情報セキュリティポリシー

ポリシー(基本方針(全文))、対策基準(あらまし)、関連規則

本学では、情報セキュリティポリシーとして基本方針、対策基準、実施手順及び関連規則を定め、学術研究、教育及び医療活動並びにこれらの活動を支援する事務・運営業務を行っています。

基本方針

1.趣旨

高度情報化社会の進展に伴い、広島大学(以下「本学」という。)における学術研究、教育及び医療活動並びにこれらの活動を支援する事務・運営業務においては、データベース化、ネットワーク化に伴う情報通信技術への依存が高まっている。他方、その利便性と相反するコンピュータウィルス、不正アクセス、データの改ざん及び破壊などによる被害が増大するとともに、意図的な行為はもちろんのこと、また、知識の不足によって、本学が加害者となり得る状況となっている。このため、本学における情報セキュリティ対策として全学的に統一した基準を策定し、本学の情報資産の安全性及び信頼性を確保するとともに、社会的信用の失墜を予防することが重要な課題となっている。

本学は、これらの情報セキュリティ対策を実効性のあるものとするため、広島大学情報セキュリティ ポリシー(以下「ポリシー」という。)を策定する。本学の全てのポリシー適用対象者が技術的な対策のみならず、危機管理という側面からも全学的に組織的な取り組みが必要であることを認識し、各々の立場でこのポリシーを遵守しなければならない。

なお、ポリシーの策定及び実施にあたっては、本学の教育・研究活動における学問及び表現の自由並びに通信の秘密を尊重しなければならない。

2.目的

 本学は、次に定める事項を継続的に組織として取り組むため、このポリシーを策定する。

  1. 不正アクセス、改ざん、破壊及び漏えい等から本学の情報資産を守り、情報セキュリティを確保すること。
  2. 学内外の情報セキュリティを損ねる加害行為を防止し、本学の社会的信頼を保つこと。
  3. 情報倫理に関する教育及び情報セキュリティに関する情報取得を支援すること。

3.構成及び取扱い

  1. このポリシーは,「基本方針」及び「対策基準」から構成される。
  2. 「基本方針」とは、本学の情報セキュリティ対策に対する根本的な考え方を表すものをいう。
  3. 「対策基準」とは、「基本方針」に定められた情報セキュリティを確保するために遵守すべき行為及び判断等の基準をいう。
  4. ポリシーには含まれないが、「対策基準」に定められた内容を具体的に情報システムにおいて、どのような手順に従って実行していくのかを示したものを「実施手順」という。
  5. 「実施手順」は、「全学共通編」と「部局編」から構成される。「部局編」は、研究科、附置研究所、病院、図書館、教育本部、全国共同利用施設、中国・四国地区国立共同利用施設、学内共同教育研究施設、附属学校、学長室、大学経営企画室、グローバル化推進室、監査室、理事室、東広島地区運営支援部及び霞地区運営支援部(以下「部局等」という。)で策定する。 ただし、運用の実態に即し、複数の部局等による同一「部局編」、又は同一の部局等内での複数の「部局編」も策定できるものとする。
    なお、「部局編」を変更した場合は、このポリシーの「対策基準」に定める情報セキュリティ推進機構に対し変更した「部局編」を速やかに提出すること。
  6. 「実施手順」は学外に公開してはならない。ただし、業務委託等のため「実施手順」を開示する必要がある場合は、当該法人と守秘義務契約を結んだ上で開示することができる。
  7. このポリシーの「対策基準」に定めるもののほか、部局等における業務の遂行にあたり、各業務の特性や実情に応じて、このポリシーの水準を越えて、別に対策基準を定めることができる。なお、組織・体制についてはこのポリシーを遵守しなければならない。

4. 適用範囲

  1. このポリシーの適用範囲は、本学の情報資産のみならず、本学以外の情報システムであっても、本学のネットワークに一時的に接続されたものまでを含む。
  2. 本学のネットワークに接続されていない状態であっても、本学の情報資産を保持している情報システムについては、その適用範囲に含む。

5. 適用対象者

このポリシー適用対象者は、本学の情報資産にアクセスする全ての者とする。なお、ポリシー適用対象者のうち、本学構成員を本学のポリシー適用対象者と呼び、本学の情報システムを使用する学外者を一時ポリシー適用対象者と呼ぶこととする。

6.組織・体制

本学における情報セキュリティを確保するため、最高情報セキュリティ責任者を置くとともに、そのもとに本学が一体となって情報セキュリティ対策を推進するための組織・体制を定め、その責任及び権限を明確にする。

7.情報の分類と管理

情報システムにおいて取り扱う情報について、重要情報を管理するため、重要度に応じた情報分類の定義、情報の管理責任及び管理方法等を定める。

8.物理的セキュリティ

情報システムの設置場所について、安全性を保ち、不正な立入りを阻止する対策を講じる。また、持ち運びを前提とした情報システムの情報資産を保護するための対策にも十分に配慮する。

9.人的セキュリティ

情報セキュリティに関する権限や責任を定め、ポリシー適用対象者にこのポリシーの内容を周知徹底するなど、十分な教育及び啓発が行われるよう、必要な対策を講じる。

10.技術的セキュリティ

本学の情報資産を学外又は学内からの不正なアクセスなどから適切に保護するため、情報資産へのアクセス制御、ネットワーク管理などの必要な対策を講じる。

11.運用

  1. このポリシーの実効性を確保するため、ポリシーの遵守状況の確認、ネットワークの監視などの運用面に関して必要な措置を講じる。
  2. 緊急事態が発生した際の迅速な対応を可能とするため、緊急時の対応計画を定める。

12.評価・見直し

このポリシー、情報セキュリティ対策の評価、情報システムの変更及び新たな脅威などを踏まえ、定期的にこのポリシーの評価・見直しを実施する。このため、セキュリティ監査などの必要な措置を定める。

13.個人情報の保護

個人情報の保護に関する関係法令及び個人情報の取扱いに関する各種ガイドライン等を遵守しなければならない。また、業務上の権限を有しない者は、許可なく個人情報を閲覧してはならない。

14.ポリシーの位置付け

このポリシーは、広島大学情報セキュリティ規則に基づき定められるものであり、ネットワークの不正使用等に対する懲戒及び処罰などを行う場合における正当性を保証するものである。

15.遵守

ポリシー適用対象者は、ポリシー、実施手順及びその他情報セキュリティに関する諸規則等を遵守しなければならない。

 

対策基準(あらまし)

対策基準は、本学における情報セキュリティ対策に関する具体的な事項が記載されているため、対策基準を学外へ公開することは情報セキュリティ上の脅威となります。 そのため、対策基準の全文は公開することが出来ませんが、ここでは対策基準に記載されている事項を紹介します。

  • 大学組織内の情報に関する組織体制について
  • 大学として守るべき情報とその方法について
  • セキュリティ教育などの人的な事項について
  • ファイアウォールなどの技術的な事項について
  • 平常時に行うべきことや事件・事故などが発生した際に行う事項について

また、対策基準を満たすための具体的な手法を「実施手順」として定めています。

 

組織体制(情報セキュリティ委員会、最高情報セキュリティ責任者、情報セキュリティ推進機構)

本学に設置されている情報に関連する組織について概略を紹介します。

  • 情報セキュリティ委員会

    本学の基本的な情報セキュリティポリシーの策定及び情報セキュリティに関する重要事項を検討する組織です。

  • 最高情報セキュリティ責任者 = 副学長(情報担当)

    いわゆる本学におけるCISOであり、本学における情報セキュリティに関する事項を統括します。

  • 情報セキュリティ推進機構

    最高情報セキュリティ責任者の下で情報セキュリティに関する企画立案、啓発や教育などの業務を遂行する組織です。

  • 部局等情報セキュリティ責任者

    本学には複数の研究科やセンターがあります。部局等情報セキュリティ責任者は、各部局における情報セキュリティに関する事項を統括します。


up