情報セキュリティポリシー
趣旨
情報セキュリティポリシー制定の趣旨
第1条 学校法人工学院大学(以下、「学園」という。)の建学の精神を継承・発展させ、高度に情報化する社会における教育機関としての使命を果たし続けていくためには、コンピュータやネットワークなどで構成される情報処理環境を安全に運用管理し、それらを活用して重要情報を安全かつ的確に取り扱う組織能力を確保することが不可欠である。情報通信技術の進展が早く、サイバー攻撃に代表される情報セキュリティの脅威が激しく変化する中でこのような組織能力を確保していくには、学園の構成員全員が組織的に統制のとれた対応方法を身に着けるとともに、環境の変化に応じて対応策を見直していかなければならない。
学校法人工学院大学情報セキュリティポリシー(以下、「情報セキュリティポリシー」という。)は、情報セキュリティの確保に向けて、学園の構成員全員が立場に応じた役割を担うことを明確にし、統一したルールで情報セキュリティリスクを未然に防ぎ、やむを得ず情報セキュリティインシデントが発生した場合の損害を最小に抑え、セキュリティ対策を環境に合わせて改善していく、などを核とするセキュリティ確保の組織能力を高めていくことを趣旨とする。
第1条 学校法人工学院大学(以下、「学園」という。)の建学の精神を継承・発展させ、高度に情報化する社会における教育機関としての使命を果たし続けていくためには、コンピュータやネットワークなどで構成される情報処理環境を安全に運用管理し、それらを活用して重要情報を安全かつ的確に取り扱う組織能力を確保することが不可欠である。情報通信技術の進展が早く、サイバー攻撃に代表される情報セキュリティの脅威が激しく変化する中でこのような組織能力を確保していくには、学園の構成員全員が組織的に統制のとれた対応方法を身に着けるとともに、環境の変化に応じて対応策を見直していかなければならない。
学校法人工学院大学情報セキュリティポリシー(以下、「情報セキュリティポリシー」という。)は、情報セキュリティの確保に向けて、学園の構成員全員が立場に応じた役割を担うことを明確にし、統一したルールで情報セキュリティリスクを未然に防ぎ、やむを得ず情報セキュリティインシデントが発生した場合の損害を最小に抑え、セキュリティ対策を環境に合わせて改善していく、などを核とするセキュリティ確保の組織能力を高めていくことを趣旨とする。
I.基本方針
1.基本方針
情報セキュリティの基本方針
体系
第2条 以下の三項目を情報セキュリティの基本方針とする。
(1) 情報セキュリティの目的と目標を定め組織的に取り組む。
情報セキュリティの目的と目標は、情報セキュリティ対策の効果を上げる要であり、PDCAサイクルを回す原動力となる。情報セキュリティの目的及び目標を年度ごとに設定し、達成度を評価する。
(2) 関係者の役割と責任を明確にして取り組む。
学園の情報資産を取り扱う者全員が担当する職責と情報の取り扱いに応じた役割と責任を担い、重要情報を保護しながら適切に取り扱うことができる組織能力を確保する。
(3) 情報セキュリティのリスクに応じた対策を行う。
技術の発達や外部からの攻撃の高度化などで情報セキュリティに関わるリスクが変化していることを踏まえ、情報セキュリティ目的と目標の達成に影響を及ぼすリスクを評価し、リスクを低減する対策を講じる。
第3条 情報セキュリティポリシー体系を以下で構成する。
(1) 基本方針
学園が情報セキュリティに取り組む上での基本となる方向性を定め、本ポリシーの対象者にとっての基本的な考え方や役割と責任を明確にする。
(2) 対策基準
基本方針を受けて、組織的に情報セキュリティ対策を行うための具体的な施策と達成すべき基準を定める。
(3) 情報セキュリティポリシー
「基本方針」と「対策基準」を合わせて「情報セキュリティポリシー」と称す。
(4) 実施手順
対策基準を実施する際に、具体的な実施手順を記した細則で、ガイドラインやマニュアル等が含まれる。
2 第1項の各号は、下図に示す階層構造で構成される。
2.対象範囲
守るべき資産
第4条 学園の重要な情報(情報資産)とそれに関わる情報システム及び情報機器を本ポリシーで守るべき対象とする。
本ポリシーを順守すべき対象者
第5条 本ポリシーを順守すべき対象者は、以下の者とする。
(1) 学園が直接雇用する者(役員(理事・監事)、顧問、常勤教職員(専任・嘱託等)、非常勤教職員、パートタイマー等)、及び退職後も学園と密接な関係を継続している者(名誉学長、名誉教授等)
(2) 学園との契約に基づき学園業務に携わる者(客員研究員や産学共同研究センター研究員等の各種研究員、業務委託者、派遣職員等)
2 学園が提供する情報サービスを利用する者(在学生、在学生の保護者及び保証人、学園及び学園が設置した学校が主催する講習会・イベントの受講者・参加者等)については、別途定める情報セキュリティに関する規約による。
II.対策基準
1.役割と組織
情報セキュリティ統括責任者
第6条 学園は、情報セキュリティを統括し、その責任を負う者として、情報セキュリティ統括責任者(以下、「CISO」:Chief Information Security Officerという。)を置く。
2 CISOは、常務理事(情報担当)をもって充てる。
3 CISOは、必要に応じて、学園の情報セキュリティに関する専門的な知識や経験を有した専門家を情報セキュリティアドバイザー(以下、「アドバイザー」という。)を置くことができる。
4 CISOを補佐する事務は情報システム部が所管する。ただし、法務や文書管理、個人情報保護に関する事務は総務・人事部が所管する。
情報セキュリティ統括者
第7条 各部署に情報セキュリティを統括する情報セキュリティ統括者(以下、「ISD」:Information Security Directorという。)を置く。
2 ISDは、法人においては部長、大学においては学部長、機構長、総合研究所所長、大学院工学研究科長、部長、高校と中学においては教頭をもって充てる。
3 ISDは、部署内の情報資産の保護と情報機器や登録情報システムの管理を通じて、自組織の情報セキュリティの確保を統括する。
情報セキュリティ管理者
第8条 各部署内の組織単位に情報セキュリティを管理する情報セキュリティ管理者(以下、「ISM」:Information Security Managerという。)を定める。
2 ISMは、法人においては課長、大学においては学科長、所長、図書館長、センター長、課長、高校と中学においては主任、事務長をもって充てる。
3 ISMは、当該部署のISDの指揮のもと、自組織構成員が取り扱う情報資産の保護及び情報機器や登録情報システムの情報セキュリティの確保が行われるよう、必要な施策を講じ、その効果を確認する等の責任を負う。
情報システム管理者
第9条 登録情報システムに情報システム管理者(以下、「ISA」:Information System Administratorという。)を置く。
2 ISAは、ISMが選任する。
3 ISAは、登録情報システムの適正な管理と運用および当該システムを通じた重要情報のセキュリティ確保に責任を負う。
4 ISAは、必要に応じて関連する情報システムのISAと連携して、情報セキュリティ対策の効果を高める。
本ポリシーの周知徹底
第10条 本ポリシーの周知徹底については、全ての階層における組織の長が、所属の対象者に周知徹底する責任を持つ。
学園情報セキュリティ委員会
第11条 CISOを長とする学園情報セキュリティ委員会(以下、「委員会」という)を置く。
2 委員会は年1回以上の会合を設け、以下の事項を審議する。
(1) 情報技術や情報セキュリティ対策の利用動向、脅威や情報セキュリティインシデント等の発生状況や変化の認識
(2) CISOが設定した情報セキュリティ目的・目標の承認と達成状況の評価
(3) 情報セキュリティ目標の達成に向けた改善計画
(4) 情報セキュリティリスクアセスメントの手法の検討
(5) 情報セキュリティポリシーの制定及び改定の検討
(6) 部署間の連絡調整や情報交換
(7) その他
3 委員会に関する必要な事項は、学園情報セキュリティ委員会規程による。
4 この委員会に関する事務は、情報システム部が所管する。
情報セキュリティインシデントの対応チームと通報窓口
第12条 情報セキュリティインシデント対応を行うチームとして、情報セキュリティインシデント対応チーム(以下、「CSIRT」:Computer Security Incident Response Teamという。)を設置する。
2 CSIRTの役割は、次の各号に定めるところによる。
(1) 情報セキュリティ事象や情報セキュリティインシデントの報告を受け付ける。
(2) 受け付けた報告のトリアージを行い、取り扱うそれの詳細を把握・分析し、被害拡大防止、復旧支援等を行う。
(3) 外部機関等(公的機関や他大学、各種団体を含む)との情報交換を行う。
(4) 必要に応じて関連機関に報告し、あるいは公表を行う。
(5) その他情報セキュリティインシデントの対応に関する必要な事項を実施する。
3 CSIRT内に学内外からの通報に対する専用窓口(以下、「PoC」:Point of Contactという。)を設置する。
4 PoCの役割は、次の各号に定めるところによる。
(1) 学内外からの第2項1号の受付を行い、それを記録する。
(2) 必要に応じて通報に関係する者との的確な連絡役を担う。
(3) 外部のPoC等と円滑なコミュニケーションを行えるよう信頼関係を構築する。
(4) その他通報の対応に関する必要な事項を実施する。
5 CSIRTとPoCに関する必要な事項は、情報セキュリティインシデント対応⼿順規程で定めることができる。
2.情報セキュリティの目的・目標とリスクアセスメント・リスク対応の実施
情報セキュリティ目的・目標の設定と管理
第13条 CISOは、年度始めに学園の経営方針に沿って情報セキュリティ目的と目標を設定し、委員会の意見を聞いた上で決定する。
2 ISDは、年1回以上、自組織の情報セキュリティ目的と目標の達成度を自己点検・評価するようISMに指示し、取りまとめを行う。
3 ISMは、年1回以上、自組織の本ポリシーの対象者に対して情報セキュリティ目的と目標を周知し、その達成度を調査する。
4 本ポリシーの対象者は、年1回以上、担当する職務の情報セキュリティ目的と目標の達成度について、ISMに報告する。
5 ISMは、年度末までに本ポリシーの対象者からの報告を受けて、自組織の情報セキュリティ目的と目標の達成度を自己点検・評価としてまとめ、ISDに報告する。
6 ISDは、年度末までに自組織の情報セキュリティ目的と目標の達成度を自己点検・評価として取りまとめ、それを委員会(事務局)に報告する。
7 CISOは、年度末に委員会を招集して、各部署の情報セキュリティ目的と目標の達成度を評価し、理事長に報告する。
8 情報セキュリティ目的と目標に関する必要な事項は、情報セキュリティ目的と目標に関する実施細則を定めることができる。
情報セキュリティのリスクアセスメントとリスク対応の実施
第14条 CISOは、委員会での検討結果に基づいて、情報セキュリティ目的と目標に関するリスクアセスメントの手法を定める。
2 リスクアセスメントの手法は、主に次のいずれかによる。
(1) ベースライン手法
(2) 非形式的アプローチ
(3) 詳細リスク分析
(4) 組み合わせアプローチ
3 ISDは、CISOの指示に従い、年度毎に自組織におけるリスクアセスメントを行い、リスク対応を計画し、実施を取りまとめる。
4 ISMは、ISDの指示に従い、それを補佐する。
5 本ポリシーの対象者は、ISMの指示に従い、実行ないし報告する。
6 リスクアセスメントは、情報資産が置かれている環境(各種法令や学内諸規程、組織変更、ハード・ソフトの更新など)が変わった場合にも実施する。
7 リスクアセスメントとリスク対応に関する必要な事項は、情報セキュリティリスクアセスメントとリスク対応細則で定めることができる。
3. 情報資産の分類と管理
機密性による分類
第15条 機密性とは、情報資産に対して、アクセスを認められた者だけがアクセスできる状態を確保することをいう。
2 機密性に応じた分類は、次の各号の定めるところによる。
(a) 厳秘
学内の特定の者しか知ることが許されない情報、丸秘表記も可
(b) 学外秘
学内の者しか知ることが許されない情報
(c) 一般情報
厳秘、学外秘以外の情報
3 ISMは、自組織の情報資産と情報システムを別表1の機密性管理要件にしたがって分類し、厳秘の情報について管理台帳を作成し、ISDに報告しなければならない。
4 ISDは、自組織内の管理台帳をまとめて委員会(事務局)に届け出なければならない。
5 本ポリシーの対象者は、取り扱う情報の機密性分類に応じた管理要件を守らなければならない。
6 機密性区分に関する必要な事項は、情報資産セキュリティ管理規程による。
完全性による分類
第16条 完全性とは、情報資産の内容が変更(破壊、改ざん又は消去など)されていない状態を確保することをいう。
2 完全性による分類は、次の各号の定めるところによる。
(a) 完全性分類A
情報資産の内容が変更された場合、学園の業務への影響が深刻かつ重大なもの
(b) 完全性分類B
情報資産の内容が変更された場合、学園の業務への影響が大きいもの
(c) 完全性分類C
情報資産の内容が変更された場合、学園の業務への影響が小さいもの(上記以外)
3 ISMは、自組織の情報資産を第1項にしたがって分類し、完全性分類Aの情報について管理台帳を作成し、ISDに報告しなければならない。
4 ISDは、自組織内の管理台帳をまとめて委員会(事務局)に届け出なければならない。
5 本ポリシーの対象者は、取り扱う情報の完全性分類に応じた管理要件を守らなければならない。
6 完全性分類に関する必要な事項は、情報資産セキュリティ管理規程による。
可用性による分類
第17条 可用性とは、情報資産へのアクセスを認められた者が、必要時に中断することなく、情報資産にアクセスできる状態を確保することをいう。
2 可用性による分類は、次の各号の定めるところによる。
(a) 可用性分類I
障害や災害に対し、迅速(遅くとも一週間以内)な復旧が必要な重要な情報資産および登録情報システム
(b) 可用性分類II
障害や災害に対し、復旧しなくてはならない情報資産および登録情報システム
(c) 可用性分類III
上記以外
3 ISMは、自組織の情報資産と登録情報システムを第1項にしたがって分類し、可用性分類Iの情報について管理台帳を作成し、ISDに報告しなければならない。
4 ISDは、自組織内の管理台帳をまとめて委員会(事務局)に届け出なければならない。
5 本ポリシーの対象者は、取り扱う情報の可用性分類に応じた管理要件を守らなければならない。
6 可用性分類に関する必要な事項は、情報資産セキュリティ管理規程による。
4.人的セキュリティ
教職員等の採用
第18条 学園の教職員の採用にあたっては、情報セキュリティ施策の順守に支障がない人物であることを確認し、本ポリシー及び関連規程の順守を誓約させ、守秘義務契約を締結する。
教育・研修
第19条 本ポリシー対象者は、CISOが定めた情報セキュリティ目的と目標を達成するための重点項目を含む情報セキュリティ施策の教育・研修を定期的に受講しなければならない。
2 委員会(事務局)は、情報セキュリティに関する教育・研修の受講履歴を記録し、部署毎の受講管理や研修改善に役立てる。
3 本ポリシー対象者の情報セキュリティの教育・研修に関する必要な事項は、情報セキュリティポリシー対象者の教育・研修細則で定めることができる。
教職員等の異動または退職
第20条 学園の教職員等が異動または退職する際に、上司は教職員が業務上手に入れた学園の厳秘及び学外秘の情報資産を全て返却させ、未返却の厳秘及び学外秘の情報資産がないことを確認させる。また、業務上知り得た機密情報について、守秘義務を退職後も一定期間負うことを確認させる。
懲戒
第21条 本ポリシーの対象者がポリシー違反を行ったときは、懲戒規程、その他の諸規程・諸契約に従って処分を受けることがある。
5.物理的セキュリティ
情報セキュリティエリア
第22条 学園内において情報資産を取り扱うエリアを、求められる対策の基準ごとに情報セキュリティエリア(Information Security Area)として区分を定める。
2 情報セキュリティエリアのクラスは、次の各号に定めるところによる。
(1) 開放エリア
本ポリシー対象者に限らず部外者も出入りできる場所をいう。
(例) 外構、共用スペースなど
(2) 一般エリア
主として教育を行う場所をいう。学内諸規程に基づき、第三者に貸し出す場合がある。
(例) 教室、演習室、閲覧室、実験室、体育館など
(3) 管理エリア
学園の関係者が業務を行う場所をいい、学園関係者以外の立ち入りを制限する。このエリアに立ち入る者は身分証の提示が求められる。外部の訪問者が立ち入る場合は教職員の許可及び同行または準ずる行為が必要となる。
(例) 研究室、事務室、倉庫、会議室等。建物やフロア単位で管理する場合がある。
(4) 限定エリア
管理エリアのうち、より強固な情報セキュリティを確保するための厳重な管理対策及び利用制限対策を実施する場所をいい、このエリア内の業務に関係する特定の関係者のみに立ち入りを許可する。このエリアには限定エリア責任者を置く。限定エリアへの立ち入りは、限定エリア責任者の許可が必要で、その入退出記録並びに許可の記録を残さなければならない。
(例) 情報資産を厳重に保管する金庫、情報システム用途の情報機器や電気・通信・空調のインフラ等が設置されているエリア
6.情報セキュリティ対策
情報機器のセキュリティ対策
第23条 ISDは、自組織の情報機器の情報セキュリティ対策が適正に実施できるように立案し、統括しなければならない。また、年度末には、自組織の情報機器の管理状況を委員会(事務局)に報告しなければならない。
2 ISMは、自組織の情報機器の情報セキュリティ対策が適正に実施されていることを確認し、管理をしなければならない。
3 本ポリシーの対象者は、使用している情報機器に対し、情報機器セキュリティ対策実施規程に従い、適切な情報セキュリティ対策を行わなければならない。
(情報機器の情報セキュリティ対策の例)
(1) 個別のソフトウェアライセンス等の順守
(2) 盗難防止や不正使用対策の実施
(3) 有害ソフトウェア対策の実施
(4) 導入されているソフトウェアの更新プログラム適用
4 情報機器は、所有者により、次の3つに分類して管理される。
(a) 学園により所有されるもの
(b) 学園との契約あるいは協定にしたがって提供されるもの
(c) 学園が許可した個人所有のもの
5 情報機器は、使用する業務の性質により、次の2つに分類して管理される。
(i) 学内のみで使用する持ち出し不可のもの
(ii) 持ち出し許可が得られるもの(他キャンパス移動も含む出張用)
6 本ポリシーの対象者は、個人所有の情報機器を業務利用する場合、個人所有の情報機器の業務利用ガイドラインに準拠した情報機器を使用し、かつ、所属のISDの許可を得なければならない。
7 本ポリシーの対象者は、第5項(i)に該当する情報機器の設置と移動については各種法令や学内諸規程、個別のソフトウェアライセンス等を順守し、所属および該当する情報セキュリティエリアのISDの承諾を得てから行わなければならない。
8 本ポリシーの対象者は、第5項(ii)の情報機器を学園の敷地外に持ち出す場合、情報機器の持ち出しガイドラインに準拠した適合端末であることを確認し、必要な手続きを経なければならない。ISDは自組織の持ち出し記録の管理方法を定めて情報セキュリティを確保し、その管理状況を委員会(事務局)へ報告しなければならない。
9 本ポリシーの対象者は、当該情報機器において、情報セキュリティインシデントが疑われる場合は、直ちにPoCに通報しなければならない。
10 情報機器のセキュリティ対策に関する必要な事項は、情報機器セキュリティ対策実施規程による。
登録情報システムのセキュリティ対策
第24条 ISDは、当該登録情報システムの情報セキュリティ対策が適正に実施できるよう立案し、統括しなければならない。
2 ISMは、当該登録情報システムの情報セキュリティ対策が適正に実施されていることを確認しなければならない。
3 ISAは、システム管理を行っている登録情報システムに対し、当該登録情報システムのリスクに応じた情報セキュリティ対策を行わなければならない。
(主な登録情報システムの情報セキュリティ対策の例)
(1) 各種法令や学内諸規程の順守
(2) 個別のソフトウェアライセンス等の順守
(3) 盗難防止や不正使用対策の実施
(4) 不正アクセス対策の実施
(5) 適切なアクセス制御の設定
(6) 有害ソフトウェア対策の実施
(7) 導入されているソフトウェアの更新プログラム適用
(8) 適切なネットワーク接続とその管理の実施
(9) 用途に応じた電源保護、防滴防塵対策、温度湿度対策、地震対策等の実施
(10) 当該登録情報システムが設置されている情報セキュリティエリアの基準を満たす対策の実施
(11) 学外のデータセンターを利用している登録情報システムは、その契約とリスクに応じた情報セキュリティ対策の実施
4 本ポリシーの対象者は、当該登録情報システムに問題を発見した場合は、それをISAに報告し、ISAは調査や対応を行う。ただし、情報セキュリティインシデントが疑われる場合は、直ちにPoCに通報しなければならない。
5 登録情報システムのセキュリティ対策に関する必要な事項は、登録情報システムセキュリティ対策規程による。
情報資産の学外持ち出しまたは学外からのアクセス
第25条 本ポリシーの対象者は、厳秘の情報資産の学外持ち出しまたは学外からのアクセスを行う場合は、別表1や当該登録情報システムのガイドライン等に従わなければならない。
2 情報資産の学外持ち出しと外部からのアクセスに関する必要な事項は、情報資産セキュリティ管理規程による。
第三者への情報資産の取り扱い許可
第26条 ISMは、業務上の理由により、第三者に対して厳秘及び学外秘の情報資産の取り扱いを許可する場合、ISDの承認を得た上で情報資産の使用制限を定め、かつ、必要な事項を記載した秘密保持契約を結ばなければならない。
2 ISMは、秘密保持契約をした第三者から、所定外の情報機器の持ち込みや持ち出しの要請があった場合、当該エリアのISMの許可を得た上で、管理台帳に記録(氏名、所属、日時、物品、理由等)した上で行うものとする。
3 第三者による情報資産の取り扱いについての必要な事項は、第三者による情報資産取扱細則で定めることができる。
7.情報セキュリティインシデント対応
情報セキュリティインシデントの対応
第27条 本ポリシーの対象者は、情報セキュリティインシデント、または情報セキュリティ事象や不正利用等を発見した場合は、速やかにPoCに届け出なければならない。
2 情報システム部は、主に情報セキュリティ事象をモニタリングし、必要に応じて、ISMやISAと協業しながら、情報セキュリティインシデントや不正利用等の発生抑制に努める。
3 学内外からの届け出や前項のモニタリングで発覚した事象について、CSIRTは初動調査を経てそれらのトリアージを行い、その後の調査、対応、対策等を講じる。また、必要に応じて、外部の専門家や、関係するISMやISAと連携しながら、調査、対応、対策等にあたる。
4 CSIRTは、取り扱い事項の重大性に応じて、適時、CISOに進捗を報告する。また、対応結果については、学園情報セキュリティ委員会に報告する。
5 情報セキュリティインシデントの対応に関する事項は、情報セキュリティインシデント対応⼿順規程で定めることができる。
8. 情報セキュリティの評価と改善
情報セキュリティの評価と改善
第28条 ISDは、定期的に情報セキュリティの自己点検・評価を行い、情報セキュリティ目標の達成度を自己点検・評価し、委員会に報告する。
2 内部監査室は、情報セキュリティ監査を計画的に実施し、理事長及びCISOに報告する。
3 CISOは、評価の結果や外部環境の変化により、改善が必要と認められた場合は、速やかに情報セキュリティポリシーの更新を行う。
9. 報告
報告
第29条 学園は、情報セキュリティに関する状況や達成度等について、適時、本ポリシーの対象者に報告する。
2 学園は、前項の概要について、適時、公表する。
10. その他
改廃
第30条 この規程の改廃は、学園情報セキュリティ委員会の意⾒を聞いて、理事⻑が⾏う。
2 情報セキュリティポリシーに関する事務は、情報システム部が所管する。
附 則
本ポリシーは、平成23年4月1日から施行する。
附 則
本ポリシーは、平成23年12月21日から施行する。
附 則
本ポリシーは、平成24年7月25日から施行する。
附 則
本ポリシーは、平成28年4月1日から施行する。
附 則
本ポリシーは、平成29年4月1日から施行する。
附 則
別表1(本ポリシーとして扱う)
情報資産及び情報システムの機密性分類による標準管理要件
| 区分 | 厳秘 | 学外秘 | 一般情報 |
|---|---|---|---|
| 表示 | 「厳秘」を表示し、表示したまま離席しない | 「学外秘」を表示し、表示したまま離席しない | 制限なし |
| 保管 | 適切な暗号化を施し、アクセス制御を伴う管理を行う。または鍵のかかる場所に保管する。 | アクセス制御を伴う管理を行う。または学外者の目に触れないように保管する。 | 制限なし |
| 配布 | ISDの許可を得て、必ず暗号化して配布(送信)を行う。 | 学外へ配布する場合は、必要に応じてISMの許可を得てから行う。 | 制限なし |
| (送信) | |||
| 携行 | ISDの許可を得て携行するが、紛失などが起こらないよう十分対策を行う。 | 学外に携行する場合はISMの許可を得て携行するが、紛失などが起こらないよう十分対策を行う。 | 制限なし |
| 複製・複写 | 原則不可。やむを得ず行う場合はISDの許可を得てから行う。 | 学内利用が目的であれば可。 | 制限なし |
| 廃棄 | すべての情報を削除(判読不能)してから廃棄 | すべての情報を削除(判読不能)してから廃棄 | 制限なし |
| 口頭 | ISDが許可した者以外に口外してはならない。 | 学外には口外しない。 | 制限なし |
付録(用語の定義)
本ポリシーにおける用語の定義は、次の各号の定めるところによる。
(1) 情報資産(Information Asset)
学園に価値のある情報を情報資産という。情報資産は、情報機器内部に記録された情報、電磁的記録メディアに記録された情報及び書面に記載された情報をいう。また、文書取扱規程で定義された文書も含む。
(2) 情報機器(Information Equipment)
情報資産を取り扱う機器で、学園により所有または管理されるものと、学園との契約あるいは協定にしたがって提供されるもの、および学園が許可した個人所有のものがあり、学園の情報ネットワークに接続する機器を含む。
(例) 本ポリシーの対象者が使用するパソコンやタブレット(管理形態を問わない)、その他これらに類するもの(スマートフォン、電話、ゲーム機、情報家電など)。
(3) 媒体(Media)
電磁的記録メディア及び電磁的記録メディアに保存されている情報資産から印刷された紙媒体と紙媒体のみで存在する情報資産をいう。
(4) 電磁的記録メディア(Electromagnetic Record Media)
電子的方式、磁気的方式で作られる記録を行うメディアであって、コンピュータによる情報処理の用に供されるものをいう。
(5) 登録情報システム(Registered information system)
情報を適切に保存・管理・流通させる仕組みとして、コンピュータとネットワーク、それらを制御するソフトウェア、及び運用体制で構成されるシステムで、複数の利用者がネットワークを通じて利用する形態のものを全て指す。
この運営者(ISM)は当該システムの存在と管理の状態を委員会(事務局)に届け出て、学園に登録されなければならない。
学園における登録情報システムに関する必要な事項は、学園の登録情報システム管理規程による。
(例)
<法人>
基幹業務システム、人事・給与システム、薬品管理システム、施設・設備管理システム、緊急地震速報システム、テレビ会議システム、電子会議システム、公式ホームページサーバ、名誉教授メールシステム、学園ポータルシステム、基幹ネットワークシステム、対外接続システム、無線LANシステムなど
<大学>
共同利用コンピュータシステム、e-learningシステム、研究用メールシステム、工学院大学スーパーコンピュータシステム、外部ログインサーバ、セキュリティソフト管理システム、各種包括ライセンスシステム、AV装置システム、図書館システム、教員業績管理システム、シラバスシステム、証明書発行機システム、学生証発行システムなど
<中高>
教育用メールシステム、各種教育用サーバ、授業支援システム、セキュリティソフト管理システム、教務システム、学籍管理システム、図書館システムなど
(6) 外部の情報サービス(External Information Services)
本ポリシーの対象者が業務利用目的で外部の供給者から提供を受ける情報サービスで、供給者との契約あるいはライセンス許諾に基づいて情報資産を取り扱うものをいう。外部の情報サービスに関する必要な情報セキュリティ要件は、外部の情報サービスの利用に関するガイドラインを定めることができる。
(7) 情報セキュリティ(Information Security)
学園の情報処理環境を取り巻く様々な脅威から、情報資産の機密性、完全性及び可用性を正常に維持することをいう。
(8) 情報セキュリティインシデント(Information Security Incident)
情報セキュリティに関し、意図的または偶発的に生じる、本学規程または法律に反する事故あるいは事件をいう。
(9) 情報セキュリティ事象(Information Security Event)
情報セキュリティ方針違反、あるいは管理策の不具合の可能性、または情報セキュリティに関係し得る未知の状態を示す、情報機器、情報システム、情報ネットワークまたは情報サービスの状態に関連する事象をいう。
(10) 情報セキュリティリスク(Information Security Risk)
情報セキュリティ目的に対する不確かさの影響をいう。これは、脅威が情報資産のぜい弱性に付け込み、その結果、組織に損害を与える可能性に伴って生じる。
(11) その他
本ポリシーで明示的に定義していない用語は、JIS Q 27000における用語の定義に準ずる。