学校法人長崎学院 情報セキュリティポリシー
令和3年10月1日制定
Ⅰ. 情報セキュリティ基本方針
(目的)
第1条 学校法人長崎学院(以下、「学院」という。)は学院の理念と使命を実現するため、学院で扱う情報及び情報システムを対象に情報セキュリティ対策を実施する。
(方針)
第2条 前条の目的を達するため、学院は情報セキュリティ対策基本規程(以下、「対策基本規程」という。)及びその他の規程等の定めるところにより、以下の対策を行う。
(1)情報セキュリティ対策の実施体制の整備
(2)情報及び情報システムの保護
(3)情報システムや情報サービスの管理?運用
(4)インシデントへの対処
(5)利用者への啓発?教育
(6)(1)~(5)を含む情報セキュリティマネジメントの実施
(義務)
第3条 学院の情報及び学院で扱う情報システムを利用する者、管理?運用の業務に携わる者は、本方針、対策基本規程及びその他の規程等を遵守しなければならない。
(罰則)
第4条 本方針に基づき定められる規程等に違反した場合の利用の制限および罰則は、学院が定める就業規則及び長崎外国語大学学則に則って行うほか、それぞれの規程に定めるところによる。
Ⅱ.情報セキュリティ対策基本規程
(目的)
第1条 本規程は、学校法人長崎学院(以下、「学院」という。)における情報及び情報システムの情報セキュリティ対策について基本的な事項を定め、もって学院の保有する情報の保護と活用及び情報セキュリティ水準の適切な維持向上を図ることを目的とする。
(適用対象者?範囲)
第2条 本規程において適用対象とする者は、学院の情報資産を利用する全ての者で、役員、教員(非常勤教員を含む)、職員(臨時職員、派遣職員等を含む)、研究員、共同研究者、学生(研修生、科目等履修生等を含む)、委託業者、来学者等とする。
2 本規程において適用対象とする情報は、以下とする。
(1)学院に所属する全ての者が職務上使用することを目的として学院が調達し、又は開発した情報処理若しくは通信の用に供するシステム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)
(2)その他の情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)であって、学院に所属する全ての者が職務上取り扱う情報
(3)第1号及び第2号のほか、学院が調達し、又は開発した情報システムの設計又は運用管理に関する情報
3 本規程において適用対象とする情報システムは、本規程の適用対象となる情報を取り扱う全ての情報システムとする。
(用語定義)
第3条 本規程において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。
(1)ポリシー
学院が定める「情報セキュリティ対策基本方針」及び本規程をいう。
(2)情報セキュリティ関連規定
ポリシーに基づいて策定される規程、基準及び計画を総称したものをいう。
(3)情報セキュリティ対策推進体制
学院の情報セキュリティ対策の推進に係る事務を遂行するため、学院に設置された体制をいう。
(4)部局
教学組織においては学部、事務組織においては各課室(センターを含む)をいう。
(5)要管理対策区域
学院の管理下にある区域(学院組織から借用している施設等における区域を含む。)であって、取り扱う情報を保護するために、施設及び執務環境に係る対策が必要な区域をいう。
(6)情報セキュリティインシデント
望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いものをいう。
(7)CSIRT(シーサート)
学院において発生した情報セキュリティインシデントに対処するため、学院に設置された体制をいう。ComputerSecurity Incident Response Team の略。
(8)実施手順
対策内容を個別の情報システムや業務において実施するため、あらかじめ定める必要のある具体的な手順をいう。
(9)情報システム
ハードウェア及びソフトウェアから成るシステムであって、情報処理又は通信の用に供するものをいい、特に断りのない限り、学院が調達又は開発するもの(管理を外部委託しているシステムを含む。)若しくは学院情報ネットワークに接続されるものをいう。
(10)機器等
情報システムの構成要素(サーバ装置、端末、通信回線装置、複合機、特定用途機器等、ソフトウェア等)、外部電磁的記録媒体等の総称をいう。
(11)記録媒体
情報が記録され、又は記載される有体物をいう。記録媒体には、文字、図形等人の知覚によって認識することができる情報が記載された紙その他の有体物(以下、「書面」という。)と、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、情報システムによる情報処理の用に供されるもの(以下、「電磁的記録」という。)に係る記録媒体(以下、「電磁的記録媒体」という。)がある。また、電磁的記録媒体には、サーバ装置、端末、通信回線装置等に内蔵される内蔵電磁的記録媒体と、USBメモリ、外付けハードディスクドライブ、DVD-R等の外部電磁的記録媒体がある。
(12)サーバ装置
情報システムの構成要素である機器のうち、通信回線等を経由して接続してきた端末等に対して、自らが保持しているサービスを提供するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、特に断りがない限り、学院が調達又は開発するものをいう。
(13)端末
情報システムの構成要素である機器のうち、利用者が情報処理を行うために直接操作するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、特に断りがない限り、学院が調達又は開発するものをいう。端末には、モバイル端末も含まれる。特に断りを入れた例としては、学院が調達又は開発するもの以外を指す「学院支給以外の端末」がある。また、学院が調達又は開発した端末と学院支給以外の端末の双方を合わせて「端末(支給外端末を含む)」という。
(14)通信回線
複数の情報システム又は機器等(学院が調達等を行うもの以外のものを含む。)の間で所定の方式に従って情報を送受信するための仕組みをいい、特に断りのない限り、学院の情報システムにおいて利用される通信回線を総称したものをいう。通信回線には、学院が直接管理していないものも含まれ、その種類(有線又は無線、物理回線又は仮想回線等)は問わない。
(15)モバイル端末
端末のうち、必要に応じて移動させて使用することを目的としたものをいい、端末の形態は問わない。
(16)外部委託
学院の情報処理業務の一部又は全部について、契約をもって外部の者に実施させることをいう。「委任」「準委任」「請負」といった契約形態を問わず、全て含むものとする。
(情報セキュリティの管理体制)
第4条 学院における情報基盤を整備し、情報資産の有効活用?セキュリティ確保を実現するための組織?体制を次のとおり定める。又、組織?体制図は別表1のとおりとする。
1 総括責任者
(1)学院における情報セキュリティに関する事務を統括する総括責任者を置く。
(2)総括責任者は、次に掲げる事務を統括すること。
① 情報セキュリティ対策推進のための組織?体制の整備
② 情報セキュリティ対策基準の決定、見直し
③ 対策推進計画の決定、見直し
④ 情報セキュリティインシデントに対処するために必要な指示その他の措置
⑤ 前各号に掲げるもののほか、情報セキュリティに関する重要事項
(3)総括責任者は、学院の情報基盤として供される学院情報システムのうち情報セキュリティが侵害された場合の影響が特に大きいと評価される情報システムを指定することができる。この指定された情報システムを「学院情報システム」という。
2 実施責任者
(1) 総括責任者を補佐する者として、実施責任者を置く。
(2) 実施責任者は、次の事務を統括すること。
① 要管理対策区域の決定並びに当該区域における施設及び環境に係る対策の決定
② 情報セキュリティ対策に関する実施手順の整備及び見直し並びに実施手順に関する事務の取りまとめ
③ 情報セキュリティ対策に係る教育実施計画の策定及び当該実施体制の整備
④ 情報セキュリティインシデントに対処するための緊急連絡窓口の整備等
⑤ 前各号に掲げるもののほか、情報セキュリティ対策に係る事務
3 部局責任者
(1)総括責任者は、業務の特性等から同質の情報セキュリティ対策の運用が可能な組織のまとまりごとに、情報セキュリティ対策に関する事務を統括する者として、部局責任者を置く。
(2)部局責任者は、管理を行う組織のまとまりにおける情報セキュリティ対策を推進するため、次の事務を統括すること。
① 情報セキュリティインシデントの原因調査、再発防止策等の実施
② 情報セキュリティに係る自己点検計画の策定及び実施手順の整備
③ 前各号に掲げるもののほか、管理を行う組織の情報セキュリティ対策に関する事務
4 情報セキュリティインシデント対応チーム責任者(以下、「CSIRT責任者」という。)
CSIRT責任者は、CSIRTの業務を統括するとともに、学内外の関係機関と、必要に応じて情報セキュリティインシデントに関する情報共有に関する活動の責任者を務め、総括責任者が指名する。
5 情報セキュリティ監査責任者
情報セキュリティに関する監査の事務を統括する者として、内部監査委員会に情報セキュリティ監査責任者を置く。
6 情報セキュリティアドバイザー
(1)総括責任者は、情報セキュリティについて専門的な知識及び経験を有する者を情報セキュリティアドバイザーとして置く。
(2)総括責任者は、以下を例とする情報セキュリティアドバイザーの業務内容を定める。
① 情報セキュリティ対策の推進に係る総括責任者への助言
② 情報セキュリティ関係規程の整備に係る助言
③ 対策推進計画の策定に係る助言
④ 教育実施計画の立案に係る助言並びに教材開発及び教育実施の支援
⑤ 情報システムに係る技術的事項に係る助言
⑥ 情報システムの設計?開発を外部委託により行う場合に調達仕様に含めて提示する情報セキュリティに係る要求仕様の策定に係る助言
⑦ 情報セキュリティインシデントへの対処の支援
⑧ 前各号に掲げるもののほか、情報セキュリティ対策への助言又は支援
(情報セキュリティ委員会)
第5条 総括責任者は、対策基準等の審議を行う機能を持つ組織として、情報セキュリティ対策推進体制及びその他業務を実施する部局の代表者を構成員とする情報セキュリティ委員会を置くこと。
2 委員会は、次の各号に掲げる委員をもって組織する。
(1)実施責任者(学長)
(2)部局責任者(学部長)
(3)部局責任者(事務長)
(4)CSIRT責任者(事務局長)
(5)ICT教育支援室長
(6)その他、実施責任者が必要と認める者
3 委員会には委員長を置き、前項第1号の委員をもってこれに充てる。
4 情報セキュリティ委員会は、次に掲げる事項を審議すること。
(1)情報セキュリティ対策実施基準
(2)対策推進計画
(3)前各号に掲げるもののほか、情報セキュリティに関し必要な事項
(管理運営部局)
第6条 ICT教育支援室を学院情報システムの管理運営部局とする。
(管理運営部局の事務)
第7条 管理運営部局は、以下の各号に定める事務を行う。
(1)実施責任者及び部局責任者の補佐
(2)利用者との相談、指導、交渉
(3)情報セキュリティ委員会の運営に関する事務
(4)講習計画、リスク管理及び非常時行動計画等の実施状況の取りまとめ
(5)学院の情報システムのセキュリティに関する連絡と通報
(情報セキュリティインシデントに備えた体制の整備)
第8条 総括責任者は、CSIRTを整備し、その役割を明確化する。
2 総括責任者は、教職員等のうちからCSIRTに属する職員として専門的な知識又は適性を有すると認められる者を選任する。そのうち、学院における情報セキュリティインシデントに対処するための責任者としてCSIRT責任者を置くこと。また、CSIRT 内の業務統括及び外部との連携等を行う教職員等を定めること
3 総括責任者は、情報セキュリティインシデントが発生した際、直ちに自らへの報告が行われる体制を整備すること。
4 総括責任者は、以下を含むCSIRTの役割を規定すること。
(1)学院に関わる情報セキュリティインシデント発生時の対処の一元管理
① 学院における情報セキュリティインシデント対処の管理
② 情報セキュリティインシデントの可能性の報告受付
③ 学院における情報セキュリティインシデントに関する情報の集約
④ 情報セキュリティインシデントの総括責任者等への報告
⑤ 情報セキュリティインシデントへの対処に関する指示系統の一本化
(2)情報セキュリティインシデントへの迅速かつ的確な対処
① 情報セキュリティインシデントであるかの評価
② 被害の拡大防止を図るための応急措置の指示又は勧告を含む情報セキュリティインシデントへの対処全般に関する指示、勧告又は助言
③ 文部科学省への連絡
④ 外部専門機関等からの情報セキュリティインシデントに係る情報の収集
⑤ 他の機関等への情報セキュリティインシデントに係る情報の共有
⑥ 情報セキュリティインシデントへの対処に係る専門的知見の提供、対処作業の実施
5 総括責任者は、実務担当者を含めた実効性のあるCSIRT体制を構築すること。
6 総括責任者は、情報セキュリティインシデントが発生した際に、情報セキュリティインシデント対処に関する知見を有する外部の専門家等による必要な支援を速やかに得られる体制を構築しておくこと。
7 総括責任者は、学院における情報セキュリティインシデント対処について、CSIRT、情報セキュリティインシデントの当事者部局及びその他関連部局の役割分担を規定すること。
(兼務を禁止する役割)
第9条 教職員等は、情報セキュリティ対策の運用において、以下の役割を兼務しないこと。
(1)承認又は許可(以下、「承認等」という。)の申請者と当該承認を行う者(以下、「承認権限者等」という。)
(2)監査を受ける者とその監査を実施する者
(対策基準の策定)
第10条 総括責任者は、情報セキュリティ委員会における審議を経て、サイバーセキュリティ戦略本部決定「政府機関等の情報セキュリティ対策のための統一基準」に準拠した対策基準を定めること。また、対策基準は、学院の業務、取り扱う情報及び保有する情報システムに関するリスク評価の結果を踏まえた上で定めること。
(改廃)
第11条 この規程の改廃は、理事会の議を経て理事長が行う。
附 則
1 この規定は、2021(令和3年)10月1日から施行する。
2 この規程及び学校法人長崎学院情報セキュリティ対策基本規程の制定により、学校法人長崎学院情報セキュリティーポリシーは廃止する。
お問合せ?情報セキュリティインシデント発生時の連絡先
メールアドレス:media@tc.nagasaki-gaigo.ac.jp
TEL:095-84-2006(ICT教育支援室)