Regulations 利用規定等

バナー

東京外国語大学情報セキュリティ対策基準

Tue, 04 Nov 2014 16:04:20

職員向け(学内専用) 教員向け(学内専用)

1.趣旨

 本学は,本学の管理責任範囲に存在する重要な情報資産を内外の脅威から守るために,情報セキュリティポリシーを定める。
 情報セキュリティポリシーは,情報セキュリティ基本方針,情報セキュリティ対策基準及び情報セキュリティ実施手順の3階層で策定?管理する。
 情報セキュリティ対策基準は,情報セキュリティ基本方針に基づき,情報資産を保護?管理するために遵守すべき事項を具体的に記載したものである。

2.適用者

情報セキュリティ対策基準は、次のような本学の情報資産を利用する全ての者に適用する。

(1)本学の役員及び職員
(2)本学の非常勤講師及び非常勤職員等
(3)本学滞在の国内外の研究者等
(4)本学の学生,研究生,科目等履修生,聴講生等
(5)本学で実施している研究事業の共同研究員及び研究協力者等
(6)本学で就労する契約職員,派遣社員及び業務委託先の社員等
(7)その他特別に許可された者で本学の情報資産を利用する者

しかし、セキュリティ対策は、その内容によって適用者が異なるため、次のように情報資産の利用者別に情報セキュリティ対策基準を記載するものとする。

(1)職員(教員)
(2)役員及び職員(教員を除く)
(3)学生
(4)その他の利用者
(5)公開サーバ管理者及び管理責任者

3.公開範囲

この基準は本学の情報資産を利用する全ての者に公開するものとする。

4.用語及び定義

情報セキュリティ対策基準で用いられる用語について、以下のように定義する。

(1)機密性
情報資産にアクセスすることを認可された者だけがアクセスできることを確実にすること。
(2)完全性
情報及び処理方法が正確で,かつ完全である状態を安全防護すること。
(3)可用性
認可された利用者が,必要なときに情報及び関連する資産にアクセスできることを確実にすること。
(4)脅威
情報資産に影響を与え,損失を発生させる直接の要因。不正アクセスによる情報の改竄や破壊,ウィルスによる感染事故,自然災害による情報インフラの停止や過失による情報の漏洩や破壊などがある。
(5)リスク
脅威が現実のものとなる可能性。情報資産のインフラ及びリソースの状態や,運用管理体制?手順に存在する脆弱性によって脅威が発現する。
(6)リスク分析
セキュリティリスクの識別?評価を行い,情報資産に対する脅威の存在と脆弱性によるリスクの顕在化の可能性と影響度を分析すること。
(7)脆弱性
情報資産が脅威にさらされる要因で,情報資産の置かれている環境や運用状況の不備?欠陥のこと。脆弱性それ自体は脅威ではないが,その脆弱性があることで脅威が発現することになる。
(8)セキュリティ問題(セキュリティインシデント)
情報セキュリティに関するトラブルや事故等の総称。情報セキュリティで保護すべき機密性,完全性及び可用性のいずれかに不都合が生じること。
(9)監視
情報セキュリティポリシーと情報セキュリティ管理基準が確実に運用されているかどうかの監視。情報セキュリティ管理基準に基づく運用管理報告のチェックを行う。
(10)監査
情報セキュリティポリシーと情報セキュリティ管理基準が確実に運用されているかどうかの内部監査。年1回以上実施する。
(11)サーバルーム
サーバルームは,重要度の高い情報資産が保存されているサーバを設置するための専用の部屋。室内の情報機器,情報システム,情報記録媒体およびデータを保護するための措置が施されていること。
(12)公開サーバ
学外に対して情報提供を行うことなどを目的として設置され,学外から直接アクセスされるサーバ。
(13)情報記録媒体
紙,フィルム,メモリ,磁気記録装置,FD,CD,MO,DVD,磁気テープ,その他情報を記録できる媒体。
(14)クリアデスク
一般的情報管理対策の一つで,重要な情報資産を職場に放置したり,情報の盗難や破壊?改竄などに遭わないよう,離席時や退出時には情報資産を所定の場所に保管すること。

5.セキュリティ体制

5.1 セキュリティ組織

(1)情報セキュリティ最高責任者(CISO)
情報セキュリティ最高責任者(CISO)は,本学全体の情報セキュリティについて責任を有し,本学の情報セキュリティマネジメントが有効に機能するように,総括的責任を持つ。
情報セキュリティ最高責任者(CISO)には,理事のうちの1名を充てるものとする。
(2)全学情報システムセキュリティ管理責任者
全学情報システムセキュリティ管理責任者は,総合情報コラボレーションセンター(以下「センター」という。))の情報セキュリティの管理責任を有し,センターにおいて,情報マネジメント委員会で決定した対策事項の実施及び推進を行う。また,セキュリティ情報の収集を行い,セキュリティ対策に反映するとともに,必要に応じて情報マネジメント委員会に報告する。
全学情報システムセキュリティ管理責任者には,総合情報コラボレーションセンター長を充てるものとする。
(3)部局情報セキュリティ管理責任者
部局情報セキュリティ管理責任者は,各部局の情報セキュリティの管理責任を有し,各部局において,情報マネジメント委員会で決定した対策事項の実施及び推進を行う。また,セキュリティ情報の収集を行い,セキュリティ対策に反映するとともに,必要に応じて情報マネジメント委員会に報告する。
部局情報セキュリティ管理責任者には,各部局の長を充てるものとする。
(4)全学プロジェクト情報セキュリティ管理責任者
全学プロジェクト情報セキュリティ管理責任者は,部局を超えた全学的な各プロジェクト等の情報セキュリティの管理責任を有し,各全学プロジェクト等において,情報マネジメント委員会で決定した対策事項の実施及び推進を行う。また,セキュリティ情報の収集を行い,セキュリティ対策に反映するとともに,必要に応じて情報マネジメント委員会に報告する。
全学プロジェクト情報セキュリティ管理責任者には,各全学プロジェクト等の代表者を充てるものとする。
(5) 全学情報システム管理責任者
全学情報システム管理責任者は,全学情報システム(総合情報コラボレーションセンターシステム(以下「センターシステム」という。)の管理?運用の責任を有し,全学情報システム(センターシステム)におけるセキュリティ対策事項の実施及び推進を行う。
全学情報システム管理責任者は,総合情報コラボレーションセンター長とする。
(6)部局情報システム管理責任者
部局情報システム管理責任者は,部局内の情報システムの管理?運用の責任を有し,部局情報システムにおけるセキュリティ対策事項の実施及び推進を行う。
部局情報システム管理責任者は,各部局において定めるものとする。
(7)全学プロジェクト情報システム管理責任者
全学プロジェクト情報システム管理責任者は,部局を超えた全学的なプロジェクト等のための情報システムの管理?運用の責任を有し,全学プロジェクト情報システムにおけるセキュリティ対策事項の実施及び推進を行う。
全学プロジェクト情報システム管理責任者は,全学プロジェクトにおいて定めるものとする。
(8)情報システム管理責任者
情報システム管理責任者は,個々の情報システムの管理?運用の責任を有し,その情報システムにおけるセキュリティ対策事項の実施及び推進を行う。
情報システム管理責任者は,管理部局において個々のシステムごとに定めるものとする。
(9)情報システム管理者
情報システム管理者は,個々の情報システムを管理?運用し,その情報システムにおけるセキュリティ対策を実施する。
情報システム管理者は,個々の情報システムごとに,その管理責任者が定めるものとする。

5.2 情報マネジメント委員会

 情報マネジメント委員会は,本学の情報セキュリティを維持する組織であり,全学的なマネジメント体制を整える委員会である。
 委員会の構成には,情報セキュリティ最高責任者(CISO),全学情報システムセキュリティ管理責任者,部局情報セキュリティ管理責任者及び全学プロジェクト情報セキュリティ管理責任者を含むものとする。
 情報マネジメント委員会に関する事項は,情報マネジメント委員会規程に従うものとする。

6.セキュリティ対策基準の構成

本学の情報セキュリティ対策基準は、以下の21項目について、利用者別に策定?管理する。

(1)パスワード
(2)ネットワークの利用
(3)電子メールの利用
(4)Webの利用
(5)PCの利用
(6)PC等/公開サーバのネットワーク接続
(7)ウイルス対策
(8)プライバシー情報の取り扱い
(9)セキュリティインシデントの報告?対応
(10)物理的セキュリティ
(11)媒体の取り扱い
(12)サーバの設置
(13)公開サーバの設置
(14)アカウントの管理
(15)リモートメンテナンス
(16)サーバルーム
(17)システムの維持
(18)システムの監視
(19)ソフトウェア/ハードウェアの購入及び導入
(20)委託時の契約
(21)職場環境

2005年12月20日制定
2006年12月21日改定
2008年 3月26日改定