情報セキュリティ基本方針書（案）

Size: px

Start display at page:

Download "情報セキュリティ基本方針書（案）"

かずただくまじ
5 years ago
Views:

1 公立大学法人横浜市立大学情報セキュリティ管理要綱 ( 目的 ) 第 1 条この要綱は公立大学法人横浜市立大学情報セキュリティ管理規程 ( 以下規程という ) に基づき情報セキュリティ対策に関し必要な事項を定め情報セキュリティの確保を図ることを目的とする ( 定義 ) 第 2 条この要綱において次の各号に掲げる用語の意義は規程第 2 条に定めるもののほか当該各号に定めるところによる (1) サーバ等情報システムが端末機に対し保有している機能やデータの提供蓄積を行うコンピュータ及び周辺機器をいう (2) 端末機 ( クライアント ) 等ネットワークでサーバ等と接続するものや単独で使用するものなどの形態があるが情報システムを使用するために必要なコンピュータ及び周辺機器をいう (3) ネットワーク機器等サーバ端末機等を接続するための通信網機器維持及び管理するための情報セキュリティ機器などをいう (4) 基本ソフトウェアハードウェアを正常に動作させるために必要なソフトウェア及び情報セキュリティのためのソフトウェアをいうオペレーティングシステムハードウェアの設定を行うためのソフトウェアウイルス対策用ソフトウェアなどをさす (5) 業務ソフトウェア業務を行うためのソフトウェアをいう文書作成用ソフトウェア表計算ソフトウェア及びサーバ等から提供されたデータを表示するためのソフトウェアなどをさす (6) その他のソフトウェア基本ソフトウェア及び業務ソフトウェア以外のソフトウェアをいう ( 情報資産の分類及び管理 ) 第 3 条情報セキュリティ責任者は情報資産の維持管理を行うため別表に基づき情報資産を分類するとともに情報資産管理台帳を作成し常に最新の状態に保たなければならないまた当該分類に対する適切な情報セキュリティの水準を維持するために次に掲げる対策を実施しなければならない (1) 情報システムを設置した場所への不正な立入り又は情報資産の持出し若しくは破壊等の物理的な侵害から情報資産を保護するための物理的なセキュリティ対策 (2) 情報セキュリティ対策の実施体制の整備及び周知徹底をはじめとした情報資産を取り扱う教職員 ( 公立大学法人横浜市立大学職員就業規則第 3 条第 1 項に規定された職員 ( 教育職員一般職員及び派遣職員をいう )) に対する教育等の人的なセキュリティ対策 (3) 情報資産に対する不正アクセスの防止コンピュータウイルス対策等の技術的なセキュリティ対策 2 情報セキュリティ責任者は情報セキュリティ対策実施の徹底を図るため所管する情報資産及び所管する情報資産に係わる全ての教職員に対して自己点検用チェックリストを用いて情報セキュリティ対策の実施状況を年 1 回及び必要に応じ検査し問題がある場合には速やかに是正しなければならないまた検査結果を情報セキュリティ管理者へ報告しなければならない 3 情報セキュリティ責任者は所管する情報資産を法人以外のものに提供する場合提供を受ける者がデータ利用時に利用者の認証を行っているか情報セキュリティに関する研修を実施しているかなど提供を受ける者が十分な情報セキュリティ対策を行っていることをあらかじめ確認しなければならない 4 情報セキュリティ責任者は情報システムの変更新たな脅威等を踏まえ定期的に評価見直しを行わなければならない ( 物理的な情報セキュリティ対策 ) 第 4 条情報セキュリティ管理者は情報資産を設置する建物や設備に関する情報セキュリティの確保を図るため次の各号に掲げる事項について共通する物理的な情報セキュリティ対策を規定しなければならない (1) サーバ等の設置及び管理 1

2 (2) 端末機等の設置及び管理 (3) ネットワーク機器等の設置及び管理 (4) 記録媒体の管理 ( サーバ等設置場所の管理 ) 第 5 条別表中サーバ等の情報セキュリティ責任者はサーバ等を情報セキュリティ事故が起きにくい安全な場所に設置しなければならない 2 サーバ等の設置箇所については情報資産の重要さに応じて次のような対策をとらなければならない (1) すべての出入口に施錠設備を備えた部屋に設置すること (2) サーバ等の設置場所であるようなことを示す表示をしないこと (3) 入退室管理を行うこと (4) 監視カメラを設置すること (5) 耐震免震対策を施すこと (6) 消火設備の設置 ( サーバ等の管理 ) 第 6 条前条のサーバ等を管理する情報セキュリティ責任者はサーバ等を安全に運用するよう管理しなければならない 2 非開示情報を含むデータを保有するサーバ等の運用管理については情報資産の重要さに応じて次のような対策をとらなければならない (1) 利用権限を持たない者が利用できないようにすること (2) 保守の記録を残すこと (3) 予備機の設置などあらかじめ障害発生時における対応手段対応手順を記したマニュアルを準備しておくこと ( 端末機等の管理 ) 第 7 条別表中端末機等の情報セキュリティ責任者は端末機等を安全に運用するよう管理しなければならない 2 非開示情報を含むデータを閲覧可能な端末機等の管理については情報資産の重要さに応じて次のような対策をとらなければならない (1) 端末機の盗難防止対策を行うこと (2) 利用権限を持たない者が使用できないようにすること (3) ソフトウェアは業務に必要なもののみに限定して導入すること (4) 利用者は業務上必要な場合に限りログインすることまた離席時には必ずログアウトすること ( 記録媒体の管理と廃棄 ) 第 8 条情報セキュリティ責任者は情報資産の重要さに応じてデータの滅失き損に備え復元に必要なデータを定期的に記録しておかなければならない 2 記録した媒体は火災や地震に耐えられる安全な保管場所に保管しなければならない 3 非開示情報を含むデータを格納した持ち運びの容易な記録媒体は利用しないときには施錠して保管しなければならない 4 媒体には第三者が重要性を識別できないように留意しつつ分類がわかるような表示をつけるものとする 5 記録媒体を廃棄する時には第三者が復元できないようデータを完全に消去するか物理的に破壊して廃棄するものとする ( 人的な情報セキュリティ対策 ) 第 9 条情報セキュリティ管理者は過誤盗難不正行為又は設備の誤用など人に関わる情報セキュリティの確保を図るため次の各号に掲げる事項について人的な情報セキュリティ対策を実施しなければならない 2

3 (1) 教職員に対する情報セキュリティの重要性や規程等の内容を理解させるための研修訓練等の実施 (2) 情報システムの開発保守又は運用等の業務を外部事業者に委託する場合の外部事業者が守るべき事項の規定 2 情報セキュリティ責任者は所属する教職員に対し情報セキュリティの重要性や規程等の内容を理解させるための教育訓練等を実施しなければならない ( 技術的な情報セキュリティ対策 ) 第 10 条情報セキュリティ管理者は不正アクセスやコンピュータウイルスからの情報資産の保護など情報システムの技術的処理方法に関わる情報セキュリティの確保のため次の各号に掲げる事項について法人に共通する技術的な情報セキュリティ対策を規定しなければならない (1) 情報資産をコンピュータウイルスから保護するために遵守しなければならない事項 (2) 情報資産を権限のない第三者による侵害から保護するために遵守しなければならない事項 ( データの管理 ) 第 11 条教職員はデータを取り扱うにあたって次のとおり扱わなければならない (1) 個人情報を含むデータア横浜市個人情報保護に関する条例 ( 平成 21 年 3 月条例第 3 号 ) ( 以下条例という ) に従って取り扱うことイ情報セキュリティ責任者によって利用を認められた教職員のみが取り扱うことウ情報セキュリティ責任者は利用者の認証に関する管理を必ず行うこと (2) 個人情報を含まないデータア当該データについて守秘を定めた規程等がある場合当該規程等に従って取り扱うことイ情報セキュリティ責任者によって利用を認められた教職員のみが取り扱うことウ情報セキュリティ責任者は利用者の認証に関する管理を必ず行うこと ( 情報システムの管理 ) 第 12 条情報セキュリティ責任者は情報システムの管理を次のとおり行うものとする (1) 情報システム開発の管理ア情報システム管理記録の作成及び管理非開示情報を含むデータを扱う情報システムについて当該情報システムの情報セキュリティ責任者は当該情報システムに関する開発中の変更等の作業履歴を記録管理し保管することイ情報システム開発環境の管理非開示情報を含むデータを扱う情報システムの開発の際には当該情報システムの情報セキュリティ責任者は必ず開発用の環境を用意し本番環境とは切り離して管理することウ情報システムの情報セキュリティ責任者はテスト用のデータが実データに混入しないようにするなどテスト用のデータと実データを分離すること (2) ソフトウェアの管理ア教職員は著作権著作権その他の権利に配慮しプログラムの不正使用や無断改造等を行わないことまた法人の保有する著作権著作権その他の権利が侵害されないよう努めることイ非開示情報を含むデータを扱う情報システムについて情報セキュリティ責任者は当該情報システムの変更等の履歴を管理することウ非開示情報を含むデータを扱う情報システムについて情報セキュリティ責任者は当該情報システムの仕様書及び手順書を最新の状態で管理し必要とする教職員がすみやかに閲覧できる状況の維持に努めるとともに閲覧する権限のない者が閲覧することのないようにしなければならないエ常に最新の修正版を適用しセキュリティホールを造らないこと ( コンピュータウイルス対策 ) 3

4 第 13 条法人のコンピュータウイルス対策は次のとおり実施するものとする (1) 法人のコンピュータウイルス対策の責任者は情報セキュリティ管理者とする (2) 情報セキュリティ管理者は情報システムに大きな被害を及ぼす恐れのあるコンピュータウイルスが発見された場合教職員に周知しなければならない (3) 情報セキュリティ管理者はコンピュータウイルス対策の啓発を行いコンピュータウイルス被害の情報収集のためにコンピュータウイルス対策等窓口を設置しなければならない (4) 教職員はコンピュータウイルスによって引き起こされる情報漏えいやシステム破壊の被害を未然に防ぐよう努めなければならない (5) 教職員は業務に無関係なホームページを閲覧してはならない (6) 情報セキュリティ責任者は情報システムがコンピュータウイルスに感染するのを未然に防ぐためコンピュータウイルス対策ソフトを導入し常に最新のパターンファイルを適用しなければならない (7) 情報セキュリティ責任者はコンピュータウイルスによる被害が発生した場合にはすみやかにコンピュータウイルス対策等窓口あて報告しなければならない ( 利用者の認証 ) 第 14 条情報システムの利用者の認証は次のとおり実施するものとする (1) 情報セキュリティ責任者が実施する対策ア利用者を特定する機能を持たせることイ利用者によってデータを利用する権限が異なる場合利用者ごとに閲覧操作可能なデータの範囲を設定できることウ権限を持たない者がデータを利用することを防ぐこと特に利用者を特定するためのデータの管理は厳重にすること (2) 利用者が実施する対策アパスワード認証用カード等が第三者に渡ることのないようにすることイパスワードを設定する場合他人に類推されやすいパスワードの使用を避けることウパスワード認証用カード等が紛失などにより第三者に渡ったおそれがあるときにはすみやかに利用停止等の手続きを行うこと ( 電子計算機結合 ) 第 15 条情報セキュリティ責任者は法人の情報システムを法人以外のものと通信回線で結合する場合不正アクセスや傍受への対策など十分な情報セキュリティ対策を講じなければならない 2 前項の結合を行う場合には情報セキュリティ責任者は必要に応じて結合を行おうとする情報システムを所有する者とデータの適正な取扱いに関する書面を取り交わすものとする 3 情報セキュリティ責任者は非開示情報を含むデータを保有する情報システムを法人以外のものと通信回線で結合する場合情報セキュリティ対策の内容についてあらかじめ情報セキュリティ管理者と協議しなければならない ( 使用状況の監視 ) 第 16 条情報セキュリティ責任者は情報システムの不正使用を監視するため以下の措置を講ずるものとする (1) 端末機等による非開示情報を含むデータの更新検索等の操作の記録 ( アクセスログ ) を保存すること (2) 記録は一定期間保存し定期的に点検を行うこと 2 インターネットを閲覧する情報システムは利用者が閲覧したサイトを把握できるよう措置しなければならない ( 情報セキュリティ事故対策 ) 第 17 条情報セキュリティ管理者は情報セキュリティ事故が発生した場合に備え法人の事業及び事務の継続 4

5 が困難となることのないよう次の各号に掲げる状況のほか発生し得る情報セキュリティ事故の状況を想定して緊急対応手順緊急連絡体制応急措置等を定めた情報セキュリティ事故対策を策定しなければならない (1) 情報システムのハードウェア上の問題による情報システムの停止等 (2) 情報システムのソフトウェア上の問題による情報システムの停止等 (3) 法人が管理する非開示情報の漏えい又は破壊等 2 情報セキュリティ責任者は所管する情報資産に関する情報セキュリティ事故について必要に応じて対策を定めなければならない ( 情報セキュリティ対策実施手順 ) 第 18 条情報セキュリティ管理者は規程及びこの要綱に基づく情報セキュリティ対策についてそれらの具体的な取組や実施方法等を記載した情報セキュリティ対策共通実施手順を定めなければならない 2 情報セキュリティ責任者は所管する情報資産の情報セキュリティ対策について情報セキュリティ対策共通実施手順に加え必要に応じて情報セキュリティ対策を定めなければならない附則この要綱は平成 24 年 4 月 1 日から施行する 5

6 別表分類区分大分類中分類小分類サーバ等ハードウェア端末機等情報セキュリティ責任者法人が直接管理運用を行うサーバ等外部に委託して管理運用を行うサーバ等又は派遣契約により派遣された者が管理運用を行うサーバ等法人が直接管理運用を行う端末機等当該機器を所管する所属の長当該外部委託又は派遣契約を行う所属の長当該機器を所管する所属の長通信機器等外部に委託して管理運用を行う端末機等及び派遣契約により派遣された者に管理運用を行わせる端末機等当該機器を所管する所属の長当該外部委託又は派遣契約を行う所属の長ソフトウェアデータ基本ソフトウェア当該ソフトウェアを所管する所属の長業務ソフトウェア当該ソフトウェアを所管する所属の長その他のソフトウェア当該ソフトウェアを所管する所属の長非開示情報を含むデータ非開示情報を含まないデータ個人情報を含むデータ個人情報を含まないデータ非開示情報を含まないデータ当該データを利用する業務を所管する所属の長当該データを利用する業務を所管する所属の長当該データを利用する業務を所管する所属の長 6

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令各省庁のガイドライン及び当法人の関連規程を遵守すると共にこれらに違反した場合には厳正に対処すること ( 個人情報保護 )

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令各省庁のガイドライン及び当法人の関連規程を遵守すると共にこれらに違反した場合には厳正に対処すること ( 個人情報保護 ) 情報セキュリティ基本規程特定非営利活動法人せたがや子育てネット第 1 章総則 ( 目的 ) 第 1 条この規程は当法人の情報セキュリティ管理に関する基本的な事項を定めたものです ( 定義 ) 第 2 条この規程に用いる用語の定義は次のとおりです (1) 情報資産とは情報処理により収集加工蓄積される情報データ類情報処理に必要な情報システム資源 ( ハードウェアソフトウェア等 )