1. 組織・体制
委員会委員長は、情報セキュリティに関する意見を総括する。学長はこれを承認し、学内外に対する責任を負うものとする。
ポリシーの策定ならびに重要事項の決定は、委員会が行うものとする。
委員会は、システム管理の実施、緊急時の対応等にあたるものとする。
情報セキュリティに関する啓発および教育については、委員会が担当し、自主管理ドメイン等の管理者に対する教育を行うとともに、利用者に対する幅広い教育を行う。
2. 情報セキュリティ侵害の阻止
(1)不正アクセス等への対応
外部または内部からの不正アクセスが検出された場合、委員会は、緊急措置手順に従って関連する通信の遮断または該当する情報機器の切り放しを実施する。不正アクセスが継続する場合には、所定の手続きに基づいて当該情報機器またはそれを接続するネットワークに対し、事態を警告、対策をとるよう勧告、定常的な利用を禁止するなどの抑止措置をとることができる。
(2)アクセス制限
委員会は情報の内容に応じて、アクセス可能な利用者を定め、不正なアクセスを阻止するべく必要なアクセス制限を行わなければならない。利用者は、アクセス権限のない情報にアクセスしたり、許可されていない情報を利用したりしてはならない。
3. 学内外の情報セキュリティを侵害する行為の抑止
学内外を問わず、あらゆる研究・教育機関、企業、組織、団体、個人等の情報資産を侵害してはならない。また、情報セキュリティに関連する条約、諸法規ならびに本学が定める規約等を遵守しなければならない。
4. 情報資産の分類と管理
本学の提供する情報に関しては、それが果たす役割と影響を十分認識し、常にその情報の正確性と健全性に配慮しなければならない。また、提供することによって利用者が被害を受けるいかなる情報も扱ってはならない。情報提供の際には、関連する条約、諸法規ならびに本学が定める規約等を遵守しなければならない。
(1)情報資産の管理者
本学の管理する機器に保存された情報は、委員会が管理しなければならない。本学の管理するネットワークに個人の機器、または自主管理ドメインの機器を接続した場合、当該機器内の情報は、利用者、または自主管理ドメインの管理者がセキュリティポリシーにしたがい管理しなければならない。
(2)非公開情報資産
個人情報、事務、研究・教育等の非公開情報を不当に利用してはならない。情報は適切に管理されなければならず、権限のない情報に対してアクセスを行ったり利用したりしてはならない。情報の盗難・漏洩等を防止するため、非公開情報を扱うネットワークは、暗号化や盗聴防止策を講じることが望ましい。また、情報が記録された媒体は、適切に管理されなければならない。
(3)限定公開情報資産
特定の利用者に特定の情報を公開する場合、その情報の登録・閲覧は、許可された者が許可された操作だけを行えるように、認証、アクセス制御等を実施しなければならない。非公開情報を扱う場合と同じく、ネットワークは、暗号化や盗聴防止策を講じることが望ましい。さらに、異常な登録、閲覧および操作が行われていないか、定期的に調査・確認しなければならない。
(4)公開情報資産
あらゆる公開情報を不当に利用してはならない。情報は故意、破壊されないように適切に管理されなければならない。また、非公開情報を公開する場合には、個人情報の漏洩、プライバシーや著作権の侵害に十分注意し、公開できる情報だけを抽出し、公開してよい形に加工しなければならない。情報が記録された媒体は、適切に管理されなければならない。
(5)情報機器および記憶媒体の処分
非公開・限定公開・公開を問わず、情報機器および記憶媒体を破棄する場合は、その処分方法に注意しなければならない。
5. 情報セキュリティならびにポリシーの評価と更新
(1)情報セキュリティの評価と更新
本学の情報資産を守るためには、常に最新の情報を取得し、適切な物理的・技術的・人的セキュリティが実施されているか定期的に評価・調査・監査を実施しなければならない。改善が必要と認められた場合は、速やかに情報セキュリティの更新を行わなければならない。
(2)ポリシーの評価と更新
情報セキュリティの調査とともに、ポリシーの実効性を定期的に評価し、改善が必要と認められた場合には、変更内容および実施時期の決定を行い、セキュリティレベルの高い、かつ遵守可能なポリシーに更新しなければならない。