長崎大学情報セキュリティポリシーの概要(第4版)
長崎大学情報セキュリティ委員会
1. 情報セキュリティポリシーの基本方針
長崎大学(以下「本学」という)における学術研究・教育活動の高度化のために,情報基盤の整備に加えて,
組織的かつ高度に情報資産のセキュリティを維持することが不可欠である。長崎大学情報セキュリティポリシー(以下「本ポリシー」
という)は,情報セキュリティの大切さを本学の利用者等が日頃から十分意識し,本学の情報資産を適切に管理運用するために,
必要な取り決めを定めるものである。
2. 情報セキュリティポリシーによって目指すもの
情報セキュリティポリシーによって目指すものは,次のとおりである。
① 本学の情報セキュリティに対する侵害を阻止。
② 学内外の情報セキュリティを損ねる加害行為を抑止。
③ 情報資産に関して,重要度による分類とそれに見合った管理。
④ 情報セキュリティに関する情報の取得を支援。
⑤ 本学の構成員等による学内外への情報セキュリティの侵害を防止し,構成員等に対する教育を実施すること。
⑥ 本学のセキュリティレベルの達成度について,セキュリティ監査を実施し随時見直しを行うこと。
3. 情報セキュリティポリシーの対象範囲
(1) 本ポリシーの対象範囲は,本学の情報資産に加えて,本学支給以外の情報資産で本学のネットワークに一時的に接続された情報機器を含むものとする。
(2) 本ポリシーの対象者は,本学の構成員(学生・教職員・非常勤職員等を含む。)に加えて,学外者を含む本学の情報資産に関わるすべての者とする。
4. 情報セキュリティの対策基準
(1)組織・体制
最高情報セキュリティ責任者(CISO)
学長が指名する理事または副学長をもって充てる。本学の情報セキュリティ対策の推進の責任者として,
組織体制の整備,対策基準や対策推進計画の決定・見直し,情報セキュリティインシデントに対処する指示
その他の措置を実施し,本学の情報セキュリティに関する業務の総括的な権限を有するものである。
最高情報セキュリティ責任者補佐(CISO補佐)
全学の情報セキュリティ管理の実施に関し,緊急時の連絡等,総括的な対応に当たり,最高情報セキュリティ責任者を
補佐するものとし,学長が指名する者をもって充てる。
情報セキュリティ監査責任者
情報システムのセキュリティ対策が情報セキュリティポリシーに基づいて実施されているかを監査するものとし,
学長が指名する者をもって充てる。
部局情報セキュリティ管理責任者
部局等の長をもって充てる。部局内の情報セキュリティ管理の実施に関し,最高情報セキュリティ責任者補佐との
連絡等の対応に当たり,当該部局の情報システムセキュリティ管理責任者及び利用者を統括する。
対外接続情報セキュリティ管理責任者
ICT基盤センター長をもって充てる。対外接続担当部局内の情報セキュリティ管理の実施に関し,
最高情報セキュリティ責任者補佐との連絡等の対応に当たり,当該部局の情報システムセキュリティ管理責任者及び利用者を統括する。
情報システムセキュリティ管理責任者
情報システムセキュリティ管理責任者とは,部局情報セキュリティ管理責任者又は対外接続情報セキュリティ
管理責任者から,本学の情報システムセキュリティ管理の実施に関し,当該情報を管理する組織単位でシステムの
利用範囲の規模に応じ,適切に置かれるものである。なお,個々の教職員・学生が使用するコンピュータにおいては,
使用する者がそのまま情報システムセキュリティ管理責任者となる。
利用者
利用者は,本学の構成員(教職員・非常勤職員・学生を含む。)に加えて,学外者を含む本学の情報資産に
関わるすべての者であり,本学の情報セキュリティポリシーを遵守して,情報システムを利用しなければならない。
また,情報システムセキュリティ管理責任者等から情報セキュリティ維持管理のために指示に従わねばならない。
情報セキュリティ委員会
本学の情報セキュリティに関し,基本的な情報セキュリティポリシーの策定,情報セキュリティ推進,
情報セキュリティ対策の重要事項を審議するとともに,対外的な対応等を行う。
委員長は,最高情報セキュリティ責任者(CISO)をもって充てる。
情報セキュリティ対策チーム(CSIRT)
情報セキュリティ,情報システム等に関する知識及び技能を持つ者で,本学のネットワーク構成や個別システムの
情報システムセキュリティ管理責任者を把握している最高情報セキュリティ責任者が指名した者をもって充てる。
情報セキュリティインシデントを認知した際,最高情報セキュリティ責任者に対して速やかに状況を報告し,
最高情報セキュリティ責任者の指示を受け,適切に対処するチームである。
情報セキュリティ対策チーム(CSIRT)の主な役割は以下のとおりである。
① 発生事象の正確な把握
② 被害拡大防止,復旧,再発防止のための技術的な支援及び助言
③ 対処能力の向上に向けた平時の取組(研修,訓練等の実施)
(2)情報の分類と管理
本学で扱われるすべての電磁的に記録された情報及び伝送される情報について,情報の重要度による分類,
情報の管理方法,管理責任を規定する。情報の種類として,各部局等(以下「部局」という。)におけるいわゆる教育情報に加えて,研究情報,医療情報,事務情報に大別される。
重要度の分類と,改ざんや破壊によるリスク分析を,全学レベル及び部局レベルで検討しなければならない。
(3)情報セキュリティ要件の明確化に基づく対策
本学の情報システムの導入及び運用においては,アクセス制御等の様々なセキュリティ機能を設定するとともに,セキュリティホール,不正プログラム,サービス不能攻撃,標的型攻撃等脅威を防ぐための対策を講じなければならない。
(4)情報システムの構成要素についての対策
情報システムは,情報機器やネットワークといった様々な構成要素から成り立っており,システムが持つ特性及びライフサイクルに応じたセキュリティ対策を講じなければならない。
(5)個別事項についての対策
USBメモリ等外部電磁的記録媒体の使用,情報システムの調達・開発や外部サービス等を用いた情報の取扱いにおいても,情報セキュリティ対策を講じなければならない。
(6)評価・見直し
情報セキュリティポリシーは,秒進分歩の情報技術の発展に伴い,定期的に見直して改定を行い,情報セキュリティレベルを絶えず上げるよう努力しなければならない。
さらに,情報セキュリティ監査についても,定期的に実施しなければならない。
(7)その他
教育・研修の実施,学外の情報セキュリティ水準の低下を招く行為の防止,教育研究上の利便性の配慮。
改訂履歴
策定:平成15年6月27日(第1版)
改訂:平成18年1月27日(第2版)
改訂:平成21年2月10日(第3版)
改訂:平成26年11月14日(第4版)