情報セキュリティポリシー

政策研究大学院大学情報セキュリティポリシー

 

 

平成24年7月25日

学  長  裁  定

 

Ⅰ.情報セキュリティ基本方針

1.目的

 高度情報化社会において、情報資産は国立大学法人政策研究大学院大学(以下「本学」という。)にとって最も重要な資産の一つである。情報資産が守られなければ、本学の学術研究・教育活動の停滞や、本学に対する社会的信頼の喪失が生じる可能性がある。したがって、役員及び教職員、学生が、不断の努力をもって、情報資産を適切かつ厳密に管理運用するため、本学情報セキュリティポリシー(以下「ポリシー」という。)を定め、情報セキュリティの重要性への理解を促進するものである。

2.運用の基本方針

 上記1の目的を達するため、本学情報システムは、円滑で効果的な情報流通を図るために、以下に定める情報システム運用基本規則により、優れた秩序と安全性をもって安定的かつ効率的に運用され、全学に供用される。

3.利用者の義務

 本学情報システムを利用する者や運用の業務に携わる者は、ポリシーに沿って利用し、別に定める運用と利用に関する実施規程等(以下、「ポリシーに基づく規程等」という。)を遵守しなければならない。

4.罰則

 ポリシーに基づく規程等に違反した場合の利用の制限及び罰則は、それぞれの規程に定めることができる。

 

Ⅱ.情報システム運用基本規則

1.目的

 本規則は、本学における情報システムの運用及び管理について必要な事項を定め、もって本学の情報の保護と活用及び適切な情報セキュリティ対策を図ることを目的とする。

2.適用範囲

 本規則は、本学情報システムを運用・管理するすべての者、並びに利用者及び臨時利用者に適用する。

3.定義

 本規則において、次の各号に掲げる用語は、以下に定めるところによる。

 1 情報システム

  情報処理及び情報ネットワークに係わるシステムで、次のものをいい、本学情報ネットワークに接続する機器を 含む。

 (1) 本学により、所有又は管理されているもの

 (2) 本学との契約等に従って提供されるもの

 2 情報

  情報とは、上記「1 情報システム」に定めるもののうち、以下のものをいう。

 (1) 情報システム内部に記録された情報

 (2) 情報システム外部の電磁的記録媒体に記録された情報

 (3) 情報システムに関係がある書面に記載された情報(仕様、設計、運用、管理、操作方法などの資料等)

 3 情報資産

  情報システム並びに情報システム内部に記録された情報、情報システム外部の電磁的記録媒体に記録された情報 及び情報システムに関係がある書面に記載された情報をいう。

 4 事務情報システム

  事務情報を扱う情報システムをいう。

 5 ポリシー

  本学が定める「情報システム運用基本方針」及び「情報システム運用基本規則」をいう。

 6 実施規程

  ポリシーに基づいて策定される規程及び、基準、計画をいう。

 7 手順

  実施規程に基づいて策定される具体的な手順やマニュアル、ガイドラインを指す。

 8 利用者

  教職員等及び学生等で、本学情報システムを利用する許可を受けて利用する者をいう。

 9 臨時利用者

  教職員等及び学生等以外の者で、本学情報システムを臨時に許可を受けて利用する者をいう。

 10 情報セキュリティ

  情報資産の機密性、完全性及び可用性を維持することをいう。

 11 電磁的記録

  電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、コン ピュータによる情報処理の用に供されるものをいう。

 ・電磁的記録として扱われる記録方式を用いる媒体の例:

 メモリ、ハードディスク、CD、DVD、光磁気(MO)ディスク、磁気テープ、磁気カード、IC カード、二次元バー コード(QR コード等)

 ・電磁的記録ではないものの例:

 人の知覚による認識を目的としたコンピュータからの印刷出力、入力用に記入する伝票、フォーム等の帳票類、マ イクロフィルム

 12 インシデント

  情報セキュリティに関し、意図的または偶発的に生じる、本学規程または法律に反する事故あるいは事件をい  う。

 13 明示等

  情報を取り扱うすべての者が当該情報の格付けについて共通の認識となるように措置することをいう。

4.情報セキュリティ総括責任者

 1 本学情報システムの運用に責任を持つ者として、本学に情報セキュリティ総括責任者を置き、学長がこれを任 命する。

 2 情報セキュリティ総括責任者は、ポリシー及びそれに基づく規程に関することや情報システム上での各種問題 に対する処置を行う。

 3 情報セキュリティ総括責任者は、全学の情報基盤として供される本学情報システムのうち情報セキュリティが 侵害された場合の影響が特に大きいと評価される情報システムを指定することができる。

 4 情報セキュリティ総括責任者は、全学向け教育及び情報セキュリティ運用担当者向け教育を総括する。

 5 情報セキュリティ総括責任者に事故があるときは、情報セキュリティ総括責任者があらかじめ指名する者が、 その職務を代行する。

 6 情報セキュリティ総括責任者は、必要に応じて、情報セキュリティに関する専門的な知識及び経験を有した専 門家を情報セキュリティアドバイザーとして置くことができる。

5.情報システム運用委員会

 1 本学情報システムの円滑な運用のための決定機関として、情報システム運用委員会を置く。

 2 情報システム運用委員会は以下に掲げる事項を担当する。

 (1) ポリシー及び全学向け教育の実施ガイドラインに関すること。

 (2) 情報システムの運用と利用及び教育に係る規程に関すること。

 (3) 情報システムの運用と利用に関する教育の年度講習計画に関すること。

 (4) 情報システム運用リスク管理規程に関すること。

 (5) 情報セキュリティ監査規程に関すること。

 (6) 情報システム非常時行動計画に関すること。

 (7) インシデントの再発防止策に関すること。

 3 情報システム運用委員会での決定事項に関し、本学情報システムに重要な影響を与えるものについては、必要 に応じて研究教育評議会等へ議案の提出や報告を行うものとする。

 4 情報システム運用委員会の円滑な業務の推進のため、管理運営組織を設けるものとし、組織マネジメント課を もって充てる。

6.情報システム運用委員会の構成員

 1 情報システム運用委員会は、委員長及び次に掲げる委員をもって組織する。

 (1) 情報セキュリティ実施責任者

 (2) 情報セキュリティ運用責任者

 (3) その他情報セキュリティ総括責任者が必要と認める者

7.情報システム運用委員会の委員長

 1 情報システム運用委員会の委員長は、情報セキュリティ総括責任者をもって充てる。

 2 委員長は、会務を総理する。

8.情報セキュリティ実施責任者

 1 本学に情報セキュリティ実施責任者を置き、学長がこれを任命する。

 2 情報セキュリティ実施責任者は、情報セキュリティ総括責任者の指示により、本学情報システムの整備と運用 に関し、ポリシー及びそれに基づく規程並びに手順等の実施を行う。

 3 情報セキュリティ実施責任者は、情報システムの運用に携わる者及び利用者に対する教育の実施に関し総括す るものとする。

 4 情報セキュリティ実施責任者は、本学情報システムのセキュリティに関する連絡と通報において本学を代表す る。

9.情報セキュリティ監査責任者

 1 本学に情報セキュリティ監査責任者を置き、学長がこれを任命する。

 2 情報セキュリティ監査責任者は、学長の指示に基づき、監査に関する事務を総括する。

10.情報セキュリティ運用責任者

 1 本学に情報セキュリティ運用責任者を置き、情報セキュリティ実施責任者がこれを任命する。

 2 情報セキュリティ運用責任者は、本学における運用方針の決定や情報システム上での各種問題に対する処置を 担当する。

 3 情報セキュリティ運用責任者は、情報システムの構成の決定や技術的問題に対する処置を担当する。

 4 情報セキュリティ運用責任者は、情報セキュリティ運用担当者に対して、ポリシー及びそれに基づく規程並び に手順等の遵守を確実にするための教育を実施する。

11.情報システム運用チーム

 1 情報システム運用委員会の下部組織として情報システム運用チームを置く。

 2  情報システム運用チームは以下に掲げる事項を実施する。

 (1) ポリシーの遵守状況の調査と周知徹底

 (2) リスク管理及び非常時行動計画の策定及び実施

 (3) インシデントの再発防止策の策定及び実施

 (4) 利用者向け教育の計画と企画

 (5) その他、情報セキュリティ実施責任者が必要と認める事項

12.情報システム運用チームの構成員

 1 情報システム運用チームは、チームリーダ及び次に掲げる者を構成員として組織する。

 (1) 情報セキュリティ運用担当者

 (2) その他情報セキュリティ運用責任者が必要と認める者

13.情報システム運用チームのチームリーダ

 1 情報システム運用チームのチームリーダは、情報セキュリティ運用責任者をもって充てる。

14.情報セキュリティ運用担当者

 1 情報セキュリティ運用責任者は、本学情報システムの管理業務を円滑にすすめるため、情報セキュリティ運用 担当者を置き、情報セキュリティ実施責任者がこれを任命する。

 2 情報セキュリティ運用担当者は、情報セキュリティ運用責任者の指示により、本学情報システムの運用の技術 的実務を担当し、利用者への教育を補佐する。

15.役割の分離

 1 情報セキュリティ対策の運用において、以下の役割を同じ者が兼務してはならない。

 (1) 承認又は許可事案の申請者とその承認又は許可を行う者(以下「承認権限者等」という。)

 (2) 監査を受ける者とその監査を実施する者

 2 前項の定めに係わらず、教職員等は、承認権限者等が有する職務上の権限等から、当該承認権限者等が承認又 は許可(以下「承認等」という。)の可否の判断を行うことが不適切と認められる場合には、当該承認権限者等の 上司に承認等の申請を行うものとする。この場合において、当該承認権限者等の上司の承認等を得たときは、当該 承認権限者等の承認等を得ることを要しない。

3 教職員等は、前項の場合において承認等を与えたときは、承認権限者等に係る遵守事項に準じて、措置を講ずるものとする。

16.情報の格付け

 1 情報システム運用委員会は、情報システムで取り扱う情報について、電磁的記録については機密性、完全性及 び可用性の観点から、書面については機密性の観点から当該情報の格付け及び取扱制限の指定並びに明示等の規程 を整備するものとする。

17.本学外の情報セキュリティ水準の低下を招く行為の防止

 1 情報セキュリティ実施責任者は、本学外の情報セキュリティ水準の低下を招く行為の防止に関する措置につい ての規定を整備する。

 2 本学情報システムを運用・管理する者、並びに利用者及び臨時利用者は、本学外の情報セキュリティ水準の低 下を招く行為の防止に関する措置を講ずる。

18.情報システム運用の外部委託管理

 1 情報セキュリティ総括責任者は、本学情報システムの運用業務のすべてまたはその一部を第三者に委託する場 合には、当該第三者による情報セキュリティの確保が徹底されるよう必要な措置を講じるものとする。

19.情報セキュリティ監査

 1 情報セキュリティ監査責任者は、情報システムのセキュリティ対策がポリシーに基づく手順に従って実施され ていることを監査する。情報セキュリティ監査に際しては、別途定める情報セキュリティ監査規程に従う。

20.見直し

 1 ポリシー、実施規程及び手順については、情報システム運用チームにおいて見直しの必要性を適時検討し、必要 があると認めた場合には情報システム運用委員会に報告を行うものとする。

 

   附 則 

このセキュリティポリシーは、平成24年3月27日より実施する。

   附 則 

このセキュリティポリシーは、平成24年7月25日より実施する。

〒106-8677 東京都港区六本木7-22-1

TEL : 03-6439-6000     FAX : 03-6439-6010

PAGE TOP

Print Out