情報セキュリティポリシー
政策研究大学院大学情報セキュリティポリシー
平成24年7月25日
学 長 決 定
改正 令和元年9月3日
Ⅰ.情報セキュリティ基本方針
1.目的
高度情報化社会において、情報資産は国立大学法人政策研究大学院大学(以下「本学」という。)にとって最も重要な資産の一つである。情報資産が守られなければ、本学の学術研究・教育活動の停滞や、本学に対する社会的信頼の喪失が生じる可能性がある。したがって、役員及び教職員、学生が、不断の努力をもって、情報資産を適切かつ厳密に管理運用するため、本学情報セキュリティポリシー(以下「ポリシー」という。)を定め、情報セキュリティの重要性への理解を促進するものである。
2.運用の基本方針
上記1の目的を達するため、本学情報システムは、円滑で効果的な情報流通を図るために、以下に定める情報システム運用基本規程により、優れた秩序と安全性をもって安定的かつ効率的に運用され、全学に供用される。
3.利用者の義務
本学情報システムを利用する者や運用の業務に携わる者は、ポリシーに沿って利用し、別に定める運用と利用に関する実施規程等(以下、「ポリシーに基づく規程等」という。)を遵守しなければならない。
4.罰則
ポリシーに基づく規程等に違反した場合の利用の制限及び罰則は、それぞれの規程に定めることができる。
Ⅱ.情報システム運用基本規程
1.目的
本規程は、本学における情報システムの運用及び管理について必要な事項を定め、もって本学の情報の保護と活用及び適切な情報セキュリティ対策を図ることを目的とする。
2.適用範囲
本規程は、本学情報システムを運用・管理するすべての者、並びに利用者及び臨時利用者に適用する。
3.定義
本規程において、次の各号に掲げる用語は、以下に定めるところによる。
(1)情報システム
情報処理及び情報ネットワークに係わるシステムで、次のものをいい、本学情報ネットワークに接続する機器を含む。
① 本学により、所有又は管理されているもの
② 本学との契約等に従って提供されるもの
(2)情報
情報とは、上記「(1)情報システム」に定めるもののうち、以下のものをいう。
① 情報システム内部に記録された情報
② 情報システム外部の電磁的記録媒体に記録された情報
③ 情報システムに関係がある書面に記載された情報(仕様、設計、運用、管理、操作方法などの資料等)
(3)情報資産
情報システム並びに情報システム内部に記録された情報、情報システム外部の電磁的記録媒体に記録された情報及び情報シス
テムに関係がある書面に記載された情報をいう。
(4)事務情報
事務情報とは情報のうち次のものをいう。
①「政策研究大学院大学法人文書管理規程」の対象となる法人文書
② ①以外の法人文書で、大学運営局長が指定した文書
(5)事務情報システム
事務情報を扱う情報システムをいう。
(6)ポリシー
本学が定める「情報システム運用基本方針」及び「情報システム運用基本規程」をいう。
(7)実施規程
ポリシーに基づいて策定される規程及び、基準、計画をいう。
(8)手順
実施規程に基づいて策定される具体的な手順やマニュアル、ガイドラインを指す。
(9)利用者
教職員等及び学生等で、本学情報システムを利用する許可を受けて利用する者をいう。
(10)臨時利用者
教職員等及び学生等以外の者で、本学情報システムを臨時に許可を受けて利用する者をいう。
(11)情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
(12)電磁的記録
電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、コンピュータによ
る情報処理の用に供されるものをいう。
・電磁的記録として扱われる記録方式を用いる媒体の例:
メモリ、ハードディスク、CD、DVD、光磁気(MO)ディスク、磁気テープ、磁気カード、IC カード、二次元バーコード
(QR コード等)
・電磁的記録ではないものの例:
人の知覚による認識を目的としたコンピュータからの印刷出力、入力用に記入する伝票、フォーム等の帳票類、マイクロ
フィルム
(13)情報セキュリティインシデント
情報セキュリティに関し、意図的または偶発的に生じる、本学規程または法律に反する事故あるいは事件をいう。
(14)CSIRT(シーサート)
本学において発生した情報セキュリティインシデントに対処するため、本学に設置する体制をいう。Computer Security
Incident Response Teamの略。
(15)明示等
情報を取り扱うすべての者が当該情報の格付けについて共通の認識となるように措置することをいう。明示等には、情報ご
とに格付を記載することによる明示のほか、当該情報の格付に係る認識が共通となるその他の措置も含まれる。その他の措
置の例としては、特定の情報システムに記録される情報について、その格付を情報システムの規程等に明記
するとともに、当該情報システムを利用する全ての者に周知すること等が挙げられる。
4.情報セキュリティ総括責任者
(1)本学情報システムの運用に責任を持つ者として、本学に情報セキュリティ総括責任者(CISO)を置き、副学長(総務担当)
をもって充てる。
(2)情報セキュリティ総括責任者は、ポリシー及びそれに基づく規程に関することや情報システム上での各種問題に対する処置
を行う。
(3)情報セキュリティ総括責任者は、全学の情報基盤として供される本学情報システムのうち情報セキュリティが侵害された場
合の影響が特に大きいと評価される情報システムを指定することができる。
(4)情報セキュリティ総括責任者は、全学向け教育及び組織マネジメント課担当者向け教育を総括する。
(5)情報セキュリティ総括責任者に事故があるときは、情報セキュリティ総括責任者があらかじめ指名する者が、その職務を代
行する。
(6)情報セキュリティ総括責任者は、必要に応じて、情報セキュリティに関する専門的な知識及び経験を有した専門家を情報セ
キュリティアドバイザーとして置くことができる。
5.情報システム運用委員会
(1)本学情報システムの円滑な運用のための決定機関として、情報システム運用委員会を置く。
(2)情報システム運用委員会は以下に掲げる事項を担当する。
① ポリシー及び全学向け教育の実施ガイドラインの改廃に関すること。
② 情報システムの運用と利用及び教育に係る規程及び手順の制定及び改廃に関すること。
③ 情報システムの運用と利用に関する教育の年度講習計画に関すること。
④ 情報システム運用リスク管理規程の制定及び改廃、並びにその実施状況の把握に関すること。
⑤ 情報セキュリティ監査規程の制定及び改廃、並びにその実施に関すること。
⑥ 情報システム非常時行動計画の制定及び改廃、並びにその実施に関すること。
⑦ 情報セキュリティインシデントの再発防止策の検討及び実施に関すること。
(3)情報システム運用委員会は、CSIRTからの報告等に関し、必要に応じて役員や教職員に情報共有を行い、本学情報システム
に重要な影響を与えるものについては、研究教育評議会等へ議案の提出や報告を行うものとする。
6.情報システム運用委員会の構成員
情報システム運用委員会は、委員長及び次に掲げる委員をもって組織する。
① 情報セキュリティ実施責任者
② 情報セキュリティ運用責任者
③ その他情報セキュリティ総括責任者が必要と認める者
7.情報システム運用委員会の委員長
(1)情報システム運用委員会の委員長は、情報セキュリティ総括責任者をもって充てる。
(2)委員長は、会務を総理する。
8.情報セキュリティ実施責任者
(1)本学に情報セキュリティ実施責任者を置き、大学運営局長をもって充てる。
(2)情報セキュリティ実施責任者は、情報セキュリティ総括責任者の指示により、本学情報システムの整備と運用に関し、ポリ
シー及びそれに基づく規程並びに手順等の実施を行う。
(3)情報セキュリティ実施責任者は、情報システムの運用に携わる者及び利用者に対する教育の実施に関し総括するものとす
る。
(4)情報セキュリティ実施責任者は、本学情報システムのセキュリティに関する連絡と通報において本学を代表する。
9.情報セキュリティ監査責任者
(1)本学に情報セキュリティ監査責任者を置き、監査室長をもって充てる。
(2)情報セキュリティ監査責任者は、学長の指示に基づき、監査に関する事務を総括する。
10.情報システム運用委員会管理運営組織
情報システム運用委員会の円滑な業務の推進のため、情報システム運用委員会管理運営組織(以下「管理運営組織」という。)
を設けるものとし、組織マネジメント課をもって充てる。
11.管理運営組織が行う事務
管理運営組織は、情報セキュリティ実施責任者の指示により、以下の各号に定める事務を行う。
(1)情報システム運用委員会の運営に関する事務
(2)本学情報システムの運用と利用におけるポリシーの実施状況の取りまとめ
(3)講習計画、リスク管理及び非常時行動計画等の実施状況の取りまとめ
(4)本学の情報システムのセキュリティに関する連絡と通報
12.情報セキュリティ運用責任者
(1)本学に情報セキュリティ運用責任者を置き、組織マネジメント課長をもって充てる。
(2)情報セキュリティ運用責任者は、本学における運用方針の決定や情報システム上での各種問題に対する処置を担当する。
(3)情報セキュリティ運用責任者は、情報システムの構成の決定や技術的問題に対する処置を担当する。
(4)情報セキュリティ運用責任者は、組織マネジメント課担当者に対して、ポリシー及びそれに基づく規程並びに手順等の遵守
を確実にするための教育を実施する。
13.情報セキュリティアドバイザーの設置
(1)情報セキュリティ総括責任者は、情報セキュリティについて専門的な知識及び経験を有する者を情報セキュリティアドバイ
ザーとして置くことができる。
(2)情報セキュリティ総括責任者は、以下を例とする情報セキュリティアドバイザーの業務内容を定める。
① 本学全体の情報セキュリティ対策の推進に係る情報セキュリティ総括責任者への助言
② 情報セキュリティ関係規程の整備に係る助言
③ 対策推進計画の策定に係る助言
④ 教育実施計画の立案に係る助言並びに教材開発及び教育実施の支援
⑤ 情報システムに係る技術的事項に係る助言
⑥ 情報システムの設計・開発を外部委託により行う場合に調達仕様に含めて提示する情報セキュリティに係る要求仕様の策
定に係る助言
⑦ 利用者に対する日常的な相談対応
⑧ 情報セキュリティインシデントへの対処の支援
⑨ 前各号に掲げるもののほか、情報セキュリティ対策への助言又は支援
14.情報セキュリティインシデントに備えた体制の整備
(1)情報セキュリティ総括責任者は、情報セキュリティインシデントの発生時に迅速かつ円滑な対応を図るため、CSIRTを設置
し、その役割を明確化する。
(2)情報セキュリティ総括責任者は、教職員等のうちからCSIRTに属する職員として専門的な知識又は適性を有すると認められ
る者を選任する。そのうち、本学における情報セキュリティインシデントに対処するための責任者としてCSIRT責任者を置
く。
(3)情報セキュリティ総括責任者は、情報セキュリティインシデントが発生した際、直ちに自らへの報告が行われる体制を整備
する。
15.CSIRTの役割
情報セキュリティ総括責任者は、以下を含むCSIRTの役割については別に定める。
(1)報告窓口からの情報セキュリティインシデントの報告の受付
(2)情報セキュリティインシデントの情報セキュリティ総括責任者等への報告
(3)対外的な連絡
(4)被害の拡大防止を図るための応急措置の指示又は勧告
16.役割の分離
(1)情報セキュリティ対策の運用において、以下の役割を同じ者が兼務してはならない。
① 承認又は許可事案の申請者とその承認又は許可を行う者(以下「承認権限者等」という。)
② 監査を受ける者とその監査を実施する者
(2)前項の定めに係わらず、教職員等は、承認権限者等が有する職務上の権限等から、当該承認権限者等が承認又は許可(以下
「承認等」という。)の可否の判断を行うことが不適切と認められる場合には、当該承認権限者等の上司に承認等の申請を行
うものとする。この場合において、当該承認権限者等の上司の承認等を得たときは、当該承認権限者等の承認等を得ること
を要しない。
(3)教職員等は、前項の場合において承認等を与えたときは、承認権限者等に係る遵守事項に準じて、措置を講ずるものとす
る。
17.情報の格付け
情報システム運用委員会は、情報システムで取り扱う情報について、電磁的記録については機密性、完全性及び可用性の観点から、書面については機密性の観点から当該情報の格付け及び取扱制限の指定並びに明示等の規程を整備するものとする。
18.本学外の情報セキュリティ水準の低下を招く行為の防止
(1)情報セキュリティ実施責任者は、本学外の情報セキュリティ水準の低下を招く行為の防止に関する措置についての規定を整
備する。
(2)本学情報システムを運用・管理する者、並びに利用者及び臨時利用者は、本学外の情報セキュリティ水準の低下を招く行為
の防止に関する措置を講ずる。
19.情報システム運用の外部委託管理
情報セキュリティ総括責任者は、本学情報システムの運用業務のすべてまたはその一部を第三者に委託する場合には、当該第三者による情報セキュリティの確保が徹底されるよう必要な措置を講じるものとする。
20.情報セキュリティ監査
情報セキュリティ監査責任者は、情報システムのセキュリティ対策がポリシーに基づく手順に従って実施されていることを監査する。情報セキュリティ監査に際しては、別途定める情報セキュリティ監査規程に従う。
21.見直し
ポリシー、実施規程及び手順を整備した者は、各規定の見直しを行う必要性の有無を適時検討し、必要があると認めた場合には情報システム運用委員会に報告を行うものとする。
附 則
このセキュリティポリシーは、平成24年3月27日より実施する。
附 則
このセキュリティポリシーは、平成24年7月25日より実施する。
附 則
このセキュリティポリシーは、令和元年10月1日より実施する。
