学校法人北陸大学情報セキュリティポリシー
2020年5月18日
第654回常任理事会制定
1.目的
学校法人北陸大学及び本法人が設置する北陸大学(以下「本学」という。)における情報システムは、本学の理念と使命の実現のため、すべての教育・研究活動及び運営の基盤として設置され、運用されるものである。
本学の情報システム(以下「本学情報システム」という。)の運用及び管理について必要な事項を定め、もって本学の保有する情報の保護と活用及び適切な情報セキュリティ対策を図ることを目的として、次のとおり学校法人北陸大学情報セキュリティポリシー(以下「本ポリシー」という。)を定める。
2.運用の基本方針
本学情報システムは、円滑で効果的な情報流通を図り、本ポリシーに規定された目的を達成するために、優れた秩序と安全性をもって安定的かつ効率的に運用され、全学に供用される。
3.適用範囲
本ポリシーは、本学情報システムを運用・管理するすべての者、並びに利用者及び臨時利用者に適用する。
4.利用者の義務
本学情報システムを利用する者や運用の業務に携わる者は、本ポリシーに基づいて利用し、別に定める運用と利用に関する利用規程を遵守しなければならない。
5.定義
本ポリシーにおいて、次の各号に掲げる用語は、それぞれ当該各号の定めるところによる。
(1)部局等
事務組織の事務局及び事務局の本部・部・センター・課、総合企画局及び総合企画局の本部・部・センター・課、教育研究組織の学部、留学生別科、図書館、国際交流センター、地域連携センター並びに北陸大学孔子学院をいう。
(2)部局長
前号に定める部局等の長及び学生部長、教務部長をいう。
(3)情報システム
情報処理及び情報ネットワークに関わるシステムで、次のものをいい、本学の情報ネットワークに接続する機器を含む。
①本学により、所有又は管理されているもの
②本学との契約あるいは他の協定に従って提供されるもの
(4)情報
情報には次のものを含む。
①情報システム内部に記録された情報
②情報システム外部の電磁的記録媒体に記録された情報
③情報システムに関係がある書面に記載された情報
(5)情報資産
情報システム並びに情報システム内部に記録された情報、情報システム外部の電磁的記録媒体に記録された情報及び情報システムに関係がある書面に記載された情報をいう。
(6)実施規程
本ポリシーに基づいて策定される規則等をいう。
(7)手順
実施規程に基づいて策定される具体的な手順やマニュアル、ガイドラインを指す。
(8)利用者
教職員等及び学生等で、本学情報システムを利用する許可を受けて利用する者をいう。
(9)教職員等
本学を設置する法人の役員及び本学に勤務する常勤又は非常勤の教職員(派遣職員を含む)その他、部局長が認めた者をいう。
(10)学生等
本学学則に定める学部学生、別科生、その他、部局長が認めた者をいう。
(11)臨時利用者
教職員等及び学生等以外の者で、本学情報システムを臨時に利用する許可を受けて利用する者をいう。
(12)情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
(13)電磁的記録
電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、コンピュータによる情報処理の用に供されるものをいう。
(14)情報セキュリティインシデント
情報セキュリティインシデント(以下「インシデント」という。)は情報セキュリティに関し、意図的または偶発的に生じる、本学規程または法律に反する事故あるいは事件をいう。具体的に以下のものが挙げられる。
①コンピュータウイルスなどのマルウェア感染
②アクセス権限を持たない者がサーバや情報システムへの不正なアクセス
③アカウントの乗っ取り(なりすまし行為)
④WEBサイトの改ざん
⑤情報の漏洩
⑥迷惑メールの送信
⑦サービス拒否攻撃(DoS攻撃)
⑧情報機器や記憶媒体の紛失および盗難
(15)インシデント対応チーム
インシデント対応チーム(以下「対応チーム」という。)は本学において発生したインシデントに対処するため、本学に設置された体制をいう。
(16)明示等
情報を取り扱う全ての者が当該情報の格付けについて共通の認識となるようにする措置をいう。
6.組織・体制
(1)最高情報セキュリティ責任者
①本学の情報システムの運用に責任を持つ者として、最高情報セキュリティ責任者(以下「最高責任者」という。)を置き、理事長をもって充てる。また、最高責任者を補佐する役割として副責任者を置き、学長をもって宛てる。
②最高責任者は、本ポリシー及びそれに基づく規程の決定や情報システム上での各種問題に対する処置を行う。
③最高責任者は、全学の情報基盤として供される本学情報システムのうち情報セキュリティが侵害された場合の影響が特に大きいと評価される情報システムを指定することができる。この指定された情報システムを「全学情報システム」という。
④最高責任者は、全学向け教育及び部局情報セキュリティ担当者(以下「部局担当者」という。)向け教育を統括する。
(2)情報セキュリティ実施責任者
①本学に情報セキュリティ実施責任者(以下「実施責任者」という。)を置く。
②実施責任者は、最高責任者の指示により、本学情報システムの整備と運用に関し、本ポリシー及びそれに基づく規程並びに手順等の実施を行う。
③実施責任者は、情報システムの運用に携わる者及び利用者に対して、情報システムの運用並びに利用及び情報システムのセキュリティに関する教育を企画し、本ポリシー及びそれに基づく規程並びに手順等の遵守を確実にするための教育を実施する。
④実施責任者は、最高責任者の推挙により理事長または学長が任命する。
⑤情報システムの設計・開発を外部委託により行う場合に調達仕様に含めて提示する情報セキュリティに係る要求仕様を策定する。
⑥本学全体の情報セキュリティ対策の推進に係る最高責任者への助言
⑦情報セキュリティ関係規程の整備に係る助言
⑧対策推進計画の策定に係る助言
⑨教育実施計画の立案に係る助言並びに教材開発及び教育実施の支援
⑩情報システムに係る技術的事項に係る助言
⑪インシデントへの対処の助言
⑫前各号に掲げるもののほか、情報セキュリティ対策への助言
⑬本学情報システムにてインシデントが発生した場合、重大なインシデントとして学校法人北陸大学危機管理委員会(学校法人北陸大学危機対策本部)へ報告する。
(3)部局情報セキュリティ担当者
①各部局等に部局担当者を置く。各部局長が担当する。
②部局担当者は、実施責任者への報告と利用者への連絡を担当する。
(4)管理運営部局
学術情報課を本学情報システムの管理運営部局として定める。
管理運営部局は、実施責任者の指示により、以下の各号に定める事務及び支援を行う。
①本学情報システムの運用と利用における本ポリシーの実施状況の取りまとめ
②教育・講習会計画リスク管理及び非常時行動計画等の実施状況の取りまとめ
③本学情報システムのセキュリティに関する連絡と通報
④情報セキュリティ関係規程の整備
⑤情報システムに係る技術的事項に係る支援
⑥利用者に対する日常的な相談対応
⑦インシデントへの対処の支援
⑧前各号に掲げるもののほか、情報セキュリティ対策への支援
(5)インシデントに備えた体制の整備
①最高責任者は、対応チームを整備し、その役割を明確化する。
②最高責任者は、教職員等のうちから対応チームに属する職員として専門的な知識又は適性を有すると認められる者を選任する。そのうち、本学におけるインシデントに対処するための責任者として対応チームの責任者を置く。
③最高責任者は、インシデントが発生した際、直ちに自らへの報告が行われる体制を整備する。
④本学情報システムにてインシデントが発生した際、学校法人北陸大学危機管理委員会(学校法人北陸大学危機対策本部)と連携する。
(6)対応チームの役割
最高責任者は、以下を含む対応チームの役割を規定する。
①報告窓口からのインシデントの報告の受付
②インシデントの最高責任者等への報告
③対外的な連絡
④被害の拡大防止を図るための応急措置の指示又は勧告
⑤保守業者と連携した問題の切り分け
⑥インシデントの重大性の判断
(7)役割の分離
情報セキュリティ対策の運用において、以下の役割を同じ者が兼務しないこと。
①承認又は許可事案の申請者とその承認又は許可を行う者
7.情報の格付け
最高責任者は、情報システムで取り扱う情報について、電磁的記録については機密性、完全性及び可用性の観点から、書面については機密性の観点から当該情報の格付け及び取扱制限の指定並びに明示等の規程を整備する。
8.学外の情報セキュリティ水準の低下を招く行為の防止
- (1)
- 最高責任者は、学外の情報セキュリティ水準の低下を招く行為の防止に関する措置についての規程を整備する。
- (2)
- 本学情報システムを運用・管理する者、並びに利用者及び臨時利用者は、学外の情報セキュリティ水準の低下を招く行為の防止に関する措置を講ずる。
- (3)
- 学外の情報セキュリティ水準の低下を招く行為とは以下のものが挙げられる。
①本学のWEB等のコンテンツを利用するために、ブラウザのセキュリティ設定の下方修正を明示的に要求する行為
②本学のWEB等によりexeファイル等の実行形式のファイルを提供する行為
③本学のWEB等により電子署名していない実行モジュールを提供する行為
④本学のWEB等において実行モジュールを電子署名して提供する場合に、有効でないまたは暗号化強度の低い証明書を利用する行為
9.情報システム運用の外部委託管理
最高責任者は、本学情報システムの運用業務のすべてまたはその一部を第三者に委託する場合には、当該第三者による情報セキュリティの確保が徹底されるよう必要な措置を講じるものとする。
10.罰則
本ポリシー及び本ポリシーに基づく規程等に違反した場合の利用の制限及び罰則は、本学学則、就業規則に定める処罰に準ずる。
11.見直し
- (1)
- 本ポリシー、実施規程及び手順を整備した者は、各規程の見直しを行う必要性の有無を適時検討し、必要があると認めた場合にはその見直しを行う。
- (2)
- 本学情報システムを運用・管理する者、並びに利用者及び臨時利用者は、自らが実施した情報セキュリティ対策に関連する事項に課題及び問題点が認められる場合には、当該事項の見直しを行う。
12.改廃
本ポリシーの改廃は、常任理事会において行うものとする。