本文へ

東京歯科大学東京歯科大学短期大学

【全:大学日】ヘッドボタン

  • お問い合わせ
  • ENGLISH

ページタイトル

セキュリティポリシー

コンテンツ

東京歯科大学における教育・研究・診療活動には、情報基盤の充実に加え、情報資産のセキュリティ確保が不可欠である。本学では、情報セキュリティ対策推進会議(内閣官房情報セキュリティ対策推進室)の決定した「情報セキュリティポリシーに関するガイドライン」を踏まえ、平成17年4月1日に情報セキュリティポリシーを定め、これを公開した。

1. 情報セキュリティの基本方針

情報は東京歯科大学(以下、本学)にとって重要な資産である。本学における教育・研究・診療活動は、情報の収集、格納、伝達、報告といった手段で行われている。情報資産が守られなければ、本学の教育・研究・診療活動は停滞し、さらに本学に対する信頼の喪失などといった被害を受けることとなる。したがって、教職員、学生、およびすべての関係者が不断の努力により、情報資産の保全を行うことが必要である。本学が提供するネットワークサービスを利用する者は、情報セキュリティポリシー(以下、ポリシー)を遵守する責任があり、意図の有無を問わず、学内外の情報資産に対する権限のないアクセスや改竄、複写、破壊、漏洩等をしてはならない。東京歯科大学情報システム管理委員会(以下、委員会)は、利用者がポリシー、ガイドラインおよび各種内規等を理解し、実施できるように教育、指導をする責任を持つ。

2. 趣旨ならびに位置付け

ポリシーは、下記のとおりの目的をもって、本学の管理するコンピュータ、ネットワーク等を利用し情報を扱うにあたって遵守しなければならない最低限の事項をまとめたものである。詳細は、条約、関連法規、本学の各種規程、ならび内規等に従うものとする。

  • 本学の情報セキュリティに対する侵害の阻止
  • 学内外の情報セキュリティを侵害する行為の抑止
  • 情報資産の分類と管理
  • 情報セキュリティの評価と更新

3. 定義

用語の定義は、情報セキュリティ対策推進会議が定めた「情報セキュリティポリシーに関するガイドライン」にあるものと同様とする。
http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html
情報資産の定義は、情報ならびに情報を管理する仕組みとする。

4. 対象範囲ならびに対象者

本学におけるポリシーの対象範囲は、本学の管理する機器、ネットワーク、-時的にネットワークに接続された機器、および情報資産である、ポリシーの対象者は本学の情報資産を利用するすべての者とする。

5. 実施手順

ポリシーの実施手順は、本学の規程、内規等によって別途定めるものとする。関連する規程、内規等は内規・ガイドラインに示すとおりである。

1. 組織・体制

情報システム管理委員会委員長(以下、委員長)は、情報セキュリティに関する総括的な意思決定を行い、学長が承認し、学内外に対する責任を負うものとする。
ポリシーの策定ならびに重要事項の決定は、委員会が行うものとする。
委員会は、システム管理の実施、緊急時の対応等にあたるものとする。
情報セキュリティに関する啓発および教育については、委員会が担当し、自主管理ドメイン等の管理者に対する教育を行うとともに、利用者に対する幅広い教育を行う。

2. 情報セキュリティ侵害の阻止

(1)不正アクセス等への対応
外部または内部からの不正アクセスが検出された場合、委員会は、緊急措置手順に従って関連する通信の遮断または該当する情報機器の切り放しを実施する。不正アクセスが継続する場合には、所定の手続きに基づいて当該情報機器またはそれを接続するネットワークに対し、事態を警告、対策をとるよう勧告、定常的な利用を禁止するなどの抑止措置をとることができる。

(2)アクセス制限
委員会は情報の内容に応じて、アクセス可能な利用者を定め、不正なアクセスを阻止するべく必要なアクセス制限を行わなければならない。利用者は、アクセス権限のない情報にアクセスしたり、許可されていない情報を利用したりしてはならない。

3. 学内外の情報セキュリティを侵害する行為の抑止

学内外を問わず、あらゆる研究・教育機関、企業、組織、団体、個人等の情報資産を侵害してはならない。また、情報セキュリティに関連する条約、諸法規ならびに本学が定める規約等を遵守しなければならない。

4. 情報資産の分類と管理

本学の提供する情報に関しては、それが果たす役割と影響を十分認識し、常にその情報の正確性と健全性に配慮しなければならない。また、提供することによって利用者が被害を受けるいかなる情報も扱ってはならない。情報提供の際には、関連する条約、諸法規ならびに本学が定める規約等を遵守しなければならない。

(1)情報資産の管理者
本学の管理する機器に保存された情報は、委員会が管理しなければならない。本学の管理するネットワークに個人の機器、または自主管理ドメインの機器を接続した場合、当該機器内の情報は、利用者、または自主管理ドメインの管理者がセキュリティポリシーにしたがい管理しなければならない。

(2)非公開情報資産
個人情報、事務、研究・教育等の非公開情報を不当に利用してはならない。情報は適切に管理されなければならず、権限のない情報に対してアクセスを行ったり利用したりしてはならない。情報の盗難・漏洩等を防止するため、非公開情報を扱うネットワークは、暗号化や盗聴防止策を講じることが望ましい。また、情報が記録された媒体は、適切に管理されなければならない。

(3)限定公開情報資産
特定の利用者に特定の情報を公開する場合、その情報の登録・閲覧は、許可された者が許可された操作だけを行えるように、認証、アクセス制御等を実施しなければならない。非公開情報を扱う場合と同じく、ネットワークは、暗号化や盗聴防止策を講じることが望ましい。さらに、異常な登録、閲覧および操作が行われていないか、定期的に調査・確認しなければならない。

(4)公開情報資産
あらゆる公開情報を不当に利用してはならない。情報は故意、破壊されないように適切に管理されなければならない。また、非公開情報を公開する場合には、個人情報の漏洩、プライバシーや著作権の侵害に十分注意し、公開できる情報だけを抽出し、公開してよい形に加工しなければならない。情報が記録された媒体は、適切に管理されなければならない。

(5)情報機器および記憶媒体の処分
非公開・限定公開・公開を問わず、情報機器および記憶媒体を破棄する場合は、その処分方法に注意しなければならない。

5. 情報セキュリティならびにポリシーの評価と更新

(1)情報セキュリティの評価と更新
本学の情報資産を守るためには、常に最新の情報を取得し、適切な物理的・技術的・人的セキュリティが実施されているか定期的に評価・調査・監査を実施しなければならない。改善が必要と認められた場合は、速やかに情報セキュリティの更新を行わなければならない。

(2)ポリシーの評価と更新
情報セキュリティの調査とともに、ポリシーの実効性を定期的に評価し、改善が必要と認められた場合には、変更内容および実施時期の決定を行い、セキュリティレベルの高い、かつ遵守可能なポリシーに更新しなければならない。