○広島県公立大学法人及び県立広島大学情報セキュリティ対策基準に関する要領

中国足彩网3年4月1日

法人要領第44号

(趣旨)

第1条 この要領は、広島県公立大学法人情報セキュリティポリシーに関する要領(中国足彩网3年法人要領第43号)第17条の規定に基づき、広島県公立大学法人(以下「法人」という。)及び県立広島大学(以下「大学」という。)における適切な情報セキュリティ対策に関する基準(以下「対策基準」という。)について必要な事項を定めるものとする。

(適用範囲)

第2条 この基準において適用対象とする者は、法人及び大学の情報システムを運用?管理するすべての者及び利用者とする。

(定義)

第3条 この基準において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

1 要領

2 実施手順

この規程に定められた対策内容を個別の情報システムや業務において実施するため、あらかじめ定める必要のある具体的な手順をいう。

3 職員

法人の役員及び常勤又は非常勤の教職員(派遣職員を含む。)をいう。

4 学生

大学の学部及び大学院の学生並びに科目等履修生、特別聴講学生、聴講生、研究生及び研修員、その他別に定める情報ネットワークシステム管理運用規程に基づき総括管理者が認めた者をいう。

5 利用者

職員及び学生で、情報システムを利用する許可を受けて利用する者並びに一時的に情報システムを利用するものをいう。

6 最高責任者

ポリシー第6条に規定する最高情報セキュリティ責任者をいう。

7 総括管理者

ポリシー第8条に規定する情報セキュリティ総括管理者をいう。

8 キャンパス管理者

ポリシー第9条に規定する情報セキュリティキャンパス管理者をいう。

9 管理者

総括管理者及びキャンパス管理者をいう。

10 管理機関

ポリシー第11条に規定する情報セキュリティ管理機関をいう。

11 情報セキュリティ委員会

ポリシー第7条に規定する情報セキュリティ委員会をいう。

12 学内ネットワーク

法人及び大学に設置されているコンピュータ、関連機器等の多目的利用及びネットワークシステムを中心にして構築された情報通信基盤をいう。

13 研究用ネットワーク

研究用ネットワークとは、ファイアウォールの保護外でインターネットと直接接続が可能な領域をいう。

14 情報

ポリシー第4条第2項に定めるものをいう。

15 情報資産

法人及び大学の組織と構成員が業務を遂行するうえで、入手及び作成した情報並びにその情報を管理するシステム全般をいう。

16 情報システム

ハードウェア及びソフトウェアから成るシステム並びに有線又は無線のネットワークであって、情報処理又は通信の用に供するものをいい、特に断りのない限り、法人が調達又は開発するもの(管理を外部委託しているシステムを含む。)若しくは法人の情報ネットワークに接続されるものをいう。

17 クライアント機器

パソコン、サーバ以外のワークステーション、及び学内ネットワークに接続するプリンタ、計測設備機器、その他の周辺装置などで、サーバ機器以外の機器をいう。外部ネットワークへ接続しないサーバもクライアント機器とみなす。

18 サーバ機器

複数の利用者がネットワークを介して利用する機器であり、Webサーバ、メールサーバ、ネームサーバ、ファイルサーバ、データベースサーバ等をいう。本部学術情報センター設置以外のサーバで、グローバルIPアドレスによるアクセスができず、学内ネットワーク等内のみに限定したサービスを提供するサーバは対象外とする。

19 情報セキュリティ

情報資産の機密性、完全性及び可用性を維持することをいう。

20 セキュリティパッチ

発見された情報セキュリティ上の問題を解決するために提供される修正用のファイルをいう。提供元によって、更新プログラム、パッチ、ホットフィクス、サービスパック等名称が異なる。

21 パラメータ

ソフトウェアやシステムの挙動に影響を与える、外部から投入されるデータ

22 アクセス制御

情報又は情報システムへのアクセスを許可する主体を制限することをいう。

23 暗号化

第三者が容易に復元することができないよう、定められた演算を施しデータを変換することをいう。

24 IPアドレス

ネットワークの中で特定のホストを一意に識別する番号をいう。

25 無線LAN

IEEE802.11a、802.11b、802.11g、802.11n、802.11ac、802.11ad、802.11ax等の規格により、無線通信で情報を送受信する通信回線をいう。

26 認証

人や物などの対象についてその正当性を確認することをいう。

(組織及び体制)

第4条 最高責任者は、法人運営の見地から情報セキュリティの維持?向上に努め、セキュリティ対策を推進し、ポリシーの対象者すべてにポリシー及び対策基準の遵守を励行させる。最高責任者は、情報セキュリティに関する学外からの苦情への対応、並びに学外から受けた被害への対応にあたる。

2 総括管理者は、学内ネットワークへの接続?非接続を問わず、法人及び大学における情報システムが円滑に運用されるように、情報セキュリティの保持と強化のための調査?検討?対策の実施にあたる。総括管理者は、情報セキュリティの管理及び監査の実施に関して最高責任者を補佐し、情報セキュリティの保持と強化のために必要な具体的措置及び緊急避難処置を講ずる。

3 キャンパス管理者は、各キャンパスの情報システムが円滑に運用されるように、情報セキュリティの保持と強化のための技術的な調査検討と対策の実施にあたる。キャンパス管理者は、各キャンパスの情報セキュリティの管理及び監査の実施に関し、最高責任者を補佐し、情報セキュリティの保持と強化のために必要な技術的措置及び緊急避難処置を講ずる。

4 各管理機関担当者は、個々の情報システムを維持?管理する役割を担い、運用規定に即したパラメータの設定やセキュリティパッチ等の実施などセキュリティを維持するための実務を行う。各管理機関担当者が収集したセキュリティ情報のうち、重要性が高く、影響範囲が大きいと判断される情報については、速やかに利用者及び関係者に情報提供しなければならない。

(教育?研修)

第5条 総括管理者は、情報セキュリティに関する啓発や教育を実施するために必要な措置を施さなければならない。特に入学者や新規採用の職員に対する教育?研修等が適切に実施されるよう配慮しなければならない。

2 大学の情報システムを学生等に利用させ教育?研究を行う職員は、指導する学生等にポリシー及び実施手順を理解させ、情報セキュリティ上の問題が生じないようにしなければならない。

3 管理者は、職員及び学生以外の者(来学者)に学内の情報システム(公共情報端末や情報コンセントを含む)を一時的に使用させる場合においては、その利用者が守るべきセキュリティポリシーを定め、これを厳守させるよう適切な措置を施さなければならない。

(事故?障害)

第6条 職員及び学生は、情報セキュリティに関する事故、情報システムの不審な動作、公開情報の改ざん、システム上の障害及び誤動作を発見した場合には、管理機関担当者に直ちに報告しなければならない。

2 管理機関担当者は、報告のあった事故等について、すべて管理者に通知するとともに、その指示のもと、あるいは所定の手順にしたがって必要な処置を直ちに講じなければならない。

3 総括管理者は、発生したすべての情報セキュリティ上の事故等に関する記録を一定期間保存し、情報セキュリティ委員会に報告するとともに、重大な事故に対しては、再発防止のための対策を講じるものとする。

4 利用者に対する情報セキュリティ上の事故?障害の通知は、問題の程度に応じた適切な表現に配慮し、速やかに行わなければならない。

5 独立行政法人情報処理推進機構(IPA)や文部科学省、広島県への報告が必要な事故等については、定められた様式によって報告を行い、必要に応じて警察のネットワーク犯罪担当部署に相談などを行うものとする。

(情報の分類と管理)

第7条 情報の分類とそれに応じた管理方法においては、利用者は別に定める要領に従わなければならない。

2 個人情報が含まれる機器及び記録媒体の保管には善良なる管理者としての注意を払い、情報の消失や漏えいが起こらないようにしなければならない。

(記録媒体の管理)

第8条 職員は、機密性の高い情報を保管ないし移動させる場合は、権限のない者が当該情報にアクセスできないように、適切なアクセス制御を講ずる、または十分な強度を持つ暗号化等のセキュリティ対策をとらなければならない。

(機密情報が記録された媒体の廃棄)

第9条 職員は、機密性の高い情報を記録した媒体を廃棄する場合は、単に媒体を初期化するだけではなく、媒体全体の上書き消去等情報を復元できないように処理した上で廃棄しなければならない。

(学内ネットワーク等への機器の接続)

第10条 学内ネットワーク等には、総括管理者が許可を与えた機器のみを接続するものとし、IPアドレスを必要とする機器ごとに申請を行わなければならない。

2 前項の機器の接続申請は、原則として職員が行うこととし、申請者を機器管理者とする。研究室内で学生が利用する機器についても、指導教員が申請を行い、機器管理の監督責任を負うものとする。なお、総括管理者が別に指定した場所に接続する場合に限り、学生が申請を行うことができる。

3 機器管理者は、当初申請した機器及び設置場所を変更する場合には、総括管理者に変更申請を行わなければならない。

4 機器管理者は、機器の廃棄等により、学内ネットワーク等への接続の必要がなくなった場合には、総括管理者に廃止の届出を行わなければならない。

(無線LANアクセスポイントの接続)

第11条 総括管理者が認めた者を除き、学内ネットワーク等に接続可能な無線LANアクセスポイントの設置及び無線LANを利用した学内ネットワーク等への接続を行ってはならない。研究室等での無線LANアクセスポイントの設置?運用に関しては、次の各号に掲げる事項を遵守しなければならない。

(1) 設置する無線LANアクセスポイントは、総括管理者が指定する機器を利用しなければならない。

(2) 十分な強度をもった通信の暗号化を行う。

(3) 利用される機器に対する認証若しくは利用者の認証のいずれか又は双方を行い、認証を経ていない機器は無線LANに接続しない。

(4) 暗号化の強度、認証の仕組み等の対策が十分なセキュリティを維持しているか否かについて毎年見直しを行う。

(5) 無線LANの使用時においては、無線LANに接続される機器と学内ネットワークとの接続は遮断しなければならない。

(外部ネットワークとの接続の禁止)

第12条 学内ネットワークのセキュリティ機能の管理を回避する目的でのバックドア(PPPサーバ、コンピュータに接続する公衆回線、VPN装置及びソフトウェア等)の設置を原則として禁止する。ダイアルアップ等で学外との接続を行う場合には、学内ネットワークとの同時接続を行ってはならない。

(学外から学内への接続)

第13条 総括管理者が認めた者は、指定された方法で学内ネットワークとの接続をおこなうことができる。接続方法は、利用者のアクセス制限、通信の暗号化などに関して、十分なセキュリティを確保できるものでなければならない。

(コンソールポートの隔離)

第14条 学内ネットワークを構成しているルータ、インテリジェントスイッチは、コンソールポート、管理ポートが許可された特定の者以外は使用できないように、施錠などによって物理的に隔離して設置しなければならない。

(研究用ネットワークにおける機器の接続)

第15条 研究用ネットワークへの機器の設置については、教育研究上の必要性及び申請者の専門性等を総合的に判断し、総括管理者が認めた場合に限り許可する。

(DMZ及び研究用ネットワークへのサーバの設置)

第16条 DMZ又は研究用ネットワークにサーバを設置しようとする者(以下「サーバ設置申請者」という。)は、サーバ管理者を指定して総括管理者に申請し、許可を受けなければならない。

2 サーバ設置申請者は、システム構成、管理体制又はサーバ管理者の内容に変更がある場合は、総括管理者に変更内容を届け出なければならない。

3 サーバ管理者は、アカントの管理やアクセス制御などにより適切にサーバを管理しなければならない。

4 サーバ管理者は、管理するサーバに対してセキュリティインシデントが発生した場合、直ちに状況改善のための対応を行うとともに、所定の手順に従い、総括管理者に報告しなければならない。

(独自システムの設置)

第17条 各部局等が独自に情報システムサービスを提供する場合、総括管理者の許可を得なければならない。また、その独自システムの重要度に応じてファイアウォールの設置等、必要なセキュリティを確保しなければならない。セキュリティ確保に必要な機器の設置?運用については当該部局等の責任で行うものとする。

(クライアント機器のセキュリティ対策)

第18条 学内ネットワーク等にクライアント機器を接続している利用者は、OS及びアプリケーションソフトの脆弱性に対するアップデート等を適切に行わなければならない。

2 学内ネットワーク等に接続する機器でOSがWindowsであるものは、原則としてコンピュータウィルス対策ソフトウェア(以下「ウィルス対策ソフト」という。)の導入を義務付ける。

3 前項の機器は、システムを起動している限りにおいてウィルス検出パターンを最新の状態に保たなければならない。

4 第2項の機器に導入したウィルス対策ソフトについて、ウィルス定義ファイル更新サービスの期限が終了したときは、学内ネットワーク等への機器の接続を継続してはならない。

5 学内ネットワーク等に接続をしていない機器でOSがWindowsであるものについても、ウィルス対策ソフト等の導入を行わなければならない。

(学外におけるクライアント機器の利用)

第19条 クライアント機器を学外で利用する場合は、利用者は、盗難又は紛失に特に注意するものとする。単にクライアント機器のハードウェアだけでなく、機内の情報資産も学外に持ち出していることに留意し、当該機器を適切に管理しなければならない。

2 学外で外部組織のネットワークにクライアント機器を接続する場合も、利用者は、本学における場合と同様にセキュリティ対策を取らなければならない。

(サーバ機器の設置)

第20条 総括管理者は、本部学術情報センター設置のサーバ機器(コンソールを含む)を、入退室情報を記録できる装置が装備されている、または管理体制が整っている区域に設置しなければならない。管理区域内はサーバ機器の動作補償範囲内の温度、湿度を24時間保たなければならない。

(サーバ機器の復元対策)

第21条 総括管理者は、本部学術情報センター設置のサーバ機器(コンソールを含む)について、運用状態を復元するために次の各号に掲げる対策を講ずること。

(1) サーバ機器に記録されるデータは、定期的にバックアップすること。

(2) バックアップスケジュールは、サーバ機器の重要度に応じて決定すること。

(3) データをバックアップした記憶媒体は、データの重要度に応じて、適正な環境のもとに保管すること。

(サーバ機器の保守)

第22条 総括管理者は、本部学術情報センター設置のサーバ機器の保守においては、パスワードやシステム設定情報などの非公開情報の開示についての守秘義務契約を結ばなければならない。

(利用者の責務)

第23条 法人及び大学の保有する情報資産に関するすべての利用者は、ポリシーの関連項目に精通し、情報資産の利用にあたっては、各自がそのセキュリティに関する責任を負うとともに、ポリシーを遵守しなければならない。

2 利用者は、次の各号に掲げる行為を行ってはならない。

(1) パスワードの第三者への開示、譲渡、貸与

(2) プライバシー侵害及び著作権等法令に定める権利の侵害

(3) ネットワークの運用に支障を及ぼす恐れのある行為

(4) 他人を詐称する行為

(5) 営利を目的とする行為

(6) システムの不正な利用又はそれを助ける行為

(7) システムを不当に占有又は浪費する行為

(8) 他者のプログラム、データ等を改竄又は破壊する行為

(9) その他法令、法人の情報資産利用に関する諸規程、ポリシー及び社会的慣行に反する行為

(パスワードの管理)

第24条 利用者は、自己のアカウントのパスワードは秘密とし、十分なセキュリティを維持できるよう、自己のパスワードの設定及び変更に配慮しなければならない。

(権限の管理)

第25条 総括管理者は、利用資格を有する者以外に対してアカウントを発行してはならない。

2 総括管理者は、利用資格を失った利用者のアカウントは、一定期間経過の後に停止するものとする。

3 総括管理者は、利用者のアカウントを管理権限のない第三者に漏洩してはならない。

4 総括管理者は、ログ情報及び通信内容の解析等にあたっては、利用者のプライバシーを保護するために、閲覧解析を認める場合の要件と手続きを定めなければならない。また、解析の結果知りえた情報を第三者に漏洩してはならない。

(非常勤職員及び臨時職員並びに外部委託に対するセキュリティ対策)

第26条 総括管理者は、非常勤職員及び臨時職員に対し、雇用契約時に、守るべきポリシーの内容を理解させ、実施及び遵守させなければならない。

2 総括管理者は、情報システムの開発及び保守並びにシステム管理業務を外部委託事業者に発注する場合は、外部委託事業者から下請けとして受託する業者を含めて、ポリシーのうち外部委託事業者が守るべき内容の遵守を明確化した契約を締結させなければならない。

(対策基準の運用実態の把握)

第27条 法人及び本学における対策基準の運用実態等を把握するために、次に掲げる措置を実施すること。

(1) 総括管理者は、ポリシー及び対策基準の運用実態について、定期的及び必要に応じて調査?検討を実施し、その結果を情報セキュリティ委員会に報告しなければならない。

(2) 最高責任者は、実効性及び教育研究上の利便性の観点から、法人及び本学の情報資産を利用する者からポリシー遵守に関する意見を収集しなければならない。

(対策基準の更新)

第28条 情報セキュリティ委員会は、前条の結果に基づき、対策基準の実効性を少なくとも年1回評価し、必要な部分を見直して内容の変更及び実施時期の決定を行う。

(教育研究上の利便性の配慮)

第29条 最高責任者及び総括管理者は、情報セキュリティ対策を遵守することが現実的に困難とならないように、あるいは教育研究上の利便性を著しく損なうことのないように、利用者のニーズ動向の把握に努め、利便性の向上に配慮しなければならない。

(情報セキュリティ計画及び予算)

第30条 情報セキュリティ委員会及び最高責任者は、本学における情報セキュリティ対策に要する経費を把握し、必要に応じて学内の他の意思決定組織と連携しながら、情報セキュリティ計画の作成及び適切な予算措置を講じるものとする。

(実施手順)

第31条 総括管理者は、各キャンパスの実情を踏まえたうえで、必要に応じて対策基準に定められた事項を実施するための具体的な手順を別に定めるものとする。

この要領は、中国足彩网3年4月1日から施行する。

広島県公立大学法人及び県立広島大学情報セキュリティ対策基準に関する要領

中国足彩网3年4月1日 法人要領第44号

(中国足彩网3年4月1日施行)

体系情報
法人規程等/ 組織運営/ 基本組織
沿革情報
中国足彩网3年4月1日 法人要領第44号