1．趣旨しゅし

本ほん法人ほうじんにおける危機きき管理かんりに関かんする規程きてい第だい1条じょうの趣旨しゅしに則のっとり、本ほん法人ほうじんが保有ほゆうする情報じょうほう資産しさん(ネットワーク上じょうを流通りゅうつうする情報じょうほうやコンピュータ及およびネットワークなどの情報じょうほうシステム)のセキュリティを確保かくほするために、この情報じょうほうセキュリティポリシー(以下いか「ポリシー」という)を定さだめる。

2．ポリシーの位置付いちづけ

ポリシーは、本ほん法人ほうじんの情報じょうほうセキュリティ対策たいさくについて、総合そうごう的てき・体系たいけい的てきかつ具体ぐたい的てきにまとめたものであり、情報じょうほうセキュリティ対策たいさくの最高さいこう位いに位置いちするものである。

3．ポリシーの対象たいしょう範囲はんい

ポリシーの対象たいしょう範囲はんいは、本ほん法人ほうじんの情報じょうほう資産しさんおよび情報じょうほう資産しさんに接せっするすべての教職員きょうしょくいん(非常勤ひじょうきん教職員きょうしょくいんなどを含ふくむ)、学生がくせいならびに情報じょうほう資産しさんに関与かんよする業者ぎょうしゃとする。

4．ポリシーの目的もくてきと基本きほん方針ほうしん

(1)　目的もくてき

目的もくてきは、法人ほうじん内外ないがいの情報じょうほうセキュリティを損そこねる加害かがい行為こういを抑止よくしし、情報じょうほう資産しさんの安全あんぜん性せいを確保かくほすることである。

(2)　基本きほん方針ほうしん

1)本ほん法人ほうじんの情報じょうほう資産しさんへの利用りよう者しゃのアクセス権限けんげんと操作そうさの権限けんげんを明確めいかくにすること。

2)本ほん法人ほうじんの情報じょうほう資産しさんをウイルスや外部がいぶの侵入しんにゅうから守まもる防御ぼうぎょ体制たいせいを整ととのえること。

3)本ほん法人ほうじんの情報じょうほうセキュリティ体制たいせいが正常せいじょうに機能きのうしていることの確認かくにんと維持いじ管理かんりすること。

5．定義ていぎ

(1)　コンピュータ

ハードウェア、及およびソフトウェアで構成こうせいするコンピュータ、及および周辺しゅうへん機器ききならびに記録きろく媒体ばいたいをいう。

(2)　磁気じきディスク等とう

コンピュータに使用しようされる磁気じきディスク、テープ、光ひかりディスクその他たこれらに類るいする記憶きおく媒体ばいたいをいう。

(3)　情報じょうほう機器ききの設置せっち場所ばしょ

サーバ、学生がくせい情報じょうほう、成績せいせき情報じょうほう、入試にゅうし情報じょうほう、財務ざいむ情報じょうほうなどを扱あつかうコンピュータを設置せっちしている部屋へやをいう。

(4)　ネットワーク

コンピュータを相互そうごに接続せつぞくするための法人ほうじん内ない通信つうしん網もう及およびその構成こうせい機器きき(ハードウェア及およびソフトウェア)で構成こうせいされ、情報処理じょうほうしょりを行おこなう仕組しくみをいう。

(5)　情報じょうほうシステム

ネットワーク機器きき(ルータ、ファイアフォール、ハブ、ケーブルなど)、サーバ、パソコン、基本きほんソフトウェア、応用おうようソフトウェア、システム設定せってい情報じょうほう(パスワードファイル等とう)、記録きろく媒体ばいたい(USBメモリ、DVD等とう)、システム構成こうせい図ず、持もち込こまれたノートパソコンなどの総称そうしょうである。情報じょうほうシステムに記録きろくされる情報じょうほうとは、アクセス記録きろく(ログ)、文書ぶんしょ及および図面ずめん等とうの電磁でんじ的てき記録きろくを指さす。

(6)　情報じょうほう資産しさん

情報じょうほう及および情報じょうほうを管理かんりする仕組しくみ(情報じょうほうシステム並ならびにシステム開発かいはつ、運用うんよう及および保守ほしゅのための資料しりょう等とう)の総称そうしょうである。電磁でんじ的てきに記録きろくされた情報じょうほうすべてを含ふくむ。

第だい2章しょう　情報じょうほうセキュリティ対策たいさく基準きじゅん

1．趣旨しゅし

この基準きじゅんは、情報じょうほうセキュリティ基本きほん方針ほうしんに従したがい、本ほん法人ほうじんの情報じょうほう資産しさんを保護ほご・運用うんようするために遵守じゅんしゅすべき事項じこうを示しめしたものである。

2．管理かんり体制たいせい・組織そしき

1)最高さいこう情報じょうほうセキュリティ責任せきにん者しゃは、法人ほうじん全体ぜんたいの情報じょうほうセキュリティに関かんする総括そうかつ的てきな意思いし決定けっていと、法人ほうじん内ないの各かく組織そしきおよび法人ほうじん外がいに対たいする責任せきにんを負おう。理事りじ長ちょうがこの最高さいこう情報じょうほうセキュリティ責任せきにん者しゃとなり、ICT委員いいん長ちょうが補佐ほさする。

2)システム管理かんり責任せきにん者しゃは、法人ほうじん全体ぜんたいの情報じょうほうシステム管理かんりの実施じっしに関かんし、緊急きんきゅう時じの連絡れんらくなど、総括そうかつ的てきな対応たいおうに当あたり、最高さいこう情報じょうほうセキュリティ責任せきにん者しゃを補佐ほさする。ICT委員いいん長ちょうを除のぞくICT委員いいんがこのシステム管理かんり責任せきにん者しゃとなる。

3)情報じょうほう管理かんり責任せきにん者しゃについて以下いかのように定さだめる。

①情報じょうほうセキュリティの適正てきせいな運用うんよう及および管理かんりを行おこなうため、情報じょうほう資産しさんを取とり扱あつかう部署ぶしょ(これに準じゅんずるものを含ふくむ)に情報じょうほうセキュリティに関かんする権限けんげん及および責任せきにんを有ゆうする情報じょうほう管理かんり責任せきにん者しゃを置おき、学科がっかの代表だいひょう者しゃ、または情報じょうほう資産しさんを取とり扱あつかう部署ぶしょをもってこれに充あてる。

②情報じょうほう管理かんり責任せきにん者しゃは、必要ひつように応おうじて所轄しょかつする情報じょうほう資産しさんに係かかる情報じょうほうセキュリティ実施じっし手順てじゅんの作成さくせい・維持いじ・管理かんりを行おこなうとともに、定さだめられている事項じこうについて教職員きょうしょくいんに実施じっし及および遵守じゅんしゅさせなければならない。

③情報じょうほう管理かんり責任せきにん者しゃは、使用しようする情報じょうほう資産しさんの機器ききや記録きろく媒体ばいたいについて、第三者だいさんしゃに使用しようさせること、又または許可きょかなく情報じょうほうを閲覧えつらんさせることがないように、適切てきせつな処置しょちを施ほどこさなければならない。

4)情報じょうほう管理かんり者しゃは、情報じょうほう資産しさんを現場げんばで取とり扱あつかう担当たんとう者しゃである。

5)情報じょうほうセキュリティ委員いいん会かいについて以下いかのように定さだめる。

①情報じょうほうセキュリティ委員いいん会かいは、最高さいこう情報じょうほうセキュリティ責任せきにん者しゃ、システム管理かんり責任せきにん者しゃ、情報じょうほう管理かんり責任せきにん者しゃで構成こうせいする。

②ポリシーの策定さくてい、改訂かいていを行おこなう。

③その他た、情報じょうほうセキュリティに関かんする重要じゅうよう事項じこうの決定けっていを行おこなう。

3．情報じょうほう資産しさんの分類ぶんるい

教職員きょうしょくいんは、情報じょうほう資産しさんをその重要じゅうよう度どに応おうじて分類ぶんるいし、それに応おうじたセキュリティ対策たいさくを行おこなう。

(1)　重要じゅうよう性せい分類ぶんるいⅠ

1)鳥取とっとり看護かんご大学だいがく・鳥取とっとり短期大学たんきだいがくの受験じゅけん志願しがん者しゃ及および学生がくせい個人こじんの成績せいせき情報じょうほう、認定にんていこども園えん鳥取とっとり短期大学たんきだいがく附属ふぞく幼稚園ようちえん・鳥取とっとり短期大学たんきだいがく附属ふぞく保育園ほいくえん園児えんじの個人こじん情報じょうほうなど

2)漏洩ろうえいした場合ばあい、本ほん法人ほうじんに対たいする信頼しんらいを著いちじるしく害がいするおそれのある情報じょうほう

3)滅失めっしつし、または棄損きそんした場合ばあい、その復元ふくげんが著いちじるしく困難こんなんとなり、法人ほうじん運営うんえいの円滑えんかつな執行しっこうを妨さまたげる恐おそれのある情報じょうほう

4)情報じょうほうシステムに関かかわるパスワード及およびシステム設定せってい情報じょうほう

(2)　重要じゅうよう性せい分類ぶんるいⅡ

1)脅威きょういにさらされた場合ばあいに実害じつがいを受うける危険きけん性せいは低ひくいが、大学だいがく教育きょういく及および、大学だいがく事務じむの執行しっこうにおいて重要じゅうよう性せいは高たかいと評価ひょうかされる情報じょうほう

2)公開こうかいされると教育きょういく、法人ほうじん業務ぎょうむの円滑えんかつな執行しっこうに著いちじるしい障害しょうがいを生しょうずる恐おそれのある情報じょうほう

3)　重要じゅうよう性せい分類ぶんるいⅢ

上記じょうき以外いがいの情報じょうほう

4．情報じょうほうの管理かんり

情報じょうほうの管理かんり方法ほうほうは以下いかのように定さだめる。

(1)　情報じょうほうの管理かんり及および取とり扱あつかい

1)情報じょうほうの重要じゅうよう性せい分類ぶんるいに従したがい、パスワード等とうによるアクセス制限せいげん及および、必要ひつように応おうじては暗号あんごう等とうによる通信つうしん内容ないようの秘匿ひとくを行おこなわなければならない

2)重要じゅうよう性せい分類ぶんるいⅠの情報じょうほうの不用意ふよういな複製ふくせいや、送付そうふ・送信そうしんは行おこなってはならない

3)教職員きょうしょくいんは、業務ぎょうむ上じょう必要ひつような場合ばあいには、情報じょうほう管理かんり責任せきにん者しゃの許可きょかを得えた上うえで情報じょうほうの複製ふくせい・送付そうふ・送信そうしんを行おこなわなければならない

(2)　記録きろく媒体ばいたいの管理かんり

1)重要じゅうよう性せい分類ぶんるいⅠ・Ⅱの情報じょうほうを記録きろくした取とり外はずし可能かのうな記録きろく媒体ばいたいは、外部がいぶからの脅威きょういにさらされないよう施錠せじょうができるなど特とくに安全あんぜんな場所ばしょに保管ほかんしなければならない

(3)　記録きろく媒体ばいたいの処分しょぶん

1)記録きろく媒体ばいたいが磨耗まもう等とうにより不要ふようとなった場合ばあいは、当該とうがい媒体ばいたいに記録きろくされている情報じょうほう性せい分類ぶんるいⅠ・Ⅱの情報じょうほうをいかなる方法ほうほうによっても復元ふくげんできないように消去しょうきょ等とうを行おこなった上うえで廃棄はいきしなければならない

5．セキュリティ対策たいさく

情報じょうほうセキュリティ対策たいさくは、物理ぶつり的てき対策たいさく、人的じんてき対策たいさく、技術ぎじゅつ的てき対策たいさくの3つの観点かんてんから実施じっしする。

(1)　物理ぶつり的てきセキュリティ

1)情報じょうほう管理かんり者しゃは、重要じゅうよう性せい分類ぶんるいⅠ・Ⅱの情報じょうほうの記録きろくされている媒体ばいたい保管ほかん場所ばしょ及およびそれを取とり扱あつかう情報じょうほう機器ききの設置せっち場所ばしょへの入にゅう退室たいしつ管理かんりについて必要ひつような措置そちを講こうじなければならない。

2)教職員きょうしょくいんの情報じょうほうシステムの機器きき管理かんりについて、教職員きょうしょくいんは研究けんきゅう室しつ、事務じむ室しつが不在ふざいとなる場合ばあいには、施錠せじょうをするなど部外ぶがい者しゃの侵入しんにゅうを防ふせぐ措置そちを講こうじなければならない。

3)機器きき等とうの搬入はんにゅう・搬出はんしゅつについては次つぎのように定さだめる。

①コンピュータ室しつ等とうへ機器きき等とうを搬入はんにゅう・搬出はんしゅつする場合ばあいは、あらかじめ当該とうがい機器きき等とうの既存きそん情報じょうほうシステムに対たいする安全あんぜん性せいについて、教職員きょうしょくいんによる確認かくにんを行おこなわなければならない。

②機器きき等とうの搬入はんにゅう・搬出はんしゅつには、教職員きょうしょくいんが立たち会あう等とうの必要ひつような措置そちを講こうじなければならない。

4)停電ていでん及および電圧でんあつ異常いじょうなどによりデータ等とうが破壊はかいされ、業務ぎょうむ処理しょりに支障ししょうを来きたす恐おそれのある情報じょうほうシステム等とうの機器ききの電源でんげんは、当該とうがい機器ききを適切てきせつに停止ていしするまでの間あいだに必要ひつような電力でんりょくを供給きょうきゅうする容量ようりょうの予備よび電源でんげんを備そなえ付つける等とうの措置そちを講こうじなければならない。

5)配線はいせんは、傍受ぼうじゅ又または損傷そんしょう等とうを受うけることがないよう可能かのうな限かぎり必要ひつような措置そちをほどこさなければならない。

(2)　人的じんてきセキュリティ

1)利用りよう者しゃ

①教職員きょうしょくいんは、ポリシーを遵守じゅんしゅしなければならない。学生がくせいも情報じょうほうシステム利用りよう者しゃの一員いちいんとして、情報じょうほうセキュリティを維持いじする義務ぎむを有ゆうする。

②教職員きょうしょくいんは、情報じょうほうセキュリティ実施じっし手順てじゅんを遵守じゅんしゅして、利用りようしなければならない。さらに、システム管理かんり責任せきにん者しゃからセキュリティ維持いじ管理かんりのために協力きょうりょくを依頼いらいされた場合ばあいには従したがわねばならない。

③教職員きょうしょくいんは、情報じょうほうセキュリティ実施じっし手順てじゅんについて不明ふめいな点てん、遵守じゅんしゅすることが困難こんなんな点てんがある場合ばあいには、速すみやかに情報じょうほう管理かんり責任せきにん者しゃに相談そうだんし、指示しじを仰あおがなければならない。

2)教育きょういく研究けんきゅう上じょうの利便りべん性せいの配慮はいりょ

①情報じょうほうセキュリティ対策たいさくについて教育きょういく研究けんきゅう上じょうの利便りべん性せいを著いちじるしく損そこなう点てん、遵守じゅんしゅすることが現実げんじつ的てきに困難こんなんな点てんについては、最高さいこう情報じょうほうセキュリティ責任せきにん者しゃまたはシステム管理かんり責任せきにん者しゃに対たいして、ポリシーおよび実施じっし手順てじゅんの改善かいぜんを求もとめることができる。

②教職員きょうしょくいんおよび学生がくせいは、システム管理かんり責任せきにん者しゃの許可きょかを得えずに情報じょうほう端末たんまつ等とうを研究けんきゅう室しつに持もち出だしてはならない。ただし、モバイル端末たんまつは、教育きょういく研究けんきゅう上じょうの利便りべん性せいを考慮こうりょし、その利用りよう者しゃの管理かんり責任せきにんにおいて、これを持もち出だせるよう配慮はいりょする。

③教職員きょうしょくいんおよび学生がくせい以外いがいの者もの(来らい学者がくしゃ)に学内がくないの情報じょうほうシステム(公共こうきょう情報じょうほう端末たんまつや情報じょうほうコンセントを含ふくむ)を一時いちじ的てきに使用しようさせる場合ばあいにおいては、その利用りよう者しゃが守まもるべきポリシーを定さだめ、これを遵守じゅんしゅさせるよう適切てきせつな措置そちを施ほどこさなければならない。

3)教育きょういく・研修けんしゅう

①情報じょうほうセキュリティ委員いいん会かいは、情報じょうほう管理かんり責任せきにん者しゃ向むけの研修けんしゅうを開催かいさいしなければならない。

②情報じょうほうセキュリティ委員いいん会かいは、情報じょうほう管理かんり責任せきにん者しゃが、情報じょうほう管理かんり者しゃに行おこなう研修けんしゅうプログラムの実施じっしに必要ひつような措置そちを施ほどこさなければならない。

③情報じょうほうセキュリティ委員いいん会かいは、システム管理かんり責任せきにん者しゃ等とうが行おこなう教職員きょうしょくいん向むけのポリシーに関かんする研修けんしゅうの支援しえんをしなければならない。また、教職員きょうしょくいんが行おこなう学生がくせい向むけのポリシーに関かんするオリエンテーションまたは講義こうぎに協力きょうりょくしなければならない。

④すべての教職員きょうしょくいんおよび学生がくせいは、研修けんしゅう会かいや説明せつめい会かい、または講義こうぎ等とうを通つうじ、ポリシーおよび実施じっし手順てじゅんを理解りかいし、情報じょうほうセキュリティ上じょうの問題もんだいが生しょうじないように努つとめなければならない。

4)事故じこ・障害しょうがいの報告ほうこく

①教職員きょうしょくいんおよび学生がくせいは、情報じょうほうセキュリティに関かんする事故じこ、情報じょうほうシステムの不審ふしんな動作どうさ、公開こうかい情報じょうほうの改かいざん、システム上じょうの障害しょうがいおよび誤動作ごどうさを発見はっけんした場合ばあいには、システム管理かんり責任せきにん者しゃ、または情報じょうほう管理かんり責任せきにん者しゃに直ただちに報告ほうこくしなければならない。

②情報じょうほう管理かんり者しゃおよび情報じょうほう管理かんり責任せきにん者しゃは、報告ほうこくのあった事故じこ等とうについて全すべてシステム管理かんり責任せきにん者しゃに通知つうちするとともに、必要ひつような措置そちを直ただちに講こうじなければならない。必要ひつようならば、システム管理かんり責任せきにん者しゃに措置そちに関かんして指示しじまたは支援しえんを要請ようせいしなければならない。

③システム管理かんり責任せきにん者しゃは、発生はっせいした全すべての情報じょうほうセキュリティ上じょうの事故じこ等とうに関かんする記録きろくを一定いってい期間きかん保存ほぞんし、最高さいこう情報じょうほうセキュリティ責任せきにん者しゃに報告ほうこくするとともに、重大じゅうだいな事故じこに対たいしては、迅速じんそくな再発さいはつ防止ぼうしのための対策たいさくを講こうじなければならない。

④法人ほうじん内ないからの不正ふせいアクセスによって学外がくがいに被害ひがいを及およぼし、その事実じじつ関係かんけいの説明せつめいを被害ひがい者しゃまたは第三者だいさんしゃから求もとめられた場合ばあいの対応たいおう手順てじゅんを、規定きていとして定さだめなければならない。

5)パスワード等とうの管理かんり

①教職員きょうしょくいんおよび学生がくせいは、自己じこの保有ほゆうするパスワードについて、不用意ふよういにもらしたりメモを作つくったりしないようにするなど、パスワードの秘密ひみつ保持ほじに努つとめなければならない。

②他たの利用りよう者しゃのアカウントを使用しようしてはならない。

(3)　技術ぎじゅつ的てきセキュリティ

Ⅰ．情報じょうほうシステムの管理かんり

1)情報じょうほうシステム管理かんり記録きろくの作成さくせいと管理かんり

①情報じょうほう管理かんり責任せきにん者しゃは、担当たんとうする情報じょうほうシステムにおいて行いったシステムの変更へんこう作業さぎょうを記録きろくし、適切てきせつに管理かんりしなければならない。

2)情報じょうほうシステム仕様しよう書しょの管理かんり

①情報じょうほう管理かんり責任せきにん者しゃは、担当たんとうする情報じょうほうシステムの仕様しよう書しょを最新さいしんの状態じょうたいにしなければならない。また、システムの仕様しよう変更へんこう等とうの処理しょり行おこなった場合ばあいは、その記録きろくを作成さくせいしなければならない。

②情報じょうほう管理かんり責任せきにん者しゃは、情報じょうほうシステムの仕様しよう書しょを業務ぎょうむ上じょう必要ひつようとする者もののみが閲覧えつらんできる場所ばしょに保管ほかんしなければならない。

3)アクセス記録きろくの取得しゅとく

①情報じょうほう管理かんり責任せきにん者しゃは、アクセス記録きろくおよびセキュリティ関連かんれん障害しょうがいに関かんする記録きろくを取得しゅとくし、一定いっていの期間きかん保存ほぞんしなければならない。

②情報じょうほう管理かんり責任せきにん者しゃは、アクセス記録きろくが窃取せっしゅ、改かいざんまたは消去しょうきょされないように必要ひつような措置そちを講こうじなければならない。

③情報じょうほう管理かんり責任せきにん者しゃは、可能かのうな範囲はんいでアクセス記録きろくを分析ぶんせきしなければならない。

4)障害しょうがい記録きろくの作成さくせい情報じょうほう管理かんり責任せきにん者しゃは、可能かのうな範囲はんいで障害しょうがい記録きろくを作成さくせいし、一定いっていの期間きかん保存ほぞんしなければならない。

5)バックアップの取得しゅとく

情報じょうほう管理かんり者しゃは、重要じゅうよう性せい分類ぶんるいⅠ・Ⅱの情報じょうほうについては、外部がいぶ媒体ばいたいへのバックアップを取とり、施錠せじょう等とうのできる安全あんぜんな場所ばしょへ保管ほかんしなければならない。

6)ソフトウェア導入どうにゅうに関かんする注意ちゅうい

教職員きょうしょくいんおよび学生がくせいは、本学ほんがくの貸与たいよしたパソコンに業務ぎょうむ上じょう不ふ必要ひつようなソフトウェアおよび出所しゅっしょ不明ふめいなソフトウェア等とう安全あんぜん性せいが確認かくにんされないソフトウェアをインストールしてはなら

7)メールの送受信そうじゅしん等とう

①教職員きょうしょくいんおよび学生がくせいは、メールの自動じどう転送てんそう機能きのうを用もちいて、業務ぎょうむ上じょう不ふ必要ひつような者ものへ職場しょくばのメールを転送てんそうしてはならない。

②教職員きょうしょくいんおよび学生がくせいは、チェーンメールや不審ふしんなメールを他者たしゃに転送てんそうしてはならない。

③教職員きょうしょくいんおよび学生がくせいは差出人さしだしにんが不明ふめいな、又または不自然ふしぜんなファイルが添付てんぷされたメールを受信じゅしんした場合ばあいは、直ただちに廃棄はいきしなければならない。

8)暗号あんごう化か

①暗号あんごう化かについては、最高さいこう情報じょうほうセキュリティ責任せきにん者しゃが定さだめる方法ほうほうを用もちいなければならない。

②暗号あんごう化かのための鍵かぎは、重要じゅうよう性せい分類ぶんるいⅠの情報じょうほうとして厳重げんじゅうに管理かんりしなければならない。

9)情報じょうほうシステムの入出力にゅうしゅつりょくデータ

①情報じょうほう管理かんり責任せきにん者しゃは、情報じょうほうシステムに入力にゅうりょくされるデータの適切てきせつなチェック等とうを行おこない、それが正確せいかくであることを確実かくじつにするための対策たいさくを施ほどこせこさなければならない。

②情報じょうほう管理かんり責任せきにん者しゃは、情報じょうほうシステムから出力しゅつりょくされるデータの処理しょりが正まさしく行おこなわれていることを確認かくにんしなければならない。

10)業務ぎょうむ目的もくてき以外いがいの使用しようの禁止きんし

教職員きょうしょくいんは業務ぎょうむ目的もくてき以外いがいでの情報じょうほうシステムへのアクセス及およびメールの使用しようを行おこなってはならない。

Ⅱ．情報じょうほうシステムアクセス制御せいぎょ

(1)　利用りよう者しゃ登録とうろく

1)システム管理かんり責任せきにん者しゃは、情報じょうほうシステムの利用りよう者しゃの登録とうろく、変更へんこう、抹消まっしょう等とうについては、各かく情報じょうほうシステムに定さだめられた方法ほうほうに従したがわなければならない。

2)利用りよう者しゃ登録とうろく、変更へんこう等とうは、システム管理かんり責任せきにん者しゃに対たいする申請しんせいにより行おこなわなければならない。

(2)　外部がいぶからのアクセス

外部がいぶからのアクセスの許可きょかは必要ひつよう最低限さいていげんにしなければならない。

(3)　外部がいぶネットワークとの接続せつぞく

1)外部がいぶネットワークとの接続せつぞくに際さいしては、当該とうがい外部がいぶネットワークのネットワーク構成こうせい、機器きき構成こうせい及および情報じょうほうセキュリティレベル等とうを詳細しょうさいに検討けんとうし、本ほん法人ほうじんの情報じょうほう資産しさんに影響えいきょうが生しょうじないことを明確めいかくに確認かくにんした上うえで、システム管理かんり責任せきにん者しゃの許可きょかに基もとづき接続せつぞくしなければならない。

2)システム管理かんり責任せきにん者しゃは、外部がいぶネットワークとの接続せつぞくを行おこなうことで内部ないぶネットワークの安全あんぜん性せいが脅おびやかされることのないようにセキュリティ対策たいさくに努つとめなければならない。

3)接続せつぞくした外部がいぶネットワークの情報じょうほうセキュリティに問題もんだいが認みとめられた場合ばあいには、情報じょうほう管理かんり者しゃは、速すみやかに当該とうがい外部がいぶネットワークを物理ぶつり的てきに遮断しゃだんしなければならない。

4)内部ないぶネットワークの情報じょうほうセキュリティに問題もんだいが認みとめられた場合ばあいには情報じょうほう管理かんり者しゃは速すみやかに当該とうがい内部ないぶネットワークを外部がいぶネットワークから遮断しゃだんしなければならない。

(4)　パスワード等とうの管理かんり

1)情報じょうほう管理かんり者しゃは、情報じょうほう機器ききのID、パスワードを厳重げんじゅうに管理かんりしなければならない。

2)システム管理かんり責任せきにん者しゃは、ネットワーク並ならびにネットワーク上じょうで利用りようされる各種かくしゅサービスのID、パスワードを適切てきせつに管理かんりしなければならない。

6．コンピュータウイルス対策たいさく

コンピュータウィルス対策たいさくについては、次つぎのように定さだめる。

(1)　システム管理かんり責任せきにん者しゃは、次つぎの事項じこうを実施じっししなければならない。

1)情報じょうほうシステムのサーバ及および必要ひつような機器ききにウイルス対策たいさくを行おこなうこと。

2)ウイルスチェック用ようのパターンファイルは常つねに最新さいしんのものに保たもつこと。

3)定期ていき的てきに新種しんしゅのウイルスに関かんする情報じょうほう収集しゅうしゅうや情報じょうほうシステム内部ないぶの感染かんせん状じょう況きょう等とうについて情報じょうほう収集しゅうしゅうをすること。

4)コンピュータウイルス情報じょうほうについて、教職員きょうしょくいんに対たいする注意ちゅうい喚起かんきを行おこなうこと。

5)コンピュータウイルスについて、教職きょうしょく員いんに対たいして必要ひつような啓発けいはつ活動かつどうを行おこなうこと。

(2)　教職員きょうしょくいんおよび学生がくせいは、次つぎの事項じこうを遵守じゅんしゅしなければならない。

1)外部がいぶからデータ又またはソフトウェアを取とり入いれる場合ばあい、及および外部がいぶに持もち出だす場合ばあいには必かならずウイルスチェックを行おこなうこと。

2)ウイルスチェックの実行じっこうを途中とちゅうで止とめないこと。

3)添付てんぷファイルのあるメールを送受信そうじゅしんする場合ばあいは、ウイルスチェックを行おこなうこと。

4)システム管理かんり責任せきにん者しゃが提供ていきょうするコンピュータウイルス情報じょうほうを常つねに確認かくにんすること。

7．不正ふせいアクセス対策たいさく

(1)　システム管理かんり責任せきにん者しゃは、セキュリティホール等とうの情報じょうほう収集しゅうしゅうに努つとめ、メーカー等とうから修正しゅうせいプログラムの提供ていきょうがあり次第しだい、速すみやかに対応たいおうするとともに、その修正しゅうせい履歴りれきを記録きろく・保存ほぞんしなければならない。

(2)　システム管理かんり責任せきにん者しゃは、情報じょうほうシステムに不正ふせいな侵入しんにゅうや利用りようがあった場合ばあいに探知たんち等とうできるよう、適切てきせつな対策たいさくに努つとめなければならない。

(3)　システム管理かんり責任せきにん者しゃは、情報じょうほうシステムに攻撃こうげきを受うけていることが明あきらかな場合ばあいには、システムの停止ていしを含ふくめ必要ひつような措置そちを講こうじなければならない。

8．情報じょうほうシステムの監視かんし

システム管理かんり責任せきにん者しゃは、情報じょうほうシステムの運用うんようにあたっては、常つねに情報じょうほうシステムを監視かんしするとともに情報じょうほうセキュリティ障害しょうがいに対たいして注意ちゅういを払はらわなければならない。

9．ポリシーの遵守じゅんしゅ状じょう況きょうの確認かくにん

システム管理かんり責任せきにん者しゃ及および情報じょうほう管理かんり者しゃは、ポリシーの遵守じゅんしゅ状じょう況きょうについて、また、運用うんよう上じょう支障ししょうが生しょうじてないかについて確認かくにんを行おこなわなければならない。

10．セキュリティ障害しょうがい時じの対応たいおう

セキュリティ障害しょうがいが生しょうじた場合ばあいには、システム管理かんり責任せきにん者しゃ及および情報じょうほう管理かんり者しゃは速すみやかに対たいするとともに、以下いかの再発さいはつ防止ぼうしの措置そちを講こうじなければならない。

(1)　被害ひがい拡大かくだいの防止ぼうし措置そち

1)システム管理かんり責任せきにん者しゃは、故意こいの不正ふせいアクセス又または不正ふせい操作そうさにより情報じょうほうシステムに障害しょうがいを及およぼすことが明あきらかな場合ばあいには、情報じょうほうシステムの停止ていしを含ふくむ必要ひつような措置そちを講こうじなければならない。

2)情報じょうほう管理かんり者しゃは、情報じょうほうシステムに障害しょうがいを受うけ、その障害しょうがいの原因げんいんとなる行為こういが不正ふせいアクセス禁止きんし法ほう違反いはん等とうの可能かのう性せいがある場合ばあいには、行為こういの記録きろくの保存ほぞんに努つとめなければならない。

(2)　障害しょうがいの調査ちょうさ

1)情報じょうほう管理かんり者しゃは、セキュリティ障害しょうがいが発生はっせいした場合ばあい、障害しょうがいの発生はっせいを速すみやかにシステム管理かんり責任せきにん者しゃへ報告ほうこくするとともに、次つぎの項目こうもくについて調査ちょうさをしなければならない。

①障害しょうがいの内容ないよう

②障害しょうがいが発生はっせいした原因げんいん

③確認かくにんした被害ひがい、影響えいきょう範囲はんい

2)調査ちょうさした内容ないようは速すみやかにシステム管理かんり責任せきにん者しゃに報告ほうこくしなければならない。ただし、障害しょうがいが軽度けいどのものについては報告ほうこくを要ようしないものとする。障害しょうがいについて調査ちょうさ、処理しょりできない場合ばあい、システム管理かんり責任せきにん者しゃに対応たいおうを求もとめることとする。

(3)　障害しょうがいへの対応たいおう

1)情報じょうほう管理かんり者しゃは、システム管理かんり責任せきにん者しゃの指示しじの下したに速すみやかにセキュリティ障害しょうがいを復旧ふっきゅうし、その措置そちについてシステム管理かんり責任せきにん者しゃに報告ほうこくしなければならない。

2)障害しょうがいが外部がいぶに重大じゅうだいな影響えいきょうを及およぼすおそれがある場合ばあいには、システム管理かんり責任せきにん者しゃはすみやかに、最高さいこう情報じょうほうセキュリティ管理かんり者しゃに報告ほうこくのうえ必要ひつような指示しじを仰あおがなければならない。

(4)　再発さいはつ防止ぼうしの措置そち

全学ぜんがくシステム管理かんり責任せきにん者しゃは、必要ひつような再発さいはつ防止ぼうしの措置そちを講こうじるとともに、その結果けっかを最高さいこう情報じょうほうセキュリティ責任せきにん者しゃに報告ほうこくしなければならない。

11．点検てんけん・見直みなおし・改善かいぜん

点検てんけん・見直みなおし・改善かいぜんについては以下いかのように行おこなう。

(1)　システム管理かんり責任せきにん者しゃ及および情報じょうほう管理かんり責任せきにん者しゃは、当該とうがい部署ぶしょの情報じょうほうセキュリティが確保かくほされていることを確認かくにんするため、自主じしゅ点検てんけんを行おこない、必要ひつように応おうじて改善かいぜん措置そちを講こうじるものとする。

(2)　最高さいこう情報じょうほうセキュリティ責任せきにん者しゃは、点検てんけん・見直みなおし・改善かいぜんが必要ひつようとなる事象じしょうが発生はっせいした場合ばあいには、情報じょうほうセキュリティ委員いいん会かいに諮はかり必要ひつような見直みなおしを行おこない、適切てきせつなポリシーの維持いじおよび運用うんように努つとめるものとする。

附ふ則のり