1.目的
2.組織
(1)最高情報セキュリティ責任者
理事長は、法人の情報セキュリティに関する総括的な意思決定及び学内外に対する責任を負う。
(2)情報セキュリティ委員会
情報セキュリティ委員会を法人本部および各大学に置き、法人のセキュリティポリシーに基づき情報セキュリティに関する運用を行う。
(3)情報セキュリティ担当部局
情報セキュリティに関する情報収集と提供、および情報セキュリティに関する教育と研修を行う。
(4)法人の構成員
情報セキュリティ担当部局と協力し、担当する情報資産の情報セキュリティの維持・強化に必要とされる物理的、人的、技術的な対策を実施する。
3.情報資産の分類
情報資産は、その内容に応じて、公開・非公開等に分類し、その重要性に応じた情報セキュリティ対策を講じなければならない。
なお、重要性は次に掲げる機密性、完全性、可用性の3つの面から検討し、Ⅰ~Ⅳの4段階に分類する。
(重要性の3つの側面)
(1)機密性 情報資産の機密に基づく重要性
(2)完全性 情報資産の完全性・正確性に関する重要性
(3)可用性 情報資産の利用可能性・継続性に関する重要性
(格付の区分、分類の基準)
(1) 機密性についての格付の定義
格付の区分 | 分類の基準 |
機密性3情報 | 法人で取り扱う情報のうち、秘密文書に相当する機密性を要する情報 |
機密性2情報 | 法人で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、法人の権利が侵害され又は法人業務の遂行に支障を及ぼすおそれがある情報 |
機密性1情報 | 公表済みの情報、公表しても差し支えない情報等、機密性2情報又は機密性3情報以外の情報 |
なお、機密性2情報及び機密性3情報を「要機密情報」という。
(2) 完全性についての格付の定義
格付の区分 | 分類の基準 |
完全性2情報 | 法人で取り扱う情報(書面を除く。)のうち、改ざん、誤びゅう又は破損により、法人の権利が侵害され又は法人業務の適切な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報 |
完全性1情報 | 完全性2情報以外の情報(書面を除く。) |
なお、完全性2情報を「要保全情報」という。
(3) 可用性についての格付の定義
格付の区分 | 分類の基準 |
可用性2情報 | 法人で取り扱う情報(書面を除く。)のうち、その滅失、紛失又は当該情報が利用不可能であることにより、法人の権利が侵害され又は法人業務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報 |
可用性1情報 | 可用性2情報以外の情報(書面を除く。) |
なお、可用性2情報を「要安定情報」という。
また、要機密情報、要保全情報及び要安定情報を「要保護情報」という。
4.物理的セキュリティ対策
サーバ機器や情報機器、記録媒体等の設置、保管場所については、安全性を保ち、不正な立ち入りを阻止する対策を立てるほか、デスク上のパソコン等の情報資産を保護する以下のような対策にも十分配慮しなければならない。
(1)サーバ機器、情報機器、記録媒体等の設置、保管等
その重要性に応じて定められた管理区域に設置、保管等し、重要性に応じた施錠などの対策によりセキュリティ確保に努めなければならない。
(2)データの多重化
サーバ機器、情報機器、記録媒体等に記録されるデータは、その可用性、完全性の重要度に応じて定期的にバックアップなどにより、多重化に努めなければならない。
(3)盗難予防
サーバ機器や、情報機器、記録媒体の盗難予防に努めなければならない。
(4)情報機器及び記録媒体の学外への持ち出し
情報機器及び記録媒体は、原則として学外へ持ち出してはならない。
やむを得ず、持ち出す場合は、情報の漏洩が発生しないように情報セキュリティ対策を講じなければならない。
(5)情報機器及び記録媒体の学内への持ち込み
情報機器及び記録媒体を学内に持ち込む場合は、ウイルスチェックなどの情報セキュリティ対策を行わなければならない。
(6)情報機器及び記録媒体の破棄
情報機器及び記録媒体を破棄する場合は、残存情報が第3者に読み取られることのないような対策を講じなければならない。
5.人的セキュリティ対策
(1)教育・研修の実施
情報セキュリティ担当部局は、全構成員に対し情報セキュリティに関する教育、研修を行い、全構成員に対してポリシーの周知を行わなければならない。
(2)研修等の受講
法人の全構成員は、研修会や説明会または講義等を通じてポリシー及び実施手順を理解し、情報セキュリティ上の問題が生じないように努めなければならない。
6.技術的セキュリティ対策
(1)不正アクセスへの対応
情報セキュリティ担当部局は、不正アクセスの防止及び検出するための適切な手段を講じなければならない。不正アクセスが検出された場合は、関連する通信の遮断又は該当する情報機器の切り離しを実施する。
(2)アクセス制限
情報セキュリティ担当部局は、情報の内容に応じて、アクセス可能な利用者を定め、不正なアクセスを阻止するために必要なアクセス制限を行わなければならない。
(3)ネットワーク接続機器
法人のネットワークに接続する情報機器は、ウイルス対策ソフトを導入し、OSのセキュリティアップデートを行うなど、セキュリティ対策を講じたものでなければならない。
(4)パスワード
自己のパスワードは秘密としなければならない。また、十分なセキュリティを維持できるよう、自己のパスワードの設定及び変更に配慮しなければならない。
7.実施手順
重要性の分類に応じた具体的な物理的、人的、技術的な対策を示す実施手順は、情報セキュリティ委員会が別途定める。
附 則
この基準は、平成23年4月1日から施行する。
附 則
この基準は、平成27年4月1日から施行する。
附 則
この基準は、平成28年11月1日から施行する。