末で定期的及び適時にマルウェア検出の点検を行うものとする。
(情報取扱者の責務に係る基本方針)
第18条 情報セキュリティ責任者は、情報取扱者にこの規程を遵守させるものとする。
2 情報取扱者の責務及びこの規程に違反したときの処置を明確にする。
(危機の定義)
第19条 次の各号のいずれかに該当した場合、これを情報セキュリティに関する危機とする。
(1) 重要情報が、法人等の意図しない第三者に漏えいした場合
(2) 情報資産の完全性に問題があり、法人等の業務等に支障を来たす場合
(3) 情報資産が利用できないために、法人等の業務等が中断する場合
(危機対応に係る基本方針)
第20条 情報セキュリティ責任者は、情報セキュリティに関する危機発生時においても迅速かつ、適切な対応措置がなされるために、情報取扱者に次の各号に掲げる基本事項を励行させるものとする。
(1) 重要情報が第三者に漏えいした事実又は可能性を発見した場合は、直ちに情報セキュリティ責任者及び情報セキュリティ管理部署に報告する。
(2) 法人等の業務等が中断し、支障を来す場合に備え、業務等への影響を最小限にとどめるための業務継続計画及び復旧計画を策定し、随時、訓練を実施するとともに、定期的に見直す。
(情報セキュリティの監査に係る基本方針)
第21条 情報セキュリティ最高責任者は、情報セキュリティ対策が有効に機能していることを確認するため、公立大学法人公立諏訪東京理科大学内部監査規程(平成30年規程第18号)に基づき、情報セキュリティに関する監査を定期的に実施するものとする。
附 則
(施行期日)
この規程は、平成30年4月1日から施行する。