情報セキュリティポリシー

情報セキュリティポリシー

日本赤十字看護大学は、情報資産のセキュリティを確保するために、情報セキュリティ対策推進会議(内閣官房情報セキュリティ対策推進室)の決定した「情報セキュリティポリシーに関するガイドライン」を踏まえ、平成18年4月1日に情報セキュリティポリシーを定め、これを公開する。

情報セキュリティの基本方針

1. 情報セキュリティの基本方針

高度情報化時代においては、情報資産の機密性、完全性及び可用性を維持することは、市民社会を健全に保つ上で欠くことができない。日本赤十字看護大学(以下、本学)にとっても、情報資産を守ることは、情報の収集、格納、伝達、報告といった手段を伴う本学の教育・研究活動を円滑に推し進め、本学に対する信頼を獲得する上で重大な要素となる。したがって、本学の情報資産を利用するすべての者は、情報セキュリティポリシー(以下、「ポリシー」という。)を遵守する責任があり、意図の有無を問わず、学内外の情報資産に対する権限のないアクセスや改竄、複写、破壊、漏洩等の行為をしてはならない。また、日本赤十字看護大学情報システム・セキュリティ委員会(以下、委員会)は、利用者がポリシー、ガイドラインおよびこれらに則り定められる規定等を理解し、実施できるように教育、指導をする責任を持つ。

2. 趣旨ならびに位置付け

ポリシーは、下記の目的をもって、本学の管理するコンピュータ、情報ネットワーク等を利用し、情報を扱うにあたって遵守しなければならない最低限の事項をまとめたものである。

  • 本学の情報セキュリティに対する侵害の阻止
  • 学内外の情報セキュリティを侵害する行為の抑止
  • 情報資産の分類と管理
  • 情報セキュリティの評価と更新

3. 定義

ポリシーで使用する用語の定義は、次のとおりとする。

情報資産
情報及び情報を管理する仕組み(情報システム並びにシステム開発、運用及び保守のための資料等)の総称

情報セキュリティ
情報資産の機密性、完全性及び可用性を維持すること。

機密性(confidentiality)
情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。

完全性(integrity)
情報及び処理方法の正確さ及び完全である状態を安全防護すること。

可用性(availability)
許可された利用者が、必要なときに情報にアクセスできることを確実にすること。

情報システム
同一組織内において、ハードウエア、ソフトウエア、ネットワーク及び記録媒体で構成されるものであって、これら全体で業務処理等を行うもの。

情報セキュリティポリシー
本学が所有する情報資産の情報セキュリティ対策について、総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方並びに情報セキュリティを確保するための体制、組織及び運用を含めた規定。情報セキュリティ基本方針及び情報セキュリティ対策基準からなる。

情報セキュリティ基本方針(以下「基本方針」という。)
本学における情報セキュリティ対策に対する根本的な考え方を表すもので、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、本学の情報セキュリティに対する取組姿勢を示すもの。

情報セキュリティ対策基準(以下「対策基準」という。)
「基本方針」に定められた情報セキュリティを確保するために遵守すべき行為及び判断等の基準、つまり「基本方針」を実現するために何をやらなければいけないかを示すもの。

情報セキュリティポリシー実施手順
対策基準に定められた内容を具体的な情報システム又は業務において、どのような手順に従って実行していくのかを示すもの。

4. 情報セキュリティポリシーの構成

情報セキュリティポリシーは、情報セキュリティポリシー基本方針(本文書)および情報セキュリティ対策基準から構成される。また、情報セキュリティ対策基準に基づいて情報資産のセキュリティ対策に関する具体的な実施手順を別途定める。すべての規定および施策は本情報セキュリティポリシーに一貫して従うものとする。

5. 適応範囲ならびに対象者

本学におけるポリシーが適応される範囲は、本学の管理する機器、情報ネットワーク、一時的に情報ネットワークに接続された機器、および情報資産である。ポリシーの対象者は本学の情報資産を利用するすべての者とする。

対策基準

1. 組織・体制

  1. 最高情報セキュリティ責任者
    本学における最高情報セキュリティ責任者は学長とする。最高情報セキュリティ責任者は、情報セキュリティに関する総括的な意思決定を行い、学内外に対する責任を負うものとする。ポリシーの解釈に関しては、最高情報セキュリティ責任者がすべての権利を保有し、最高情報セキュリティ責任者による解釈をもってその最終決定とする。
  2. 情報システム・セキュリティ委員会
    ポリシーの策定及び重要事項の決定は、学長の下に設置した情報システム・セキュリティ委員会(以下、委員会)が行い、本学における情報セキュリティ対策を推進する。委員会は、情報セキュリティに関する啓発および利用者に対する幅広い教育を行う。情報システム・セキュリティ委員長(以下、委員長)は、学長が任命し、最高情報セキュリティ責任者を補佐する。委員長は、情報セキュリティに関する総括的な意思決定を行う。
  3. 情報システム管理者
    情報システム管理者は、情報システム管理の実施、及び緊急時の対応等にあたる。

2. 情報資産の分類と管理

  1. 情報資産の分類
    本学の情報資産を適切に保護するため、機密性、完全性、可用性等の観点から情報資産を重要度により分類する。
  2. 情報資産の管理
    情報資産の管理方法、管理責任を規定し、重要度に応じた情報セキュリティ対策を行なう。

3. 情報資産への脅威

情報セキュリティ対策を推進する上で、特に対象となる情報資産への脅威は、その発生頻度や発生時の影響を考慮すると、次のとおりである。

  1. 大学構成員以外の者による故意による不正アクセスまたは、傍受、改変もしくは消去、機器や媒体の盗難等。
  2. 大学構成員による意図しない操作または故意による不正アクセスまたは、傍受、改変もしくは消去、機器や媒体の盗難、データの漏洩等。
  3. 地震、落雷、火災等の災害、事故、故障等による情報サービスまたは業務の停止。

4 情報セキュリティ対策

上記の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じるものとする。

  1. 物理的セキュリティ
    情報資産を災害、事故並びに不正侵入による損傷・盗難・妨害等から保護するため、情報システムの設置環境やシステム機器の管理方法において物理的な対策を講じる。
  2. 人的セキュリティ
    情報セキュリティポリシーに規定した事項を的確に実行し、検証していくための組織・体制に対して責任と権限を定め、本学の情報資産を用いた業務に携わるすべての教職員、学生および外部委託業者等が実施すべき事項を周知徹底するなど、情報セキュリティポリシーを遵守する対策および情報セキュリティポリシーに違反したときの対策を講じる。
  3. 技術的セキュリティ
    情報資産を不正プログラムからの脅威や内外の不正アクセス等から適切に保護する対策とその状況を監視する対策などを、情報システム、学内ネットワークおよびコンピュータ等に組み込む対策を講じる。
    上記の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じるものとする。

5. 情報セキュリティポリシーの運用並びに評価・改善

  1. 実施手順
    情報セキュリティ対策基準を確実に実施するため、情報システムや業務などについて適用範囲ごとに、情報セキュリティ実施手順を策定する。
  2. 運用
    ⅰ)情報システムの監視及びポリシーの遵守状況の確認(以下「運用管理」という。)
    ポリシーの実効性を確保するため、また、不正アクセス及び不正アクセスによって他の情報システムに対する攻撃に悪用されることを防ぐためには、情報システムの利用者等が、ポリシーを遵守しているかどうかについて、また、インターネットを介した不正アクセスを含めた情報システムの稼働状況について、ネットワーク監視等により常に確認を行うことが必要である。
    ⅱ)外部委託による運用契約
    外部委託によって、情報システムを運用していく際の契約について明確にし、その場合における確認体制を確立する必要がある。
  3. 評価・改善
    情報セキュリティを取り巻く状況の変化などに対応して有効性を維持するため、定期的または必要に応じて情報セキュリティポリシーの評価を実施し、その改善を図る。