セキュリティポリシー
平成28年1月14日制定
Ⅰ. 情報セキュリティの基本方針
1. 目的
高度情報社会の中で学校法人杉野学園(以下、「学園」という。)が教育・研究活動及び業務を安全に遂行するためには、情報の有効活用に加え、学園の情報資産のセキュリティを確保することが不可欠である。
学園の全構成員が、情報セキュリティの重要性を認識し、情報資産の円滑な運用と保護に取り組むため、情報セキュリティポリシー(以下、「ポリシー」という。)を定める。
ポリシーによって目指すものは次のとおりである
学園の全構成員が、情報セキュリティの重要性を認識し、情報資産の円滑な運用と保護に取り組むため、情報セキュリティポリシー(以下、「ポリシー」という。)を定める。
ポリシーによって目指すものは次のとおりである
- 学園の情報セキュリティに対する侵害の阻止
- 学内外の情報セキュリティを侵害する行為の抑止
- 情報資産の分類と管理
- その他情報セキュリティの確立に必要な事項
2. 構成
ポリシーは、Ⅰ. 情報セキュリティ基本方針及びⅡ. 情報セキュリティ対策基準から構成される。
3. 適用範囲ならびに対象者
学園におけるポリシーが適用される範囲は、学園の管理する機器、情報ネットワーク、一時的に情報ネットワークに接続された機器、及び情報資産である。ポリシーの対象者は学園の情報資産を利用するすべての者とする。
4. 用語の定義
情報資産
学園が所有又は管理する情報システム、その情報システムの内部に記録されている情報、及びその情報システムにより生成し、外部の記録媒体に記録された情報をいう。
情報システム
情報処理及び情報ネットワークに関わるシステムをいう。
情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
機密性
機密性とは、アクセスを認可された者だけが情報にアクセスできることを確実にすることをいう。
完全性
完全性とは、情報及び処理方法が、正確であること及び完全であることを保護することをいう。
可用性
可用性とは、認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすることをいう。
学園が所有又は管理する情報システム、その情報システムの内部に記録されている情報、及びその情報システムにより生成し、外部の記録媒体に記録された情報をいう。
情報システム
情報処理及び情報ネットワークに関わるシステムをいう。
情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
機密性
機密性とは、アクセスを認可された者だけが情報にアクセスできることを確実にすることをいう。
完全性
完全性とは、情報及び処理方法が、正確であること及び完全であることを保護することをいう。
可用性
可用性とは、認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすることをいう。
Ⅱ. 情報セキュリティ対策基準
1. 組織・体制
学園における最高情報セキュリティ責任者は理事長とし、最高情報セキュリティ責任者の指名する者をもって情報システム管理者とする。最高情報セキュリティ責任者は、情報セキュリティに関する総括的な意思決定を行い、学内外に対する責任を負うものとする。情報システム管理者は、情報システム管理の実施、及び緊急時の対応等にあたる。
2. 情報の分類と安全対策
学園の情報システム内に保存された情報は、情報システム課が管理する。
2‐1 分類
2‐1 分類
- 非公開情報
許可された者以外が学園の情報システムに非公開情報を保管しない。 - 限定公開情報
情報の登録及び閲覧は、許可された者が許可された操作だけを行えるように、認証及びアクセス制御機能を設ける。 - 公開情報
公開情報は任意の場所からアクセス可能な性質を持つため、情報の改ざんや偽情報の流布に対して、個人情報の漏えい、プライバシーや著作権の侵害に十分注意をする。
- アクセス制限
情報の内容に応じて、それにアクセスが許される利用者を定める。 - 情報の安全性
公開情報は改ざんへの対策を講じなければならないが、公開情報の複製・加筆による偽情報の作成及び流布を防止するため、原本性の維持に努める。 - 情報の破棄
公開・非公開を問わず、情報機器及び記憶媒体を破棄する場合は、その処分方法に十分に注意する。
3. 情報システムの管理
3‐1 クライアント機器及びネットワーク接続
学内にクライアント機器を設置する場合、管理の行き届いた区域に設置する。また、クライアント機器をネットワークへ接続し、学園の情報システムを使用する場合は、その通信の安全性に十分な配慮をする。
3‐2 サーバー機器
サーバー機器の設置場所として、管理の行き届いた区域を設ける。これに伴いシステム管理者は、セキュリティの保持に十分な配慮をする。たとえば、管理区域への出入り、データのバックアップ、ログ記録、アクセス監視、防災等全般にわたった対策を講じる。
3‐3 ネットワーク機器
重要と思われるネットワーク機器は、その設置を限られたシステム管理者以外に公開しない。また、その設置場所への出入りには十分な配慮をする。
学内にクライアント機器を設置する場合、管理の行き届いた区域に設置する。また、クライアント機器をネットワークへ接続し、学園の情報システムを使用する場合は、その通信の安全性に十分な配慮をする。
3‐2 サーバー機器
サーバー機器の設置場所として、管理の行き届いた区域を設ける。これに伴いシステム管理者は、セキュリティの保持に十分な配慮をする。たとえば、管理区域への出入り、データのバックアップ、ログ記録、アクセス監視、防災等全般にわたった対策を講じる。
3‐3 ネットワーク機器
重要と思われるネットワーク機器は、その設置を限られたシステム管理者以外に公開しない。また、その設置場所への出入りには十分な配慮をする。
4. 情報システムの運用
4‐1 パスワード管理
自己のパスワードは秘密としなければならない。また、十分なセキュリティを維持できるように、自己のパスワードの設定及び変更に配慮をする。
4‐2 システム管理
システムの利用は、利用資格を有する者以外に利用者IDを発行しない。また、利用資格を失った利用者IDは、直ちに削除する。
4‐3 不正アクセス等への対応
情報システム管理者は、外部または内部からの不正アクセスを検出した場合、速やかに対応をする。不正アクセスが継続する場合には、当該情報機器またはそれを接続するネットワークに対し、関連する通信の遮断又は該当する情報機器の切り離しを実施する。
自己のパスワードは秘密としなければならない。また、十分なセキュリティを維持できるように、自己のパスワードの設定及び変更に配慮をする。
4‐2 システム管理
システムの利用は、利用資格を有する者以外に利用者IDを発行しない。また、利用資格を失った利用者IDは、直ちに削除する。
4‐3 不正アクセス等への対応
情報システム管理者は、外部または内部からの不正アクセスを検出した場合、速やかに対応をする。不正アクセスが継続する場合には、当該情報機器またはそれを接続するネットワークに対し、関連する通信の遮断又は該当する情報機器の切り離しを実施する。
5. 情報セキュリティの評価及び見直し
情報システムの変更や新たな脅威など情報セキュリティに関する状況の変化に対応して有効性を維持するため、定期的または必要に応じて、ポリシーに定める事項の見直しを実施する。