このページの先頭です

メニューを飛ばして本文を読む

サイト内の現在位置

ここから本文です

大学案内

情報セキュリティ規程

Ⅰ. 基本方針


  鶴見大学・鶴見大学短期大学部及び鶴見大学短期大学部附属三松幼稚園(以下、本学という。)は、学生、教員、職員に関する様々な情報資産を事件、事故から守ることを目的に、全教職員の意識改革に基づく全組織的な取組を行い、適正な情報資産の取扱いを確保し、情報セキュリティの維持、向上に努めます。
  このため、本学全教職員により、以下の取組を実施します。

  1. 全ての情報資産やその取扱いについては、個人情報の保護に関する法律、不正アクセス行為の禁止等に関する法律、著作権法等の関係法令や契約事項を遵守すると共に、開発・運用しているシステムの安全・安定運用に努め、本学の「情報セキュリティ規程」を遵守します。

  2. 情報システムのセキュリティを組織的に管理運用するため、最高情報統括責任者(学長)のもと、教職員の役割と責任を情報セキュリティ規程<対策基準>に定めます。

  3. 本学の情報資産を以下の観点で適切に管理します。
    • 機密性・・・情報漏えいを防止する、アクセスを制御する
    • 完全性・・・保有する情報が正確であり、改ざんされない状態を保持する
    • 可用性・・・許可された者が必要なときにいつでも情報にアクセスできるようにする
  4. 全教職員の情報セキュリティに関する意識改革を推進するため、必要な教育研修を定期的、継続的に実施します。

  5. 情報セキュリティの維持、強化を推進するため、本学の「情報セキュリティ規程」の継続的改善に努めます。

  6. 本学の「情報セキュリティ規程」及び関係法令に反する行為には、厳正に対処します。

  上記の取組により、様々な情報セキュリティ上の脅威から本学の情報資産を守り、信頼の向上に努めます。

平成29年4月1日
鶴見大学・鶴見大学短期大学部
学長 大山 喬史

Ⅱ. 対策基準

1.目的

  鶴見大学・鶴見大学短期大学部及び鶴見大学短期大学部附属三松幼稚園(以下、「本学」という。)が保有する情報資産の機密性、完全性及び可用性を維持・向上するための対策について、遵守すべき行為や判断等の基準を統一的なレベルで定め、統合的、体系的かつ具体的に取りまとめるため、本学の『情報セキュリティ規程<対策基準>』を策定する。
  また、『サイバーセキュリティ基本法』(平成二十六年法律第百四号)第8条では、「大学その他の教育研究機関は、基本理念にのっとり、自主的かつ積極的にサイバーセキュリティの確保、サイバーセキュリティに係る人材の育成並びにサイバーセキュリティに関する研究及びその成果の普及に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする。」と定められている。このことから、本規程では、本学のサイバーセキュリティに対する対策の基準、および実施の責務を定めるものとする。

  本対策基準は、本学が保有する情報資産に関する、業務に携わる全ての教職員並びに外部委託事業者に対し、情報セキュリティの維持、強化を促すものである。
  情報セキュリティ規程の体系を以下とする。

  『情報セキュリティ規程<基本方針>』
  『情報セキュリティ規程<対策基準>』

  なお、『情報セキュリティ規程<対策基準>』を実施する際に、具体的な実施手順等を記した『情報セキュリティ実施手順』は別途定めるものとする。


2.対象範囲

本対策基準は、本学が保有する情報資産のすべてを対象とする。

3.組織及び体制

3.1 役割・責任
(1)最高情報統括責任者
  1. 学長が担う。
  2. 『情報セキュリティ規程』の対象範囲における全ての情報資産の情報セキュリティの活動を統括する。
  3. 教職員及び関係する者に対し、情報セキュリティ規程についての啓発を行う。
(2)情報統括責任者
  1. 副学長が担う。
  2. 最高情報統括責任者を補佐する。
(3)情報ネットワーク・セキュリティ管理者
  1. 学術情報事務長が担う。
  2. 最高情報統括責任者、情報統括責任者を補佐する。
  3. ネットワークに係る開発、設定の変更、運用、更新等の統括を行う。
  4. ネットワークに係る情報セキュリティの維持及び向上を行う。
  5. ネットワーク及び情報システムに関し、サーバ等ハードウェア及び配線等の構成情報を把握する。
  6. 情報システム・セキュリティ管理者及び情報システム・セキュリティ担当者に対して情報セキュリティに関する指導及び助言を行う。
  7. 情報資産を侵害される又は侵害の恐れがある場合には、最高情報統括責任者の指示に従い、必要かつ十分なすべての措置を行う。最高情報統括責任者が不在のときにあっては情報統括責任者の指示に従い、情報統括責任者が不在の際は自らの判断に基づき措置を行う。
  8. 情報セキュリティ規程の遵守に関する意見の集約並びに教職員に対する研修、訓練、助言及び指示を行う。
  9. 情報ネットワーク・セキュリティ管理者が不在時に権限を代行する者は、情報ネットワーク・セキュリティ管理者が指名し、最高情報統括責任者が認めた者でなくてはならない。
(4)情報システム・セキュリティ管理者
  1. 各学部長、幼稚園長、事務局各部長・課長・事務長が担う。
  2. 情報ネットワーク・セキュリティ管理者を補佐する。
  3. 所管する情報システム及びネットワークに係る運用等を行う。
  4. ネットワーク及び情報システムに関し、ライセンス等の情報を把握し、管理する。また、当該情報に変更等が生じた場合は、速やかに当該変更等に係る箇所を修正するとともに、修正履歴を管理する。
  5. 所管する情報システムに係る情報セキュリティの維持及び向上を行う。
  6. 教職員の育成方針を決定し、教職員への情報セキュリティに関する研修の受講を指示する。
(5)情報システム・セキュリティ担当者
  1. 文学部・短期大学部は各学科、歯学部は各講座、事務局は各課・事務室に担当教職員を各1名置く。
  2. 情報システム・セキュリティ管理者の職務を補助し、学内の情報化事業の効率的な推進および情報セキュリティ向上を行う。
(6)教職員
  1. 情報セキュリティ規程に定めた事項を遵守する。
  2. 定められた研修・訓練を受講する。
  3. 日常業務において、種類にかかわらず業務・プロジェクトの実行時に、情報セキュリティ対策を心がけ実行する。
(7)情報セキュリティ推進事務局(情報セキュリティに関する統一的な窓口)
  1. 学術情報事務室の職員が担う。
  2. 情報ネットワーク・セキュリティ管理者に従い、情報セキュリティの推進に関する事務を行う。
  3. 情報セキュリティに関する事故について、各部署より報告を受けた場合には、その状況を確認し、情報ネットワーク・セキュリティ管理者に報告を行わなければならない。
  4. 情報セキュリティ戦略の意志決定が行われた際は、その内容を各部署に提供する。
    3.2 情報セキュリティに関する委員会等
  • (1)危機管理委員会
     重大な障害発生等の緊急対応
  • (2)鶴見大学マルチメディア委員会
     情報セキュリティを強化するための推進策の承認
     情報セキュリティ規程及び情報セキュリティ実施手順に関する見直しの実施
     情報セキュリティに関するリスクマネジメント、組織の連携、指導
 情報セキュリティ推進体制図
 情報セキュリティ組織員の構成員と役割の概要

4.定義

  • (1)情報システム
    本学が保有する情報資産に関する業務に係るコンピュータシステム(ネットワーク、ハードウェア及びソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。
  • (2)情報資産
    組織が持つ情報と情報システム及びこれらが適切に保護され機能するために必要な要件の総称をいう。
  • (3)記録媒体
    記録媒体とは、磁気式、光学式、半導体メモリ等、電子データとして情報を記録する媒体(USBメモリ、SDカード、CD-ROM,DVD-ROM等)をいう。
  • (4)端末
    端末とは、パーソナルコンピュータおよび、利用者がコンピュータにデータを入出力するための機能を備えた装置をいう。
  • (5)ネットワーク
    コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。
  • (6)オフィス機器
    業務で使用する機器(プリンタ、スキャナ、電話、FAX、携帯電話、コピー機、デジタルカメラ等)をいう。
  • (7)機密性
    情報漏えいを防止する、アクセスを制御すること。
  • (8)完全性
    保有する情報が正確であり、改ざんされない状態を保持すること。
  • (9)可用性
    許可された者が必要なときにいつでも情報にアクセスできるようにする。
  • (10)情報セキュリティ事象
    いつもと違うこと、気付き、ヒヤリハット 等
  • (11)情報セキュリティインシデント
    実際に起こってしまった事件・事故、被害や損害を与えた 等

5.情報資産への脅威

  本対策基準を策定する上で、特に認識すべき脅威は、次のとおりである。

  • (1)部外者による故意の不正アクセス、サービス不能攻撃、標的型攻撃等のサイバー攻撃や不正操作によるデータ又はプログラムの持出し、盗聴、改ざん及び消去、機器又は媒体の盗難、サービス妨害等。
  • (2)教職員、外部委託事業者による意図しない操作、故意の不正アクセス、不正操作によるデータ又はプログラムの持出し、盗聴、改ざん及び消去、機器又は媒体の盗難及び許可されていない端末の接続によるデータの漏えいや情報システムの停止等。
  • (3)コンピュータウイルス、地震、落雷、火災等の災害並びに事故、故障等によるサービス及び業務の停止。
  • (4)著作権法等の法令に反するソフトウェアの保持、複製、利用等。
  • (5)インターネット等の公共ネットワークにおける公的秩序に反する発言等による社会的信用の低下等。

6.情報セキュリティ対策

 5.で示した脅威から情報資産を保護するために、情報資産を『情報セキュリティ実施手順』に基づき、重要度で分類し、
 重要度に応じ、人的・物理的・技術的の観点から情報資産への脅威の対策を講ずるものとする。

7.情報セキュリティ規程の例外措置

  • (1)情報システム・セキュリティ管理者は、情報セキュリティ規程に定めのない事項、もしくは遵守することが困難な状況で、業務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、最高情報統括責任者に許可を得て、例外措置を取ることができる。
  • (2)情報システム・セキュリティ管理者は、業務の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避のときは、事後速やかに最高情報統括責任者に報告しなければならない。
  • (3)情報システム・セキュリティ管理者は、例外措置にかかる手続等の記録を適切に保管しなければならない。

8.情報セキュリティ規程及び情報セキュリティ実施手順の公開

 情報セキュリティ規程は公開を可能とする。
 また、情報セキュリティ実施手順は、公にすることにより本学の運営に重大な支障を及ぼす恐れがあるため、非公開とする。

9.情報セキュリティ規程及び情報セキュリティ実施手順の更新

 最高情報統括責任者は、現状の情報セキュリティ対策に新たに対策を講ずる必要が生じた場合等、鶴見大学マルチメディア委員会の承認を得て、情報セキュリティ規程及び情報セキュリティ実施手順の実効性を評価し、必要な部分の見直しを行う。

   附 則
この規程は、平成29年4月1日から施行する。
このページをご覧になるために

Adobe Reader ダウンロードページへ(新しいウィンドウが開きます)

PDFファイルをご覧いただくには、Adobe社の Adobe Readerが必要になります。最新の Adobe Readerは Adobe社のウェブサイトより無料でダウンロード可能です。