(要確認) 信息安全政策

政策(基本方针(全文)),对策基准(摘要),相关规则

本校作为信息安全政策,制定了基本方针,对策基准,实施顺序以及相关规则,进行学术研究,教学以及医疗活动和支援这些活动的工作和运营业务。

基本方针

1.要旨

随着高度信息化社会的发展,在广岛大学(下面简称“本校”。)进行的学术研究,教学及医疗活动 和支援这些活动的工作和运营业务,越来越依赖数据库化和网络化的信息通信技术。但是,反过来也增加了遭受电脑病毒,非法访问,数据篡改和破坏的风险。同 时,除了故意的行为之外,还由于知识不足,本校也有可能成为加害者。因此,制定全校统一的信息安全对策基准,在确保本校的信息资产的安全性和可靠性的同 时,防止失去社会信誉是一个重要的课题。

本校为了使这些信息安全对策实际有效,制定了广岛大学信息安全政策(下面简称“政策”。)。本校所有政策适用对象不仅要知道技术性对策,还要从危机管理方面认识到全校有组织地采取措施的必要性,在各自的岗位遵守政策。

制定和实施政策时必须尊重本校在教育和研究活动中的学术和言论的自由和通信秘密。

2.目的

 本校为了继续有组织地实施下列规定事项,制定这个政策。

  1. 从非法访问,篡改,破坏以及泄密等保护本校的信息资产,确保信息安全。
  2. 防止损害校内外信息安全的加害行为,保持本校的社会信誉。
  3. 支援信息伦理教育以及获取信息安全相关信息。

3.组成及处理

  1. 这个政策由“基本方针”和“对策基准”组成。
  2. “基本方针”是本校对信息安全对策的基本思路。
  3.  “对策基准”是为了确保“基本方针”规定的信息安全必须遵守的行为及判断的基准。
  4. 制定了政策中没有的,在信息系统中按照什么顺序具体执行“对策基准”规定的内容的“实施顺序”。
  5. “实施顺序”分别由学科,研究院,附属研究所,附属医院,图书馆,教养教育总部,全国联合利用设施,中国与四国地区国立联合利用设施,校 内联合教学研究设施,附属学校,校长室,监查室以及理事室(下面简称“部局等”。)各自制定。但是,根据实际运用情况,可以由多个部局等制定一个“实施顺 序”,也可以在一个部局等内制定多个“实施顺序”。但是,在修订“实施顺序”后,必须及时向政策的“对策基准”规定的信息安全推进机构提交修订后的“实施 顺序”。
  6. “实施顺序”不得向校外公布。但是,为了业务委托必须公开“实施顺序”的话,可以与该法人签订“保守秘密义务协议”后进行公开。
  7. 除了这个政策的“对策基准”规定的内容以外,在从事部局等的业务时,根据各业务的特点和实际情况,可以超出这个政策的范围,另行制定对策基准。但是,关于组织与体制方面,必须遵守这个政策。

4. 适用范围

  1. 这个政策的适用范围不仅限于本校的信息资产,还包括临时与本校网络连接的校外的信息系统。
  2. 即使没与本校的网络连接,但只要保存有本校信息资产的信息系统,也包含在这个适用范围内。

5. 适用对象

这个政策的适用对象为访问本校信息资产的所有的人员。在这政策适用对象之中,本校人员称作本校政策适用对象,使用本校信息系统的校外人员称作临时政策适用对象。

6.组织与体制

为了确保本校信息安全,除了任命了最高信息安全负责人,还在该负责人的领导下,制定了推进全校信息安全对策的组织和体制,并明确了责任和权限。

7.信息的分类与管理

为了管理信息系统处理的重要信息,制定根据重要度分类信息的定义,以及信息的管理责任和管理方法等。

8.物理安全性

对信息系统设置场所要保持安全性,制定阻止非法入侵的对策。另外,还要制定保护携带信息系统中的信息资产的对策。

9.人员安全性

规定信息安全的权限和责任,采取必要的对策,进行充分的教育和启迪,做到使政策适用对象熟知这个政策的内容。

10.技术安全性

为了确实保护本校的信息资产不受校外或校内的非法访问,采取必要的对策,控制对信息资产的访问和管理网络。

11.运用

  1. 为了确保这个政策的实效性,采取必要的措施,确认政策的遵守情况,监视网络的运用情况。
  2. 为了在紧急事态发生时能迅速处理,制定紧急情况处理计划。

12. 评估与修订

考虑到信息安全对策的评估,信息系统的改变及新的威胁等,要定期对政策实施评估和修订。因此,制定安全监查等必要的措施。

13.个人信息保护

必须遵守个人信息保护相关的法令以及个人信息使用相关的各种指针等。另外,没有业务权限的人员没有许可不得阅览个人信息。

14.政策的地位

这个政策是为了实施信息安全对策的切实措施,是制定和改废实施顺序及其他相关各种规则的根据。另外,还保证了对非法使用网络等行为进行惩处及处罚的正当性。

15.遵守

政策适用对象必须遵守政策,实施顺序以及其他信息安全相关的各种规则。

 

对策基准(摘要)

对策基准记载了本校信息安全对策相关的具体事项,因此,向校外公开对策基准将对本校信息安全形成威胁。所以不能公开对策基准全文,这里只能介绍对策基准中记载的事项。

  • 关于大学组织内信息相关的组织体制
  • 关于大学应该保护的信息与保护方法
  • 关于安全教育等的人员事项
  • 关于防火墙等的技术事项
  • 关于平时该做的事项和事件与事故发生时该做的事项

另外,作为“实施顺序”规定了符合对策基准的具体方法。

 

组织体制(安全委员会,信息安全负责人,安全推进机构)

概要介绍设立于本校的信息相关的组织。

  • 信息安全委员会

    信息安全委员会是制定本校基本信息安全政策以及研究信息安全相关重要事项的组织。

  • 最高信息安全负责人 = 理事,副校长(分管社会合作,宣传及信息)

    也就是本校的CISO,负责本校信息安全工作。

  • 信息安全推进机构

    在最高信息安全负责人的领导下,具体开展信息安全相关的企划立案,启迪及教育等业务的组织。

  • 部局等信息安全负责人

    本校有多个学科和中心。部局等信息安全负责人负责各部局的信息安全工作。


up