1.目的
2.組織
(1)最高情報セキュリティ責任者
理事長は、法人の情報セキュリティに関する総括的な意思決定及び学内外に対する責任を負う。
(2)部門情報セキュリティ委員会
部門情報セキュリティ委員会を法人本部および各大学に置き、法人のセキュリティポリシーに基づき情報セキュリティに関する運用を行う。
(3)情報セキュリティ担当部局
情報セキュリティに関する情報収集と提供、および情報セキュリティに関する教育と研修を行う。
(4)法人の構成員
情報セキュリティ担当部局と協力し、担当する情報資産の情報セキュリティの維持・強化に必要とされる物理的、人的、技術的な対策を実施する。
3.物理的セキュリティ対策
サーバ機器や情報機器、記録媒体等の設置、保管場所については、安全性を保ち、不正な立ち入りを阻止する対策を立てるほか、デスク上のパソコン等の情報資産を保護する以下のような対策にも十分配慮しなければならない。
(1)サーバ機器、情報機器、記録媒体等の設置、保管等
その重要性に応じて定められた管理区域に設置、保管等し、重要性に応じた施錠などの対策によりセキュリティ確保に努めなければならない。
(2)データの多重化
サーバ機器、情報機器、記録媒体等に記録されるデータは、その可用性、完全性の重要度に応じて定期的にバックアップなどにより、多重化に努めなければならない。
(3)盗難予防
サーバ機器や、情報機器、記録媒体の盗難予防に努めなければならない。
(4)情報機器及び記録媒体の学外への持ち出し
情報機器及び記録媒体は、原則として学外へ持ち出してはならない。
やむを得ず、持ち出す場合は、情報の漏洩が発生しないように情報セキュリティ対策を講じなければならない。
(5)情報機器及び記録媒体の学内への持ち込み
情報機器及び記録媒体を学内に持ち込む場合は、ウイルスチェックなどの情報セキュリティ対策を行わなければならない。
(6)情報機器及び記録媒体の破棄
情報機器及び記録媒体を破棄する場合は、残存情報が第3者に読み取られることのないような対策を講じなければならない。
4.人的セキュリティ対策
(1)教育・研修の実施
情報セキュリティ担当部局は、全構成員に対し情報セキュリティに関する教育、研修を行い、全構成員に対してポリシーの周知を行わなければならない。
(2)研修等の受講
法人の全構成員は、研修会や説明会または講義等を通じてポリシー及び実施手順を理解し、情報セキュリティ上の問題が生じないように努めなければならない。
5.技術的セキュリティ対策
(1)不正アクセスへの対応
情報セキュリティ担当部局は、不正アクセスの防止及び検出するための適切な手段を講じなければならない。不正アクセスが検出された場合は、関連する通信の遮断又は該当する情報機器の切り離しを実施する。
(2)アクセス制限
情報セキュリティ担当部局は、情報の内容に応じて、アクセス可能な利用者を定め、不正なアクセスを阻止するために必要なアクセス制限を行わなければならない。
(3)ネットワーク接続機器
法人のネットワークに接続する情報機器は、ウイルス対策ソフトを導入し、OSのセキュリティアップデートを行うなど、セキュリティ対策を講じたものでなければならない。
(4)パスワード
自己のパスワードは秘密としなければならない。また、十分なセキュリティを維持できるよう、自己のパスワードの設定及び変更に配慮しなければならない。
6.実施手順
具体的な物理的、人的、技術的な対策を示す実施手順は、別途定める。
附 則
この基準は、平成23年4月1日から施行する。
附 則
この基準は、平成27年4月1日から施行する。
附 則
この基準は、平成28年11月1日から施行する。
附 則
この基準は、令和6年4月1日から施行する。