工学院大学

I．基本方針

1．目的と背景

学校法人工学院大学(以下、「学園」という。)の目的である教育および研究を行うためには、情報を有効活用することが重要である。高度情報社会の中で情報を有効活用し、学園の目的を安全に遂行するためには、学園の情報資産に対し安全性を確保することが不可欠である。情報資産の安全性が確保されなければ、学園の教育・研究活動の停滞、学園に対する信頼の喪失などの被害が想定される。

したがって、学園の学生・生徒、教職員などすべての構成員が、情報資産の価値を認識することが肝要であり、自身の情報を守るだけでなく、他者の資産も侵してはならないものとして行動すべきである。

2．方針

学園の全構成員が、個々の活動の中で情報資産を不正アクセス・誤使用などから守るため、また、情報セキュリティ事故を未然に防ぎ、発生した事故の損害を最小に抑えるための対策の指針として、情報セキュリティポリシー（以下、「本ポリシー」という。）を制定する。
本ポリシーの目指すところは以下の(a)〜(c)である。

• (a)学園の情報セキュリティに対する侵害を阻止すること
• (b)学内外の情報セキュリティを損ねる加害行為を抑止すること
• (c)情報資産に関して責任の所在を明確にし、リスク分析を行い重要度に見合った管理を行うこと

これら本ポリシーについては定期的な評価と更新を怠らないこととする。

3．対象範囲

（情報資産）
学園におけるすべての情報及びそれに関わる情報システムはすべて情報資産であり、学園の情報資産は本ポリシーの対象範囲とする。

（対象者）
本ポリシーの対象者は、学園業務に関わる構成員（専任教職員、非常勤教職員、パートタイマーなど）とする。
大学院生、大学生、生徒、研究生、聴講生などの学園が提供する情報サービスを受ける者の取扱については、別途定めるガイドラインに従う。委託業者が利用する学園情報資産の取扱については契約書等で定める。

II．対策基準

1．組織・体制

（情報セキュリティ責任者）
学園情報資産に責任を持つ者として、情報セキュリティ責任者（情報担当常務理事が担当する）を置く。

（情報セキュリティ委員会）
学園に情報セキュリティ責任者を長とする情報セキュリティ委員会を設置する。情報セキュリティ委員会は、情報セキュリティに関する事項を審議し、必要な事項に対処する。

（情報管理責任者）
学部等および事務部門ごとに情報管理責任者を置く。情報管理責任者は以下の通り定める。

• 工学部
  機械工学科主任教授
  機械システム工学科主任教授
  応用化学科主任教授
  環境エネルギー化学科主任教授
  電気システム工学科主任教授
  情報通信工学科主任教授
• 建築学部
  まちづくり学科主任教授
  建築学科主任教授
  建築都市デザイン学科主任教授
• 情報学部
  コンピュータ科学科主任教授
  情報デザイン学科主任教授
• GE学部
  機械創造工学科主任教授
• 基礎・教養教育部門主任教授
• 総合研究所　所長
• 情報科学研究教育センター　所長
• 図書館　館長
• 産学共同研究センター　所長
• 学習支援センター　所長
• CPDセンター　センター長
• エクステンションセンター　センター長
• 理科教育センター　センター長
• 孔子学院　学院長
• 総務部長
• 財務部長
• 施設部長
• 情報システム部長
• 事業部長
• 総合企画室長
• 教務部事務部長
• 学生部事務部長
• アドミッションセンター　所長
• 就職支援センター　所長
• 国際交流センター　所長
• 八王子事務部長
• 附属中学校　校長
• 附属中学校　教頭
• 附属高等学校　校長
• 附属高等学校　教頭
• 附属中学校・高等学校　事務長

（情報管理責任者連絡会議）
情報セキュリティ責任者は連絡調整・情報交換を行うために、必要に応じて情報管理責任者連絡会議を開くことができる。

（情報管理者）
情報資産は、管理の権限を有する者（情報管理者）によって管理される。学園の情報資産すべてに情報管理者を定める。

（情報利用者）
情報管理者によって管理される情報を利用する者を情報利用者と定める。

（システム管理者）
情報資産を取扱う情報機器やネットワークを管理・運用する者をシステム管理者と定め、すべての情報機器やネットワークに対してシステム管理者を置く。

（セキュリティエリア管理者）
情報資産が置かれる物理的な部屋や場所の管理者をセキュリティエリア管理者と定める。

（事務局）
情報セキュリティ委員会の事務局は情報システム部情報システム課に置く。

2．情報の分類と管理

（情報の管理）
情報管理者は情報資産の重要度に応じた管理を行うため、機密性による区分、完全性による区分、可用性による区分を定義する。
情報管理者は最低一年に一度は、自身の管理する情報について、正しく管理、区分されているか確認しなくてはならない。

（情報の分類）

（機密性による区分）
情報資産には、情報管理者が各情報に要求される機密性に応じた情報資産の分類を行うこととする。機密性に応じた区分とは

• (a)厳秘（学内の特定の者しか知ることが許されない情報、丸秘表記も可）
• (b)学外秘（学内の者しか知ることが許されない情報）
• (c)一般情報（厳秘、学外秘以外の情報）

とし、情報資産へのアクセス権設定等などの情報管理を行う。

（完全性による区分）
情報資産の破壊や改竄によるリスクを減らすために完全性による区分を行い情報を管理する。完全性に応じた区分とは

• (a)完全性区分A（改竄等があると業務に重大な損害を与える情報資産）
• (b)完全性区分B（改竄等があると業務に影響を与える情報資産）
• (c)上記以外

とする。

（可用性による区分）
情報資産が利用できないことによるリスクを減らすために可用性による区分を行う。可用性による区分とは

• (a)可用性区分A（障害や災害に対し、迅速な復旧が必要な重要な情報資産）
• (b)可用性区分B（障害や災害に対し、復旧しなくてはならない情報資産）
• (c)上記以外

とする。

（情報システム利用時の情報管理）
情報管理者は機密性区分により情報および情報システムの管理要件を（別表1）の標準管理要件に従い定め、情報利用者はそれに従う。

（媒体の管理）
情報管理者は機密性区分に従った媒体上（電子媒体、紙等）の管理要件を（別表2）の標準管理要件に従い定め、情報利用者はそれに従う。

3．人的セキュリティ

（ポリシーの順守）
本ポリシーの対象者は、ポリシーを順守しなければならない。

（責任の明確化）
職務上のセキュリティ責任を明確にし、関係者相互に確認する。

（第三者による利用）
業務上の理由により、第三者に対して厳秘・学外秘の情報資産の取り扱いを許可する場合は、情報管理者の許可を得た上で情報資産の使用制限を定め、かつ、必要な事項を記載した秘密保持契約を結ぶ。

4．物理的セキュリティ

（施設設備のセキュリティエリアの設置）
物理環境に対する不正侵入から防御するために、セキュリティエリア管理者を定め、情報資産の重要度に応じた物理的なセキュリティエリアを定義し、物理的セキュリティ対策を行う。

（情報機器のセキュリティ）
情報機器の設置・移動・持ち出し及び廃棄については、該当セキュリティエリアのセキュリティエリア管理者及び情報管理者の許可を得てから行う。

（防犯及び防災対策）
セキュリティエリア管理者は犯罪や災害に備えるための体制を整備する。必要に応じて適切な防犯や防災設備を設置する。

5．システムセキュリティ

（不正アクセス対策）
システム管理者は、不正アクセスから情報資産を保護するために、管理する情報システムについて必要な対策を行わなければならない。

（アクセス制御）
システム管理者は、情報への適切なアクセス制御、ネットワーク管理を行い、管理する情報資産へのアクセス状況の監視と記録を行う。アクセス記録は期間を定め保存する。

（情報機器の接続）
システム管理者は情報機器を学園ネットワークに接続するとき、または既存の接続形態を変更する場合は事前にリスク分析と評価を行った上で接続する。

（有害ソフトウェア対策）
システム管理者は情報機器に侵入して他の情報機器への感染活動や破壊活動を行なったり、情報を外部に漏洩させたりする有害なソフトウェア（マルウェア）に対して必要な対策を講じなければならない。

（情報資産の持ち出し、外部からのアクセス）
厳秘、学外秘情報の学外への持ち出し、および学外からのアクセスをしてはならない。ただし、情報管理者の許可を得た場合はその限りではないが、学外へ持ち出す場合、および学外からアクセスする場合は、盗難・紛失や盗聴による情報流出事故を防ぐための方策を講じた上で行わなければならない。

（可用性対策）
情報管理者及びシステム管理者はあらかじめ可用性区分に応じた情報資産のバックアップの方法や頻度、保管について検討し、障害などに対して対応できるように管理を行う。

6．教育・研修

本ポリシーの周知徹底については、法人は理事長、大学は学長、中学高校は校長が責任を持って通知や説明会により本ポリシー対象者に対して行い、本ポリシー理解や情報セキュリティ上の問題が生じないように努めなければならない。

7．セキュリティインシデント対応

（事故・故障）
本ポリシーの対象者は、情報セキュリティに関する事故、情報システム上の障害を発見した場合には、直ちに情報管理者またはシステム管理者に報告しなくてはならない。情報管理者及びシステム管理者は、報告のあった事故等について必要な措置を直ちに講じなければならない。

（不正利用）
情報セキュリティ委員会は、情報資産の不正使用の範囲とそれに対処するための措置手順を定める。不正利用が確認された場合は手順に従い対応を行う。あらかじめ定めのない行為によって情報セキュリティが阻害されたときは、情報管理責任者またはシステム管理者の判断で緊急に対処することができる。対処を行った場合は情報セキュリティ委員会に報告を行う。

本ポリシーの対象者が不正使用を行ったときは、懲戒規程、その他の諸規程・諸契約に従って処分を受けることがある。

8. 実施手順

情報セキュリティ委員会は「工学院大学標準情報セキュリティポリシー実施手順を別途定め、情報セキュリティ対策推進の詳細を規定する。情報管理責任者は各々の部門で、本ポリシー及び標準情報セキュリティポリシー実施手順に基づき管理を行うが、必要に応じて別途細則や実施手順を定めることができる。

9．情報セキュリティポリシーの評価と更新

学園の情報資産を守るためには、常に最新の情報を取得し、適切な物理的・技術的・人的セキュリティが実施されているか定期的に調査・監査・評価を実施しなければならない。改善が必要と認められた場合は、速やかに情報セキュリティポリシーの更新を行う。
本ポリシーの改廃は情報セキュリティ委員会の議を経て、常務理事会で行う。

付　則

本ポリシーは、平成21年4月1日から施行する。

付　則

本ポリシーは、平成23年4月1日から施行する。

付　則

本ポリシーは、平成23年12月24日から施行する。

（別表1）情報および情報システムの標準管理要件

（別表2）媒体の標準管理要件