○公立大学法人公立諏訪東京理科大学情報アクセス管理細則
| (平成30年4月1日細則第7号) |
|
|
(目的)
第1条 この細則は、公立大学法人公立諏訪東京理科大学情報セキュリティ規程(平成30年規程第92号。以下「情報セキュリティ規程」という。)に基づき、公立大学法人公立諏訪東京理科大学(以下「法人」という。)及び公立諏訪東京理科大学(以下「大学」という。)において、情報セキュリティ規程第11条に規定する秘密情報及び制限情報(以下「重要情報」という。)への適切なアクセス管理を行うことにより、情報システムにおける不正使用、データの漏えい、改ざん及び破壊等を防止し、適正な情報セキュリティを確保することを目的とする。
(用語の定義)
第2条 この細則において次の各号に掲げる用語は、当該各号に定めるところによる。
(1) アクセス 情報システム又はデータ(以下「情報システム等」という。)を読み取り又は書き込みを行う行為をいう。
(2) アクセス権 情報取扱者の情報システム等に対するアクセスを、組織、職位、役割等で識別するものをいう。
(3) 不正アクセス アクセス権を持たないものによるアクセスをいう。
(4) 情報システム・設備等 法人及び大学(以下「法人等」という。)の全ての情報システム及び重要な情報システムが設置されている建物、部屋等
(5) システム管理部署 情報システム・設備等を管理する部署
(6) システム管理者 情報システム・設備等の管理責任者
(7) システム担当者 情報システム・設備等の管理担当者
(適用範囲と対象)
第3条 この細則の適用範囲と対象は次のとおりとする。
(1) 法人等の重要情報を含む情報システム等に対するアクセス管理
(2) 全ての情報取扱者
(不正アクセス防止対策の検討)
第4条 新規に情報システム・設備等を導入する場合、又は既存の情報システム・設備等の変更等を行う場合は、不正アクセスの脅威にさらされる可能性を十分想定し、不正アクセス防止対策の検討を行うものとする。
(アクセス管理機能の導入)
第5条 対象となる情報システム・設備等の機能、環境、又は取り扱う情報の重要度等に応じ、適切なレベルのアクセス管理機能又は製品を選定、導入しなければならない。
2 導入したアクセス管理機能又は製品について、適宜見直しを図るものとする。
3 アクセス管理機能又は製品の導入前には、当該システムを利用した業務、教育研究活動(以下「業務等」という。)及び他のシステムへの影響等を検証するものとする。
(アクセス制御の方法)
第6条 アクセス制御は、ユーザID、パスワード等により正当な情報取扱者本人であることを特定できる方法により行うものとする。
2 システムの悪用を防止するため、入力待ちの状態で端末、パソコン等を放置しないものとする。
3 情報取扱者本人が離席する際は、他人が端末、パソコン等を使用できないように措置を講ずるものとする。
4 特に重要な秘密情報を扱う法人等の各部署においては、その執務場所に電子ロック設備を施す等、適切に入退室管理の強化を図るものとする。
5 学内ネットワーク以外から情報システム・設備等にリモートアクセスする場合及び学外ネットワークへ接続する場合は、情報セキュリティの確保に努めるものとする。管理の基準及び具体的方法については別途定めるものとする。
(アクセス制御情報の取扱い)
第7条 アクセスを制御する方法及びその設定内容は、システム管理部署内にとどめるものとする。
(アクセス権体系等の決定)
第8条 情報セキュリティ管理部署は、関係する部署と協議の上、対象となる情報システム・設備等ごとにアクセス権レベル、範囲、付与対象者等のアクセス権体系を必要に応じて定めるものとする。
(アクセス権付与対象者)
第9条 アクセス権の付与対象者は、原則として法人等の教職員、学生とする。ただし、機密保持契約を締結した者については、この限りでない。
(アクセス権の管理・運用)
第10条 システム管理者は、アクセス権を適切に管理及び運用するものとする。
(1) 情報取扱者の業務役割、情報システム・設備等の重要度等に応じて適切なアクセス権の設定を行う。
(2) 設定するアクセス権は業務等において必要なものに限定し、必要最低限レベルの権限とする。
(3) アクセス権の登録は、システム担当者が行うものとする。
(4) 異動、転出、退職等(以下「異動等」という。)の場合は、システム担当者が速やかにアクセス権の変更・抹消を行う。
(5) アクセス権の登録、設定内容は、一元管理し、必要時に照会できるようにする。
(ユーザID・パスワード等の発行)
第11条 システム管理者は、ユーザID、パスワード等を、前条に規定する手続により発行するものとする。
2 発行に際し、発行されたユーザIDは適切に管理するものとする。
(ユーザID・パスワード等の管理)
第12条 情報取扱者は、ユーザID、パスワード等を他人に漏えいすることのないよう適切に管理するものとする。
2 情報取扱者は本人のユーザIDを他人に使用させてはならない。業務等の理由でやむを得ず本人のユーザIDを他人に使用させる場合は、使用可能な情報、ソフトウェアを限定するものとする。
3 情報取扱者が異動等する場合は、システム担当者は当該情報取扱者のユーザIDを抹消するものとする。
4 システム担当者は定期的にユーザIDの点検を行い、利用されていないユーザIDは抹消する等、その管理状況を把握するものとする。
(パスワードの運用)
第13条 パスワードは、不正アクセスを防止するため、適切に運用するものとする。
(ユーザID・パスワード等の再発行)
第14条 ユーザID、パスワード等を失念又は無効とした場合は、第10条に規定する手続により再発行するものとする。
[第10条]
(特別なユーザID・パスワード等の発行)
第15条 管理者用、障害対策用等のために特別なユーザID、パスワード等を発行する場合、システム管理者は、当該ユーザID、パスワード等を発行する対象者及び有効期限を限定し、厳重に管理するものとする。
2 当該対象者は、本人のユーザID、パスワード等及び特別なユーザID、パスワード等をその目的に応じて、区別して使用するものとする。
(情報システム関連施設等の入退室管理)
第16条 ビル施設、コンピュータ等の設備、データ等の情報システム関連施設等の情報セキュリティを確保すべき施設又は設備については、入退室を管理するものとする。管理の基準及び具体的方法については別途定めるものとする。
(アクセス履歴管理機能の導入)
第17条 システム管理者は、情報システム・設備等の重要度に応じてアクセス履歴を管理する機能を導入するものとする。
(アクセス履歴の保管)
第18条 システム管理者は、対象となる情報システム・設備等の別にアクセス履歴を一定期間保管するものとする。
(不正アクセス有無の確認)
第19条 システム管理者は、対象となる情報システム・設備等の区分ごとに、定期的又は問題発生時に不正アクセスを受けた痕跡の有無を確認するものとする。
2 保守作業等による秘密情報へのアクセスは、原則として、アクセス予定時間を含めた事前申請によるものとし、システム管理者は、そのアクセス履歴と申請内容との照合を行い、不正アクセスの痕跡の有無を確認するものとする。
3 前項のアクセス履歴には、端末を特定してのログイン及びログアウト時間を記録しなければならない。
(対応体制の確立)
第20条 情報セキュリティ管理部署は、あらかじめ不正アクセス発見時の対応、復旧体制及び指示系統を確立しておくものとする。
(不正アクセス発見時の連絡)
第21条 情報取扱者は、不正アクセスを発見した場合又はそのおそれがあった場合は、現状を保存の上、直ちに情報セキュリティ責任者及び情報セキュリティ管理部署に連絡し、その指示に従うものとする。
(情報の収集)
第22条 不正アクセスの報告があった際は、情報セキュリティ管理部署の指示の下、システム管理者が直ちに必要情報を収集し、被害状況等を把握するものとする。
(対処方法の指示)
第23条 情報セキュリティ管理部署は、不正アクセスを防止するため、関係するシステム管理者及び情報取扱者に対し、適切な対応方法を指示するものとする。
(復旧作業)
第24条 システム管理者は、不正アクセスを受けた情報システム・設備等又はこれに関係する情報システム・設備等(以下「当該情報システム等」という。)の安全性を考慮した上で、復旧作業を行うものとする。
(原因追求)
第25条 当該情報システム等を管理する部署又は各部署は情報セキュリティ管理部署の指示の下、不正アクセスの侵入経路及び原因を追求しなければならない。
2 関係する情報取扱者は、不正アクセスの侵入経路及び原因の究明に協力するものとする。
(再発防止)
第26条 情報セキュリティ管理部署及びシステム管理者は、被害状況、侵入経路、原因等を把握した後、再発防止策を検討するとともに再発防止に努めるものとする。
(状況報告)
第27条 情報セキュリティ管理部署は、情報セキュリティ最高責任者に対し、適宜被害状況、復旧活動、侵入経路、原因、再発防止策等の報告を行うものとする。
附 則
(施行期日)
この細則は、平成30年4月1日から施行する。