2010 2011 3 31
II A3100...191 A3101...191 A3102...191 A3103...191 A3104...191 A3105...191 A3106...191 A3107...191 A3108...191 A3109...191 A3110...191 A3111...191 A3112...191 A3113...191 A3114...191 A3115 ST ST...191 A3200...191 A3201...191 A3202...191 A3203...191 A3204...191 A3205...191 A3211...191 A3212...191 A3300...191 A3301...191 A3302...191 A3303 CIO/...191 A3401...191 A3500...191 A3502...191 A3600...191 A3601...191...191...191 292
I...5 A1000...15 A1001...17 A2101...29 A2102...107 A2103...109 A2104... 113 A2105...123 A2201...129 A2301...139 A2401...145 A2501...149 A2601 CP...191 A2602 CPS...191...191...191
A3100 A3100 A2101 A3101A3115 15 A3101 A3102 A3103 A3104 A3105 A3106 A3107 A3108 A3109 A3110 A3111 A3112 A3113 A3114 A3115 ST ST Windows Linux FreeBSD DNSSMTPPOP/IMAPFTPHTTPSSLSSH VPNIPFW 295
A3100 A3101A3115 (1) A3101 PDCA (2) A3102 (3) A3103 (4) A3104 (5) A3105 296
A3100 (6) A3106 (7) A3107 (8) A3108 (9) A3109 (10) A3110 297
A3100 (11) A3111 (12) A3112 Software Development Life Cycle (13) A3113 (14) A3114 NISC (15) A3115 ST ST STSecurity Target ST ST NISC 298
A3100 A3101A3115 A2101 A3101A3115 A2501 A3500 A3500 299
A3101 A3101 1. A1000 A1001 PDCA 2. 2.1 A2101 A2101-31 A2101-32 A2101-33 A2101-34 3. 1 2 301
A3101 2.1 3 4 4.1 4.2 4.3 4.4 5 5.1 6 6.1 7 7.1 8 8.1 9 ST ST IT 9.1 ST ST 9.2 ISO/IEC15408 IT 4. (1) (2) 5. 5.1 (1) ISO/IEC 17799Information technology - Security techniques - Code of practice for information security management(jis X 5080) (2) SLCP-JCF 98ISO/IEC 12207 (3) (4) IT ISO/IEC 15408 Common Criteria (JIS X 5070) (5) IPAIT JISEC 302
A3101 http://www.ipa.go.jp/security/jisec/index.html 5.2 6. 2 3 6.1 6.2 (1) [] (2) (3) (4) 303
A3101 A 2 3 (1) [] (2) (3) (4) 304
A3101 1. PDCA 2. 2.1 3. (1) (2) (3) (4) PDCA PLAN DOCHECKACTION 4. 4.1 (1) [] [] 305
A3101 4.2 (1) [] [] (a) [] (b) 306
A3101 [] (c) [] (2) [] PC OS DBMS OSUNIX OSLinux OSWindows OSDBMS PC PC LAN [] (3) [] 307
A3101 [] 4.3 A2101 [A2101-18] [A2101-19] [A2101-20] (1) [] ID 308
A3101 (2) [] (3) [] (4) [] [ ] 4.4 309
A3101 A2101 A2101 (1) [] [] A2101 (2) [] (3) [] 310
A3101 5. 5.1 ST ST IT 9 (1) [] OS [ ] [] (2) [] 311
A3101 (3) [] (4) [] 6. 6.1 (1) [] 312
A3101 (2) [] (3) [] (4) [] 313
A3101 (5) [] (6) [] (7) [] 7. 7.1 (1) [] 314
A3101 (2) [] 8. 8.1 PDCA (1) [] (a) (b) 315
A3101 9. ST ST IT 9.1 ST ST ST ST ST Security Target ISO/IEC15408 ST ST (1) [][ ST ST ]ST ST ST ST ST STSecurity Target ST ST ST ST ST ST ST ST ST ST [ ST ST ] (2) []ST ST ST IPA ST [http://www.ipa.go.jp/security/jisec/apdx0504.html] ST ST IPA IT 9.2 ISO/IEC 15408 IT ISO/IEC 15408 IT 316
A3101 IT IT (3) [] IT [ ] 317
A3102 A3102 1. 2. 3. (1) (2) (3) (4) 4. 4.1 (1) 319
A3102 () [ ] () 5. 5.1 (1) (2) 5.2 5.3 320
A3102 5.4 (1) (2) (3) (4) (5) (6) (7) 5.5 6. 6.1 (1) (2) 6.2 (1) 321
A3102 (2) 6.3 (1) (2) 6.4 6.5 (1) (2) (3) 7. 7.1 (1) 7.2 (1) 8. 8.1 322
A3102 (1) (2) 9. 9.1 9.2 10. 10.1 10.2 10.3 11. (1) 323
A3102 324
A3102 325
A3103 A3103 1. (1) (2) CPU P2P PC (3) ( 327
A3103 (4) (5) (6) (7) () (8) (9) A2101 (10) /] (11) 328
A3103 (12) A2201 (13) 2. (1) A B (2) e-mail [ ] Email: abuse@example.ac.jp 329
A3103 (3) [] 3. (1) (2) (3) (4) i) ii) i) i) 330
A3103 ii) (5) (6) (7) 331
A3103 4. (1) () () (2) () () (3) () () () () () 332
A3103 (4) () () (5) () () () () BCPBusiness Continuity Plan 5. (1) () () () (2) () () () (3) () 333
A3103 () () () JPCERT/CC () (4) () () (5) () () () () JPCERT/CC 334
A3103 JPCERT/CC JPCERT-ED-2002-0002 (Ver. 04) http://www.jpcert.or.jp/ed/2002/ed020002.txt 6. (1) (2) (3) 7. (1) () () () () JPCERT/CC (2) () 335
A3103 () a. 3 2 2 7 b. () a. b. CD c. http://www.telesa.or.jp/consortium/provider/index.htm (3) () () a. b. 7 (4) i) 336
A3103 ii) 3 1 1 (5) 337
A3103 3 1 (1)(3) (6) () 4 a. Web 1 b. Web 1 4 () () () () () 338
A3103 http://www.telesa.or.jp/consortium/pdf/provider_070226_guideline.pdf (7) 1 1 i) ii) iii) (8) () () () 8. (1) (2) 339
A3103 (3) (4) (5) (6) (4) - 9. 340
A3103 1 1. 2. 3. (1) (2) 4. 4.1 (1) (2) (3) BCPBusiness Continuity Plan (4) BCP 341
A3103 4.2 (1) (2) (3) (4) abuse@example.ac.jp (5) 4.3 4.4 342
A3103 343
A3103 344
A3103 2 1. A3103 (1) 4 (2) (3) 2. (1) (2) (3) (4) Digital Milemium Copyright ActDMCA http://en.wikipedia.org/wiki/online_copyright_infringement_liability_limitation_act http://www.utsystem.edu/ogc/intellectualproperty/dmcaisp.htm#top http://www.chillingeffects.org/dmca512/faq.cgi (5) DMCA (6) DMCA 345
A3103 (7) DMCAP2P P2P ISP (8) (9) 3. (1) (2) (3) 4. (1) CERT (2) IP (3) SPAM SPAM 346
A3104 A3104 1. 2. 3. 4. 4.1 4.2 (1) (2) 5. 5.1 A A 347
A3104 5.2 (1) (2) (3) (4) B 5.3 5.3.1 (1) 5.1 (2) 5.3.2 (1) (2) 5.1 348
A3104 A 5.1 (3) A (4) 6. 6.1 6.2 5. 6.3 5. 6.4 (1) (2) 5 6.5 5 349
A3104 7. 7.1 (1) (2) 7.2 (1) (2) (3) (4) (5) [ ] (6) (7) [] 350
A3104 8. 8.1 (1) (2) (3) (4) (5) (6) 8.2 (1) (2) (3) 8.3 (1) (2) 351
A3104 8.4 9. 9.1 (1) (2) 9.2 (3) 11. (4) (5) (6) 9.2 (1) (2) (3) [] (4) 352
A3104 BCC: 10. 10.1 (1) (2) 10.2 (3) 11. (4) 10.2 (1) [ ] (2) 11. 11.1 [] 11.2 11.3 (1) 353
A3104 (2) (3) (4) (5) (6) 11.4 (1) (2) 354
A3104 (3) (4) (5) 12. 12.1 (1) (2) (1) (2) FD CD-R/RWDVD-R/RW 12.2 355
A3104 12.3 13. (1) (2) 356
A3104 A 357
A3104 358
A3104 359
A3104 B 360
A3104 361
A3104 362
A3105 A3105 (1) () 6.6.1 MO USB 1 (2) () (3) (C)(I)(A) (C) (I) 1 http://www.meti.go.jp/policy/netsecurity/downloadfiles/is_audit_annex01_2.xls 363
A3105 (A) (4) (2)CIA (C) (I) (A) (5) 364
A3105 (6) 5. 365
A3105 366
A3106 A3106 1 2 3 A2101-18 4 367
A3106 368
A3106 369
A3106 X [] [] [] () 370
A3106 371
A3107 A3107 1. 2. 2.1 A2101 A2101-06 A2101-07 A2101-08 A2101-09 A2101-11 A2101-12 A2101-18 A2101-19 A2101-20 A2101-21 A2101-22 A2101-26 A2101-29 A2101-57 A2101-58 A2101-59 A2101-60 A2101-61 A2101-62 373
A3107 A2101-70 A2101-71 A2101-72 A2101-73 A2101-74 A2101-75 A2101-76 A2101-78 A2101-79 A2101-80 A2101-81 2.2 2.1 3. 1 2 2.1 3 3.1 3.2 374
A3107 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 4 4.1 375
A3107 4.2 WebDAVFrontPage 4.3 4.4 4.5 4.6 SSL/TLS 5 5.1 5.2 5.3 5.4 5.5 376
A3107 5.6 4. (1) (2) (3) (4) (5) (6) (7) (8) [] [] [] [] [] 377
A3107 [] [] 5. 5.1 (1) (IPA) Web URL: http://www.ipa.go.jp/security/fusei/ciadr.html 5.2 (1) URL: http://www.microsoft.com/japan/security/guidance/default.mspx (2) Windows Server. 2003 URL: http://www.microsoft.com/japan/technet/security/prodtech/ windowsserver 2003/w2003hg/sgch00.mspx (3) SunR BluePrints Security Publications URL: http://www.sun.com/software/security/blueprints/index.xml (4) SolarisR Security Toolkit URL: http://www.sun.com/software/security/jass/ (5) & URL: http://h50146.www5.hp.com/products/software/oe/hpux/ developer/setup/tips.html (6) HP-UXR Bastille URL: http://h20293.www2.hp.com/cgi-bin/swdepot_parser.cgi/cgi/ displayproductinfo.pl?productnumber=b6849aa (7) Bastille Linux URL: http://www.bastille-linux.org/ 378
A3108 A3108 1. 2. 2.1 A2101-06 A2101-07 A2101-08 A2101-09 A2101-12 379
A3108 A2101-18 A2101-19 A2101-20 A2101-21 A2101-24 A2101-26 A2101-57 A2101-61 A2101-62 A2101-70 A2101-71 A2101-72 A2101-73 A2101-74 A2101-75 A2101-76 A2101-78 A2101-84 A2101-85 2.2 2.1 3. 1 2 2.1 3 380
A3108 4 4.1 4.2 4.3 4.4 5 5.1 5.2 5.3 5.4 5.5 6 6.1 6.2 7 7.1 8 8.1 8.2 8.3 8.4 9 9.1 9.2 10 10.1 381
A3108 4. (1) (2) (3) (4) (5) (6) (7) 2 [] [] [] [] [] [] [] 382
A3108 5. 5.1 (1) URL: http://www.soumu.go.jp/joho_tsusin/d_syohi/m_mail.html (2) (IPA)UBE URL: http://www.ipa.go.jp/security/ciadr/antirelay.html (3) (IPA) URL: http://www.ipa.go.jp/security/fy10/contents/over-all/email.html 5.2 6. 2 3 6.1 MRA MSA MRA MSA MTAMSA MRA 383
A3108 (MTA) (MTA) (MSA/MTA) (MTA/MRA) (MUA) (MUA) 6.2 (1) HTTP SSL/TLS (2) (3) [] (4) (5) (6) 384
A3108 A3108 2. 3. (MTA) (MTA) (MSA/MTA) (MTA/MRA) (MUA) (MUA) MRA MSA MRA MSA 385
A3108 MTAMSA MRA HTTP SSL/TLS A3109 [] 386
A3108 1. 2. 2.1 3. (1) MTAMSAMRA (2) MTAMail Transfer Agent SMTP MSA SMTP SMTP (3) MSAMail Submission Agent MUA SMTP MTA MTA (4) MRAMail Retrieval Agent POP3IMAP MUA POP IMAP (5) MUAMail User Agent MSA MRA 387
A3108 (6) MTA MTA (7) (8) DNS MTA MX (9) MUA MTAMSAMRA 456 4. 4.1 (1) ID (2) 388
A3108 (3) 4.2 (1) MTAMSA MUA MSA MRA IDMRA (2) [1 ] (3) [] 4.3 (1) (2) [] 389
A3108 JVN(JP Vendor Status Notes)JPCERT (3) (4) (5) (6) [] MTA MSA 5.1 6.1 VRFYEXPNETRN SMTP MTA MSA MRA MTA 5.3 390
A3108 MSA 4.4 (1) (2) 5. 5.1 (1) [] MTA 5.2 (1) (2) (3) (4) MTA MSA (5) (6) 391
A3108 MTA 5.3 (1) MTA (2) MTA 5.4 (1) (2) 5.5 (1) MTAMSA postmaster (2) (3) MTA CPUHDD 392
A3108 6. 6.1 (1) [] MTA MSA LAN MSA 6.2 (1) [ ] (2) 7 7. 7.1 (1) MRA ID 393
A3108 MSA ID MRA (2) ID ID (3) MRA ID MSA ID ID (4) ID ID (5) ID 394
A3108 ID (6) ID 89 8. 8.1 (1) ID (2) 8.2 (1) (2) [] (3) MTAMSA MRA MSA 395
A3108 8.3 (1) (2) (3) 8.4 (1) 9. 9.1 (1) [] (2) 9.2 (1) [] 10 396
A3108 10. 10.1 (1) (2) 397
A3109 A3109 1. 2. 2.1 () 2.2 399
A3109 3. (1) (2) 1 (3) 1 1 (4) 1 4. 4.1 4.1.1 (1) 4.2 4.2.1 (1) (2) 400
A3109 4.3 4.3.1 (1) 4.4 4.4.1 (1) (2) (3) 4.4.2 (1) (2) 401
A3109 (3) (4) (5) (6) (7) 4.5 4.5.1 (1) 402
A3109 4.5.2 (1) 4.6 4.6.1 (1) 3 4.6.2 (1) (2) 4.7 4.7.1 (1) (2) (3) 403
A3109 (4) (5) 4.7.2 (1) (2) (3) 4.8 4.8.1 (1) 4.8.2 (1) (2) 404
A3109 5. (1) 6. (1) (2) 405
A3110 A3110 1. 2. 2.1 2.2 3. 1 2 407
A3110 3 4 4.1 4.2 4.3 5 6 7 8 4. 4.1 OS DBMS PC OS 408
A3110 4.2 (1) (2) (3) 4.3 4.4 4.5 409
A3110 5. (1) IT IPA http://www.ipa.go.jp/security/jisec/index.html IT ISO/IEC 15408 (Common Criteria) (2) 2006 6 C IT IT 6. 2 3 6.1 (1) (2) 6.2 (1) [] (2) 410
A3110 2 3 [] UNIX The Open Group Linux Linus Torvalds Windows Microsoft Corporation 411
A3110 1. 2. 3. (1) (2) (3) 4. 4.1 (1) 412
A3110 (2) UNIX Windows (3) 4.2 5 4.3 (1) (2) 413
A3110 (3) 5. 4.3 IT IT IT ISO/IEC 15408 (Common Criteria) IPA http://www.ipa.go.jp/security/jisec/index.html IT 1. 2006 6 6. (1) 414
A3110 7. 8. (1) (2) 415
A3110 416 4.2 (1) (2)(3)4.1 (1) (2) (3) 1 2 OS 3 DBMS 4 UNIX OSLinux Windows 5 6 7 OS 8 UNIX OSLinux Windows 9 10 1 1 LAN OS
A3111 A3111 1. 2. 3.3 3.4 3. 3.1 3.2 417
A3111 ASP 3.3 3.4 4. (1) 5 (2) 6 (3) 7 418
A3111 (4) 8 (5) 9 5. 5.1 (1) 1 (2) 1 (3) 1 (4) (3)1 1 (5) 5.2 (1) 419
A3111 (2) (3) (4) 6. 6.1 (1) (2) 420
A3111 (1) (2) ASP (3) (4) (5) (6) (7) (8) (9) (10) 7.5 (11) 6.2 (1)(9)2 6.2 421
A3111 6.2.1 (1) JIPDEC ISMS 3 2006 5 1 ISMS JIPDEC (2) 6.2.2 (1) 3 2006 5 2 422
A3111 (2) 6.2.3 (1) 3 2006 5 3 (2) 6.3 6.3.1 (1) 6.1 (1)(7) 423
A3111 6.3.2 (1) (7) 6.3.3 (1) (2) (8) 2 (3) (4) (9) 6.4 2 424
A3111 (1) 6.1 7. 7.1 (1) (1) (2) ASP (3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) 425
A3111 2 7.2 (1) (2) (3) (4) 7.3 (1) 6.1 426
A3111 7.4 (1) 7.5 (1) (2) (3) 8. 8.1 (1) 427
A3111 (2) (3) (4) (5) (6) 8.2 (1) 7.1 (2) 9. (1) 10. 428
A3111 10.1 (1) ST: Security Target ST ST (2) ST ST (3) ST ST ST ST ST ST STST 20066 10.2 (1) (2) (1) IT (3) (1)IT IT 429
A3111 20066 11. (1) (2) 430
A3111 1. (1) (2) (3) 431
A3111 ST ST ISO/IEC 15408 ST: Security Target STST IT IT (4) 432
A3111 (5) (6) (1)(5) (7) 433
A3111 (8) (9) (10) ISMS ISMSISMS 1 n 3 ISMS ISMSISMS 434
A3111 ISMS 1 4 3 2. (1) (2) (3) (4) 435
A3111 (5) (6) (7) (1)(6) 436
A3111 (8) (9) (10) (11) ISMS ISMSISMS 437
A3111 1 n 3 ISMS ISMSISMS ISMS 1 4 3 3. (1) (2) (3) 438
A3111 (4) (1)(3) (5) (6) (7) 439
A3111 ISMS (8) ISMS 1 1 ISMS 1 4. (1) (2) ISMS (3) ISMS 1 440
A3111 1 ISMS 1 441
A3111 1. (1) (2) 442
A3111 (3) 443
A3111 ST ST (4) ST ST ISO/IEC 15408 ST: Security TargetSTST ST ST 444
A3111 ISO/IEC 15408 ST: Security TargetSTST STST (5) (6) (7) (8) 445
A3111 (9) (10) (11) (12) (13) 2. (1) 1 446
A3111 (2) 1 (3) (4) (5) (6) (7) 447
A3111 (8) (9) (10) (11) 3. (1) 1 (2) 448
A3111 1 (3) (4) (5) (6) (7) (8) 4. (1) 449
A3111 (2) 450
A3111 1 1. (1) (2) xxx (3) (4) 2 (1) (2) (3) 2 9.3.1 451
A3111 3 (1) JIPDEC ISMS http://www.isms.jipdec.jp/ (2) 25 15 http://www.meti.go.jp/policy/netsecurity/sec_gov-toppage.html http://www.meti.go.jp/policy/netsecurity/downloadfiles/1_benchmark.pdf IPA http://www.ipa.go.jp/security/benchmark/ JIPDEC ISMS 452
A3111 453 JIS Q 27001:2006 JIS Q 27002:2006 ISMSVer.2.0 (JIS X5080:2002(ISO/IEC 17799:2000))25 1 1 3
A3111 (3) ISO/IEC 17799:2000 (JIS X 5080:2002) ISMSISMS Ver2.0 http://www.meti.go.jp/policy/netsecurity/audit.htm http://www.meti.go.jp/policy/netsecurity/is-kansa/index.html JASA http://www.jasa.jp/index.html 454
A3112 A3112 1. Software Development Life Cycle 2. 2.1 3. 1 1.1 1.2 455
A3112 2 3 3.1 3.2 4 4.1 5 5.1 5.2-5.3-5.4 5.5 6 6.1 6.2 6.3 6.4 7 7.1 7.2 4. (1) (2) (3) (4) 2 456
A3112 [] [] [] 5. 5.1 (1) ISO/IEC 15408 Common Criteria (JIS X 5070) (2) ISO/IEC 27002Information technology - Security techniques - Code of practice for information security management(jis Q 27002) (3) IPA http://www.ipa.go.jp/security/awareness/vendor/programming/ (4) IPA Web http://www.ipa.go.jp/security/awareness/administrator/secure-web/ (5) IPA http://www.ipa.go.jp/security/vuln/20050304_ec_security.html (6) IPA http://www.ipa.go.jp/security/vuln/20050304_ec_security.html (7) SLCP-JCF 98ISO/IEC 12207 (8) NIST Special Publication 800-53 Recommended Security Controls for Federal Information Systems (9) NIST Special Publication 800-64Security Considerations in the Information System Development Life Cycle 5.2 (1) Microsoft http://www.microsoft.com/japan/msdn/security/general/sdl.asp (2) MicrosoftWeb 457
A3112 http://www.microsoft.com/japan/msdn/security/guidance/secmod71.mspx 6. 2 3 6.1 6.2 (1) (a) [] (b) (c) (d) (2) 458
A3112 (3) (4) (5) 459
A3112 SDLC: Software Development Life Cycle) ISO/IEC15408Common Criteria Security Target 460
A3112 (1) (a) [] (b) (c) (d) (2) (3) (4) (5) 461
A3112 1. 1.1 98 CMMI PMBOK ISO9001 IT ISO/IEC15408Common CriteriaCC CC 1.2 [] (1) (2) (3) 462
A3112 1-1 [] [ ] SLCP-JCF 98ISO/IEC 12207 NIST Special Publication 800-64Security Considerations in the Information System Development Life Cycle (System Development Life Cycle) Microsoft http://www.microsoft.com/japan/msdn/security/general/sdl.asp (Security Development Lifecycle) 463
A3112 2. [] 3. 3.1 (1) (2) 464
A3112 3.2 (1) (2) 465
A3112 [] 4. 4.1 (1) 466
A3112 (2) [] [] 5. What (How) 5.1 (1) 467
A3112 ISO/IEC 15408 Common Criteria (JIS X 5070) IT Part1Part2Part3 CC Part2 ISO/IEC 27002JIS Q 27002 NIST Special Publication 800-53 Recommended Security Controls for Federal Information Systems Low/Moderate/High (2) (3) 468
A3112 (4) ST ST Security Target Security Target ST ST 5.2 - (1) (2) 469
A3112 5.3 - (1) (2) 470
A3112 OS (3) 5.4 (1) 471
A3112 IPA http://www.ipa.go.jp/security/awareness/vendor/programming/ 5.5 (1) (a) (b) (c) (d) 472
A3112 (e) (f) (2) (3) 6. 473
A3112 6.1 (1) (2) (3) 474
A3112 (4) 6.2 (1) [] 475
A3112 [] (2) 476
A3112 6.3 (1) (2) Brute force (3) 477
A3112 (4) (5) (6) SQL OS (7) Web 478
A3112 (8) (9) IPA http://www.ipa.go.jp/security/vuln/report/press.html 6.4 (1) 479
A3112 IPA http://www.ipa.go.jp/security/vuln/20050304_ec_security.html IPA Web http://www.ipa.go.jp/security/awareness/administrator/secure-web/ Web MicrosoftWeb http://www.microsoft.com/japan/msdn/security/guidance/secmod71.mspx ASP.NET Web (2) 480
A3112 7. 7.1 (1) FAQ 481
A3112 7.2 (1) 482
A3112 (2) 483
A3113 A3113 1. 2. (1) (2) (3) (4) (5) 485
A3113 (6) 3. 3 (2) (5) (JIPDEC) ISMS 4. ISMS (JASA) URL http://www.nisc.go.jp/active/general/pdf/dm6-06-061_manual.pdf 1 ISMS 2006 5 486
A3113 2 2006 5 3 2006 5 NISC 487
A3114 A3114 NISC URL DM6-07 http://www.nisc.go.jp/active/general/pdf/dm6-07-061_manual.pdf 2006 3 NISC 2005 12 489
A3115 ST ST A3115 ST ST NISC 2005 12 STSecurity Target ST ST A2501 4.3.1(1)(d)6.1.3(3)(e)NISC ST ST URL DM6-08 ST ST http://www.nisc.go.jp/active/general/pdf/dm6-08-061_manual.pdf 2006 3 NISC ST ST 491
A3200 A3200 A3201 PC A3202 A3203 A3204 A3205 A3211 A3212 A3201A3204 A2201 A2201 A3211 A3212 493
A3201 A3201 A2201 1. Windows AdministratorUNIX root 1.1 (a) (b) (c) (d) USB 1.2 495
A3201 (a) (b) (c) 1.3 (a) (b) (c) 1.2 1.4 (a) (b) (c). (d) 496
A3201 1.5 (a) PC (b) (a) 1.6 CD-ROM USB (a) (b) (c) CD-ROM OS 497
A3201 1.7 PC (a) (b) (c) (d) (b)pc PC (c) (d) 1.8 (a) OS (b) (c) PC 1.9 Web 498
A3201 (a) (b) PC 2. PC Windows AdministratorUNIX root PC PC PC PC PC 2.1 (a) OS (b) OS 2.2 499
A3201 1.4 (a) (b) (c) P2P (d) 1.4 (a)(b) (c) 2.3. (a) (b) (c) (d) (e) 500
A3201 (f) CDDVD BIOS BIOS (g) PC (f) (g)1.6 (c)pc 2.4 (a) VPN (b) (c) (d) root (e) 1.9 VPN (c) POP/IMAP SSL/TLS 2.5 501
A3202 A3202 1. 2. 3. 3.1 (1) HTML HTML (2) (3)HTML 3.2 503
A3202 (1) HTML HTML 4. 4.1 (1) 4.2 (1) (2) (3) 4.3 (1) (2) (3) (4) 504
A3202 PC ISP IMAP POP VPN PC 4.4 (1) 4.5 ID (1) ID (ID) (2) ID (3) ID (4) (5) ID ID 505
A3202 4.6 ID (1) (Web )ID 5. 5.1 PC (1) PC (2) PCPC (3) PC 5.2 (1) (2) A3205 (3) PC (4) PC PC PC PC 506
A3202 6. 6.1 (1) 6.2 (1) (2) (3) (4) 6.3 (1) (2) 6.4 (1) (2) 6.5 (1) PC PC LANUSB 507
A3202 LANLANPC LAN 6.6 (1) (2) (3) 7. 7.1 ToCc Bcc (1) ToCcBcc (2) Bcc ToCc 7.2 (1) Mbyte MByte (2) Mbyte 7.3 (1) HTML 508
A3202 HTML 7.4 (1) 3 2 () (VPN) (S/MIME) () (2) (3) (4) (5) (6) (7) 509
A3202 7.5 (1) (2) (3) (4) (5) (6) 3035 (7) ToCc To 8. 8.1 (1) To (2) 8.2 (1) (S/MIME) () 510
A3202 S/MIMEOutlook Express Outlook Express [] [S/MIME] (2) (3) 8.3 (1) Word Word [][] [][ ][] [][][] (2) 8.4 (1) 8.5 (1) (S/MIME) Outlook Express 511
A3202 Outlook Express [] [S/MIME] (2) 8.6 (1) 8.7 (1) 8.8 (1) 9. 9.1 (1) Mbytes (2) PC 9.2 PC (1) 512
A3202 (2) (3) PC (4) 10. (1) (2) 513
A3203 A3203 1. PC PC 2. 2.1 3. 3.1 (1) (2) IP 3.2 (1) 515
A3203 (2) (3) 3.3 (1) (2) 3.4 (1) (2) (3) 3.5 (1) 516
A3203 4. 4.1 (1) URI DoS IP HTML phishing phishing URI ID 517
A3203 3 4.2 SSL/TLS (1) SSL/TLS SSL/TLS 3 Microsoft Corporation Windows Internet Explorer Microsoft Corporation 518
A3203 SSL SSL 519
A3203 4.3 (1) ActiveX Java 4.4 (1) 5. (1) SSL/TLS (2) 6. 6.1 (1) (2) 520
A3203 (3) 6.2 (1) (2) 6.3 (1) 6.4 (1) LAN PC 7. (1) (2) URIUniversal Resource Identifier http://wwww.example.com/url Universal Resource Locator CSSXSS 521
A3203 IPA http://www.ipa.go.jp/security/awareness/vendor/programming/a01_02.html phishing phising ID HTML 522
A3204 A3204 1. 2. 3. ISP SINET SINET http://www.sinet.ad.jp/ 523
A3204 3.1 35 50 50 70 524
A3204 32 URL 525
A3204 (709 ) 13 5 25 URL: CLIC http://www.cric.or.jp/ NIME http://www.nime.ac.jp/ 3.2 3.3 230 526
A3204 3.4 3.5 3.6 3.7 527
A3204 http://www.internethotline.jp/ 4. 50 (*) (*) 528
A3204 3.1 FAQ http://www.cric.or.jp/qa/sodan/sodan7_qa.html 5. 5.1 6. 6.1 SINET SINET 529
A3204 6.2 6.2 7. 7.1. OS 7.2 CGI SSL/TLS 7.2.1 CGI 530
A3204 7.2.2 SSL/TLS 7.2 CGI SSL/TLS 7.3 public_html Basic URL 7.4 BBS BBS 7.4 531
A3204 (1)(2) (3)(4) 7.5 8. 8.1 8.1 532
A3204 http://www.telesa.or.jp/consortium/provider/index.htm URL 533
A3204 8.2 8.2 8.1 9. 534
A3205 A3205 1. 2. 2.1 2.2 AZ az 09 @!#$%&=-+*/.,:;[] ID 2.3 535
A3205 2.4 2.5 2.6 3. 3.1 3.2 536
A3211 A3211 1. 2. A1001 3. 3.1 (1) PC (2) (3) 3.2 537
A3211 (1) Java ActiveX 538
A3211 (2) (3) 539
A3211 HTML HTML HTML HTML 540
A3212 A3212 1. A2501 2. 2.1 A2501 1.2.3.1 2.2 1.2.3.1 3 541
A3212 1. (1) 542
A3212 (2) / (3) 2.3 3 (1) (2) (3) (4) 1.2.3.1 (5) 543
A3212 544
A3212 1 2 3 (1) () 1.2.3.1 (1)(a) 1.2.3.1 (2)(a) 1.2.3.1 (3)(a) 1.2.3.1 (3)(b) 1.2.3.1 (4)(a) 1.2.3.1 (4)(b) 1.2.3.1 (5)(a) 1.2.3.1 (5)(b) 6 7 8 9 10. 545
A3212 546 3. [ 1.2.3.1 (5)(b)]
A3212 3. 1.2.3.1 (1) 1.2.3.1 (1) (a) [] 3.1 (1) (2) 3.2 (1) (2) (3) 547
A3212 (4) 1.3 1.4 1.5 2 2.1 (5) 548
A3212 4. 1.2.3.1 (2) 1.2.3.1 (2) (a) [] (Step A Step G) Step A : (4.1) Step B : (4.2) Step C : (4.3) Step D : (4.4) Step E : (4.5) Step F : (4.6) Step G : (4.7) 549
A3212 B) B) A) A) Yes 1 4.1.3 (2)(g) 4 Yes 2 3.2.1 (2)(b) No 15 3 4.2.2 (2)(c) 30 Yes 4 ST 4.3.1 (1)(d) Yes 5 3.2.2 (3)(b) No : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : C) C) D) D) E) E) F) F) G) G) 4. 550
A3212 4.1 (Step A) (1) (Step A-1) (2) (Step A-2) (3) (Step A-3) (4) (Step A-4) 551
A3212 4.2 (Step B) Step B Step E Step B (1) (2) (3) (4) (5) 552
A3212 (1) (Step B-1) / 553
A3212 / ST / 554
A3212 / ST 6 3 Microsoft Windows Update 3 555
A3212 (2) (Step B-2) Yes/No (Yes) 556
A3212 ( (Yes)/(No)) 557
A3212 (Step B-1) [/][ ] 5 558
A3212 5. (3) (Step B-3) 6 3 559
A3212 6. 7. 8. 560
A3212 (4) (Step B-4) PC (5) (StepB-5) Step B-2 // (I) (II)(Yes) (No) Yes No No (NA) 561
A3212 (III) Access Control List No Yes Yes No (6) (Step B-6) (Step B) 9 562
A3212 1 2 3 4 5 : : ST : : 2.1.1.3 (2)(g) 1.3.1.1 (2)(a) 1.5.2.7 (1)(a) 1.5.1.1 (1)(d) 1.3.1.2 (5)(b) : : 4 15 30 : : : : : : : : : : : : : : : : : : : : : : Yes Yes No Yes Yes No : : Step A-3 StepA-4 Step B-1 Step B-2 Step B-3 Step B-4 Step B-5 Step B-6 : : 9. (Step B) 563
A3212 4.3 (Step C) (1) 10 10. 564
A3212 (2) 11 11 565
A3212 (3) 12 12. 4.4 (Step D) 10 13 566
A3212 13. 567
Yes 1 4.1.3 (2)(g) 4 Yes 2 3.2.1 (2)(b) No 15 3 4.2.2 (2)(c) 30 Yes 4 ST 4.3.1 (1)(d) Yes 5 3.2.2 (3)(b) No : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : : A3212 4.5 (Step E) Step B (1) (Step E-1) 14 14. (2) (Step E-2) 15 568
A3212 15. 569
A3212 570 4.6 (Step F) (1) (Step F-1) 16 A A A 16.
A3212 4.7 (Step G) Web 571
A3212 5. 1.2.3.1 (3) 5.1 1.2.3.1 (3) (a) (1) Web 572
A3212 (2) Web 573
A3212 5.2 1.2.3.1 (3) (b) 5.3 574
A3212 6. 1.2.3.1 (4) 6.1 1.2.3.1 (4) (a) (1) / / (2) 575
A3212 (3) 6.2 1.2.3.1 (4) (b) (1) / / 576
A3212 7. 1.2.3.1 (5) 1.2.3.1 (5) 1.2.3.1 (5)(a) 1.2.3.1 (5)(b) 7.1 1.2.3.1 (5) (a) (1) 577
A3212 1.2.1.3 (2) (b) (2) (3) 7.2 1.2.3.1 (5) (b) (1) (2) 578
A3212 579
A3212 (1) (2) [] (3) (4) 580
A3212 [] [ ] [] [] 1. 2. 2.1 (1) [1] (2) [2] 2.2 (1) [10 31 ] (2) 2.3 (1) (2) 581
A3212 3. 582
A3212 [] [] [] [] [ ] [] 1. 2. 2.1 [] [] 3. 3.1 [] 3.2 583
A3212 4. HomePage URL [ http://.example.ac.jp/security/self-check/index.html ] 5. No [-11] [] [] [ ] [-12] [] [] [] [] [-13] [] [] [] [] [-14] [] [] [ ] [-15] [] [] [] [] 6. (1) (2) 7. No [-12] [] [] [ ] [-13] [] [] [ ] 584
A3212 [-15] [] [] [ ] 8. No [-12] [] [] [2011 4 30 ] [-13] [] [] [2011 5 30 ] [-15] [] [] [] 9. 9.1 (1) 585
A3212 (2) 9.2 10. [] HomePage URL [ http://.example.ac.jp/security/self-check/index.html ] 586
A3212 [] [] [] [] [ ] [] 1. 2. 2.1 [] [] 3. 3.1 [] 3.2 587
A3212 4. 4.1 HomePage URL [ http://.example.ac.jp/security/self-check/index.html ] 5. HomePage URL [ http://.example.ac.jp/security/self-check/index.html ] 6. No [-11] [] [] [ ] [-12] [] [] [] [] [-13] [] [] [] [] [-14] [] [] [ ] [-15] [] [] [] [] 7. (1) (2) 588
A3212 (3) (4) 8. No [-12] [] [] [] [-13] [] [] [] [-15] [] [] [] 9. No [-12] [] [] [2006 4 30 ] [-13] [] [] [2006 5 30 ] [-15] [] [] [] 10. 10.1 589
A3212 (1) 11. [] HomePage URL [ http://.example.ac.jp/security/self-check/index.html ] 590
A3300 A3300 (A3301A3303. A A2301 A (1) PC 1 (2) A 591
A3300 PC PC PC PC (3) CIO/ CIO 3. CIO/ 592
A3301 A3301 A2301 60 90 4 1. 1.1 1.2 OS 1.3 (1) 4 : ( ) 593
A3301 (2) (3) (4) A2201 2 2. 2.1 (1) 594
A3301 (2) (a) () (b) (3) ID ID (4) 5 (a) 5 595
A3301 6 7 (b) (5) () () (a) (b) (c) (d) (e) (f) (6) 6 7 (A2201) P2P 596
A3301 8 A3204 (7) (1)(6) 2.2 (1) (2) (3) 8 597
A3301 (4) 3. 3.1 (1) (2) (3) () () : 9 9 598
A3301 (4) () 10 3.2 11 10 11 A3202 599
A3301 CcBcc Cc (Carbon Copy) Bcc (Blind Carbon Copy) Cc (To) Cc Bcc HTML HTML (chain mail) 12 12 600
A3301 PC PC (i) @ --atmark-- (ii) 3.3 SNS (Social Networking Service) 13 SNSmixi 3.4 13 601
A3301 4. 4.1 IP URLHTTP (1) IP PC PC IP 32 2 8 10 14 192.168.0.1 0255 4 11000000101010000000000000000001 11000000.10101000.00000000.00000001 192.68.0.1 IP IP IP IP 14 IPv4 602
A3301 (2) IP 1 IP DNS Domain Name System www.kantei.go.jp IP (3) URL HTTP URLUniform Resource Locator http://www.kantei.go.jp/jp/link.html URL http:// IP jp link.html HTTPHyper Text Transfer Protocol URL IP HTTP 12 15 15 http://www.eff.org/privacy/eff_privacy_top_12_jp.html 603
A3301 4.2 Spyware malware PC Microsoft Office Cookie 16 IPA 7 17 3 ( ) avast! 18 Google Pack 19 AVG Anti-virus Free Edition 20 16 (malware, malicious software) 17 http://www.ipa.go.jp/security/antivirus/7kajonew.html 18 http://www.avast.com/jpn/download-avast-home.html 19 http://pack.google.com/intl/ja/pack_installer.html Norton Security Scan Spyware Doctor 20 http://free.grisoft.com/ 604
A3301 4.3 phishing fishing ID 1 ID ID 1. 2. HTML 3. URL 21 4.4 Winny Winny Winny Winny P2P Winny 21 http://www.rcis.aist.go.jp/special/websafety2007/ 605
A3301 Winny AntinnyWinny Winny 22 Winny Winny Winny Winny P2P 4.5 1 Wiki mixi 22 http://jvn.jp/jp/jvn%2374294680/index.html http://www.ipa.go.jp/security/vuln/documents/2006/jvn_74294680_winny.html 606
A3302 A3302 1.1 PC 607
A3302 IC 1.2 608
A3302 1.3 DOS P2P 1.4 () () 609
A3302 1. 2. (Plan)(Do) (Check) PDC 3. PDC PDC () a. : b. : c. : d. : () 610
A3302 ID () () 611
A3302 SINET VPN FW1 NAT DoS Dos FW2 ( DMZ FW NW SINET SINET IP (NAT) - - - LAN - - - 612
A3302 2.1 1) LAN: 2) : 1 LAN 3) : 2.2 (P2P ) IP Reverse Path Filtering (RPF) Network Address TranslationNAT NAT 2.3 DMZDemilitarized Zone: DMZ DMZ 613
A3302 2.4 VPN Virtual Private Network VPN VPN VPN VPN 614
A3302 3.1 IP IP IP IP - IPv4 / IPv6 - / / - Classless Inter-Domain Routing (CIDR) / Variable Length Subnet Masks (VLSM) - well known port 3.2 - (ACL) - IP - Reverse Path Filtering (RPF) - ICMP - - IP - / - 615
A3302 3.3 NAT NAT NAT NAT IP IP IP IP IP P2P NAT NAT NAT - Network Address Translation (NAT) - Network Address Port Translation (NAPT) / IP - NAT - - Universal Plug and Play (UPnP) - TCP connection reversal - UDP hole punching 3.4 MACMedia Access Control MAC MAC - MAC - MAC 3.5 LAN LAN LAN - LAN - - ESS-ID - WEP / WPA / IEEE802.1x / IEEE802.1i - RADIUS 616
A3302 ID ID ID 4.1 ID: Identifier ID ID ID ID ID ID ID 617
A3302 ID ID ID ID ID 4.2 ID ID ID ID ID ID ID ID ID ID ID ID ID 2 PKI: Public Key Infrastructure VPN ID PKI PKI UPKIUPKI 618
A3302 4.3 ID SSO ID SSO SSO SSO SSO ID ID SSO IDID SSO ID SSO SSO ID LDAPLightweight Directory Access Protocol 619
A3302 620 4.4 IP OS CA RA Web IC ID S/MIME CA RA Web IC ID S/MIME
A3302 PC WEB 621
A3302 4.5 IP IP 622
A3302 4.6 IC IC IC IC IC IC PKI 623
A3302 OS OS WEB DNS OS UNIX Linux Windows (http://www.nisc.go.jp/law/index.html) IT (A3204 ) 624
A3303 CIO/ A3303 CIO/ CIO. 2. 2.1 625
A3303 CIO/ 2.2 A2101 A3103 3. 3.1 TCO 3.2 626
A3303 CIO/ PC 4. 4.1 4.2 4.3 4.4 627
A3303 CIO/ 4.5 628
A3401 A3401 1. 2. 3. 629
A3401 630
A3401 1 4. 631
A3401 5. 632
A3401 6. 633
A3401 7. 634
A3401 635
A3401 8. 636
A3401 637
A3401 9. 638
A3401 A3401 A3401 3. 4. 639
A3401 640
A3401 5. 641
A3401 41 (2) (1) (2) (1) (2) 44302 515302 642
A3401 643
A3401 6. 644
A3401 645
A3401 646
A3401 7. 647
A3401 648
A3401 (1) (2) (3) (1) (2) 649
A3401 8. 650
A3401 1. 2. 3. 4. 5. (1) (2) (3) (1) (2) 651
A3401 1. 2. 3. 4. 5. (1) (2) (1) (2) 652
A3500 A3500 1. A2501 A3501 A2501 2005 12 () A3501 2007 6 2007 7 A3501 2. A3501 A3501 A1001 A2501 2007 7 DM ( DM2 ) A2501 DM5-01 PC PC A2501 653
A3500 DM2-01 DM2-02 DM2-03 DM2-04 DM2-05 DM2-06 DM2-07 DM3-01 DM3-02 DM4-01 DM4-02 DM5-01 DM5-02 DM5-03 DM5-04 DM5-05 DM5-06 DM6-01 DM6-02 DM6-03 DM6-04 DM6-05 DM6-06 DM6-07 DM6-08 1 PC ST ST 654
A3500 A3501 A2501 A3501 2.1. A2501 2 2 2 A2501 A2501 2.2. A2501 2.3. A2501 A1001 655
A3500 A3100 A2501 2.4. A2501 656
A3502 A3502 1. A2501 2. 1.2.1.2 657
A3502 責 任 等 の 役 割 から 見 た 遵 守 事 項 管 理 番 号 基 本 ま た は 強 化 遵 守 事 項 第 1 編 基 本 編 第 1.2 部 組 織 と 体 制 の 整 備 1.2.1 導 入 1.2.1.1 組 織 体 制 の 整 備 (1) 全 学 総 括 責 任 の 設 置 1.2.1.1(1)(a) 基 本 全 学 総 括 責 任 を1 人 置 くこと 学 長 (A1001-04) 1.2.1.1(1)(b) 基 本 全 学 総 括 責 任 は 本 学 における 情 報 セキュリティ 対 策 に 関 する 事 務 を 全 学 総 括 責 任 統 括 すること (2) 全 学 情 報 システム 運 用 委 員 会 の 設 置 1.2.1.1(2)(a) 基 本 全 学 総 括 責 任 は 全 学 情 報 システム 運 用 委 員 会 を 設 置 し 委 員 長 及 び 委 員 を 置 くこと 全 学 総 括 責 任 全 学 情 報 システム 運 用 委 員 会 は 情 報 セキュリティに 関 する 対 策 基 準 を 1.2.1.1(2)(b) 基 本 策 定 し 全 学 総 括 責 任 の 承 認 を 得 ること ただし あらかじめ 全 学 総 括 全 学 情 報 システム 運 用 委 員 責 任 が 認 めた 場 合 は 一 部 の 技 術 的 な 事 項 について 指 定 した に 会 委 任 することができる (3) 情 報 セキュリティ 監 査 責 任 の 設 置 1.2.1.1(3)(a) 基 本 全 学 総 括 責 任 は 情 報 セキュリティ 監 査 責 任 を1 人 置 くこと 全 学 総 括 責 任 1.2.1.1(3)(b) 基 本 情 報 セキュリティ 監 査 責 任 は 全 学 総 括 責 任 の 指 示 に 基 づき 監 査 情 報 セキュリティ 監 査 責 任 に 関 する 事 務 を 統 括 すること 実 施 (4) 全 学 実 施 責 任 の 設 置 1.2.1.1(4)(a) 基 本 全 学 総 括 責 任 は 全 学 実 施 責 任 を 置 くこと 全 学 総 括 責 任 1.2.1.1(4)(b) 基 本 全 学 実 施 責 任 は 部 局 総 括 責 任 が 実 施 する 事 務 を 統 括 すること 全 学 実 施 責 任 1.2.1.1(4)(c) 基 本 全 学 実 施 責 任 は 情 報 セキュリティ 対 策 における 雇 用 の 開 始 終 了 及 び 人 事 異 動 等 に 関 する 管 理 の 規 定 を 策 定 し 全 学 総 括 責 任 の 承 認 を 全 学 実 施 責 任 得 ること (5) 部 局 総 括 責 任 の 設 置 1.2.1.1(5)(a) 基 本 全 学 総 括 責 任 は 情 報 セキュリティ 対 策 の 運 用 に 係 る 管 理 を 行 う 単 位 を 定 め その 単 位 ごとに 部 局 総 括 責 任 を 置 くこと 管 理 を 行 う 単 位 を 全 全 学 総 括 責 任 学 情 報 システム 運 用 委 員 会 の 各 情 報 システム 運 用 委 員 会 とし 部 局 総 括 責 任 は 部 局 情 報 システム 運 用 委 員 会 の 各 総 括 責 任 とすること 全 学 総 括 責 任 全 学 実 施 責 任 部 局 総 括 責 任 部 局 技 術 責 任 部 局 技 術 担 当 職 場 情 報 セ キ ュ リ テ ィ 事 務 責 従 任 事 1.2.1.1(5)(b) 基 本 部 局 総 括 責 任 は 所 管 する 単 位 における 情 報 セキュリティ 対 策 に 関 す 部 局 総 括 責 任 る 事 務 を 統 括 すること 部 局 総 括 責 任 は 情 報 セキュリティ 対 策 における 雇 用 の 開 始 終 了 及 1.2.1.1(5)(c) 基 本 び 人 事 異 動 等 に 関 する 管 理 の 規 定 に 従 った 運 用 がなされていることを 部 局 総 括 責 任 定 期 的 に 確 認 すること 1.2.1.1(5)(d) 基 本 全 学 総 括 責 任 は 部 局 総 括 責 任 を 置 いた 時 及 び 変 更 した 時 は 全 学 実 施 責 任 にその 旨 を 連 絡 すること 全 学 総 括 責 任 1.2.1.1(5)(e) 基 本 全 学 実 施 責 任 は すべての 部 局 総 括 責 任 に 対 する 連 絡 網 を 整 備 す 全 学 実 施 責 任 ること (6) 部 局 技 術 責 任 の 設 置 1.2.1.1(6)(a) 基 本 部 局 総 括 責 任 は 所 管 する 単 位 における 情 報 システムごとに 部 局 技 術 責 任 を 当 該 情 報 システムの 計 画 段 階 までに 置 くこと 部 局 総 括 責 任 1.2.1.1(6)(b) 基 本 部 局 技 術 責 任 は 所 管 する 情 報 システムに 対 する 情 報 セキュリティ 対 部 局 技 術 責 任 策 に 関 する 事 務 を 統 括 すること 1.2.1.1(6)(c) 基 本 部 局 総 括 責 任 は 部 局 技 術 責 任 を 置 いた 時 及 び 変 更 した 時 は 全 学 実 施 責 任 にその 旨 を 報 告 すること 部 局 総 括 責 任 1.2.1.1(6)(d) 基 本 全 学 実 施 責 任 は すべての 部 局 技 術 責 任 に 対 する 連 絡 網 を 整 備 す 全 学 実 施 責 任 ること (7) 部 局 技 術 担 当 の 設 置 1.2.1.1(7)(a) 基 本 部 局 技 術 責 任 は 所 管 する 情 報 システムの 管 理 業 務 において 必 要 な 部 局 技 術 責 任 単 位 ごとに 部 局 技 術 担 当 を 置 くこと 1.2.1.1(7)(b) 基 本 部 局 技 術 担 当 は 所 管 する 管 理 業 務 における 情 報 セキュリティ 対 策 を 部 局 技 術 担 当 実 施 すること 1.2.1.1(7)(c) 基 本 部 局 技 術 責 任 は 部 局 技 術 担 当 を 置 いた 時 及 び 変 更 した 時 は 全 学 実 施 責 任 にその 旨 を 報 告 すること 部 局 技 術 責 任 1.2.1.1(7)(d) 基 本 全 学 実 施 責 任 は すべての 部 局 技 術 担 当 に 対 する 連 絡 網 を 整 備 す 全 学 実 施 責 任 ること (8) 職 場 情 報 セキュリティ 責 任 の 設 置 1.2.1.1(8)(a) 基 本 部 局 総 括 責 任 は 各 職 場 に 職 場 情 報 セキュリティ 責 任 を1 人 置 くこ と 部 局 総 括 責 任 1.2.1.1(8)(b) 基 本 職 場 情 報 セキュリティ 責 任 は 職 場 における 情 報 セキュリティ 対 策 に 関 する 事 務 を 統 括 すること 職 場 情 報 セキュリティ 責 任 1.2.1.1(8)(c) 基 本 部 局 総 括 責 任 は 職 場 情 報 セキュリティ 責 任 を 置 いた 時 及 び 変 更 し 部 局 総 括 責 任 た 時 は 全 学 実 施 責 任 にその 旨 を 報 告 すること 1.2.1.1(8)(d) 基 本 全 学 実 施 責 任 は すべての 職 場 情 報 セキュリティ 責 任 に 対 する 連 絡 網 を 整 備 すること 全 学 実 施 責 任 (9) 情 報 セキュリティアドバイザーの 設 置 1.2.1.1(9)(a) 基 本 全 学 総 括 責 任 は 情 報 セキュリティに 関 する 専 門 的 な 知 識 及 び 経 験 を 全 学 総 括 責 任 有 した 専 門 家 を 情 報 セキュリティアドバイザーとして 置 くこと 1.2.1.1(9)(b) 基 本 全 学 総 括 責 任 は 情 報 セキュリティ 対 策 等 の 実 施 において 情 報 セキュ 全 学 総 括 責 任 リティアドバイザーが 行 う 業 務 の 内 容 について 定 めること 1.2.1.2 役 割 の 割 当 て (1) 兼 務 を 禁 止 する 役 割 の 規 定 1.2.1.2(1)(a) 基 本 事 務 従 事 は 情 報 セキュリティ 対 策 の 運 用 において 以 下 の 役 割 を 兼 事 務 従 事 務 しないこと (2) 上 司 による 承 認 許 可 全 学 情 報 シ ス テ ム 運 用 委 員 会 情 報 セ キ ュ 情 報 セ キ ュ リ テ ィ リ 監 テ ィ 査 を 監 実 査 施 責 す 任 る 権 限 管 理 を 行 う 許 可 権 限 管 理 権 限 を 持 つ 識 別 コー ド を 付 与 さ れ た 情 報 セ キ ュ リ テ ィ 関 係 規 程 を 整 備 し た 監 視 要 員 等 658
A3502 責 任 等 の 役 割 から 見 た 遵 守 事 項 管 理 番 号 1.2.1.2(2)(a) 基 本 ま た は 強 化 基 本 1.2.1.2(2)(b) 基 本 1.2.1.3 違 反 と 例 外 措 置 (1) 違 反 への 対 処 1.2.1.3(1)(a) 1.2.1.3(1)(b) 1.2.1.3(1)(c) 基 本 基 本 基 本 遵 守 事 項 事 務 従 事 は 承 認 権 限 等 が 有 する 職 務 上 の 権 限 等 から 当 該 承 認 権 限 等 が 承 認 又 は 許 可 ( 以 下 承 認 等 という )の 可 否 の 判 断 を 行 う ことが 不 適 切 と 認 められる 場 合 には 当 該 承 認 権 限 等 の 上 司 に 承 認 等 の 申 請 をすること この 場 合 において 当 該 承 認 権 限 等 の 上 司 の 承 認 等 を 得 たときは 当 該 承 認 権 限 等 の 承 認 等 を 得 ることを 要 しない 事 務 従 事 は 前 事 項 の 場 合 において 承 認 等 を 与 えたときは 承 認 権 限 等 に 係 る 遵 守 事 項 に 準 じて 措 置 を 講 ずること 事 務 従 事 は 情 報 セキュリティ 関 係 規 程 への 重 大 な 違 反 を 知 った 場 合 には 各 規 定 の 実 施 に 責 任 を 持 つ 部 局 総 括 責 任 にその 旨 を 報 告 する こと 部 局 総 括 責 任 は 情 報 セキュリティ 関 係 規 程 への 重 大 な 違 反 の 報 告 を 受 けた 場 合 及 び 自 らが 重 大 な 違 反 を 知 った 場 合 には 違 反 及 び 必 要 な に 情 報 セキュリティの 維 持 に 必 要 な 措 置 を 講 じさせること 部 局 総 括 責 任 は 情 報 セキュリティ 関 係 規 程 への 重 大 な 違 反 の 報 告 を 受 けた 場 合 及 び 自 らが 重 大 な 違 反 を 知 った 場 合 には 全 学 総 括 責 任 にその 旨 を 報 告 すること 事 務 従 事 事 務 従 事 事 務 従 事 実 施 部 局 総 括 責 任 部 局 総 括 責 任 (2) 例 外 措 置 1.2.1.3(2)(a) 基 本 全 学 情 報 システム 運 用 委 員 会 は 例 外 措 置 の 適 用 の 申 請 を 審 査 する 全 学 情 報 システム 運 用 委 員 ( 以 下 本 項 において 許 可 権 限 という )を 定 め 審 査 手 続 を 整 備 す 会 ること 事 務 従 事 は 例 外 措 置 の 適 用 を 希 望 する 場 合 には 定 められた 審 査 手 続 に 従 い 許 可 権 限 に 例 外 措 置 の 適 用 を 申 請 すること ただし 大 1.2.1.3(2)(b) 基 本 学 事 務 の 遂 行 に 緊 急 を 要 する 等 の 場 合 であって 情 報 セキュリティ 関 係 事 務 従 事 規 程 の 規 定 とは 異 なる 代 替 の 方 法 を 直 ちに 採 用 すること 又 は 規 定 を 実 施 しないことが 不 可 避 のときは 事 後 速 やかに 申 請 し 許 可 を 得 ること 事 務 従 事 は 申 請 の 際 に 以 下 の 事 項 を 含 む 項 目 を 明 確 にすること 1.2.1.3(2)(b)(ア) 申 請 の 情 報 ( 氏 名 所 属 連 絡 先 ) 1.2.1.3(2)(b)(イ) 例 外 措 置 の 適 用 を 申 請 する 情 報 セキュリティ 関 係 規 程 の 適 用 箇 所 ( 規 程 名 と 条 項 等 ) 1.2.1.3(2)(b)(ウ) 例 外 措 置 の 適 用 を 申 請 する 期 間 1.2.1.3(2)(b)(エ) 例 外 措 置 の 適 用 を 申 請 する 措 置 内 容 ( 講 ずる 代 替 手 段 等 ) 1.2.1.3(2)(b)(オ) 例 外 措 置 の 適 用 を 終 了 したときの 報 告 方 法 1.2.1.3(2)(b)(カ) 例 外 措 置 の 適 用 を 申 請 する 理 由 許 可 権 限 は 事 務 従 事 による 例 外 措 置 の 適 用 の 申 請 を 定 められ 1.2.1.3(2)(c) 基 本 た 審 査 手 続 に 従 って 審 査 し 許 可 の 可 否 を 決 定 すること また 決 定 の 際 に 以 下 の 項 目 を 含 む 例 外 措 置 の 適 用 審 査 記 録 を 作 成 し 全 学 総 括 許 可 権 限 責 任 に 報 告 すること 1.2.1.3(2)(c)(ア) 決 定 を 審 査 した の 情 報 ( 氏 名 役 割 名 所 属 連 絡 先 ) 申 請 内 容 申 請 の 情 報 ( 氏 名 所 属 連 絡 先 ) 例 外 措 置 の 適 用 を 申 請 する 情 報 セキュリティ 関 係 規 程 の 該 当 箇 所 ( 規 1.2.1.3(2)(c)(イ) 程 名 と 条 項 等 ) 例 外 措 置 の 適 用 を 申 請 する 期 間 例 外 措 置 の 適 用 を 申 請 する 措 置 内 容 ( 講 ずる 代 替 手 段 等 ) 例 外 措 置 の 適 用 を 終 了 した 旨 の 報 告 方 法 例 外 措 置 の 適 用 を 申 請 する 理 由 審 査 結 果 の 内 容 許 可 又 は 不 許 可 の 別 許 可 又 は 不 許 可 の 理 由 1.2.1.3(2)(c)(ウ) 例 外 措 置 の 適 用 を 許 可 した 情 報 セキュリティ 関 係 規 程 の 適 用 箇 所 ( 規 程 名 と 条 項 等 ) 例 外 措 置 の 適 用 を 許 可 した 期 間 許 可 した 措 置 内 容 ( 講 ずるべき 代 替 手 段 等 ) 例 外 措 置 を 終 了 した 旨 の 報 告 方 法 事 務 従 事 は 例 外 措 置 の 適 用 について 許 可 を 受 け 例 外 措 置 を 適 用 1.2.1.3(2)(d) 基 本 した 場 合 には それを 終 了 したときに 当 該 例 外 措 置 の 許 可 権 限 にそ 事 務 従 事 の 旨 を 報 告 すること ただし 許 可 権 限 が 報 告 を 要 しないとした 場 合 は この 限 りでない 許 可 権 限 は 例 外 措 置 の 適 用 を 許 可 した 期 間 の 終 了 期 日 に 許 可 を 1.2.1.3(2)(e) 基 本 受 けた からの 報 告 の 有 無 を 確 認 し 報 告 がない 場 合 には 許 可 を 受 けた に 状 況 を 報 告 させ 必 要 な 措 置 を 講 ずること ただし 許 可 権 限 許 可 権 限 が 報 告 を 要 しないとした 場 合 は この 限 りでない 全 学 総 括 責 任 は 例 外 措 置 の 適 用 審 査 記 録 の 台 帳 を 整 備 し 例 外 措 1.2.1.3(2)(f) 基 本 置 の 適 用 審 査 記 録 の 参 照 について 情 報 セキュリティ 監 査 責 任 から 全 学 総 括 責 任 の 求 めに 応 ずること 1.2.2 運 用 1.2.2.1 情 報 セキュリティ 対 策 の 教 育 (1) 情 報 セキュリティ 対 策 の 教 育 の 実 施 1.2.2.1(1)(a) 1.2.2.1(1)(b) 1.2.2.1(1)(c) 1.2.2.1(1)(d) 1.2.2.1(1)(e) 全 学 実 施 責 任 は 情 報 セキュリティ 関 係 規 程 について 事 務 従 事 に 基 本 全 学 実 施 責 任 対 し その 啓 発 をすること 全 学 実 施 責 任 は 情 報 セキュリティ 関 係 規 程 について 事 務 従 事 に 基 本 全 学 実 施 責 任 教 育 すべき 内 容 を 検 討 し 教 育 のための 資 料 を 整 備 すること 全 学 実 施 責 任 は 事 務 従 事 が 毎 年 度 最 低 1 回 受 講 できるように 基 本 情 報 セキュリティ 対 策 の 教 育 に 係 る 計 画 を 企 画 立 案 するとともに その 全 学 実 施 責 任 実 施 体 制 を 整 備 すること 基 本 基 本 全 学 実 施 責 任 は 事 務 従 事 の 着 任 時 異 動 時 に 新 しい 職 場 等 で3 か 月 以 内 に 受 講 できるように 情 報 セキュリティ 対 策 の 教 育 を 企 画 立 案 するとともに その 実 施 体 制 を 整 備 すること 全 学 実 施 責 任 は 事 務 従 事 の 情 報 セキュリティ 対 策 の 教 育 の 受 講 状 況 を 管 理 できる 仕 組 みを 整 備 すること 全 学 実 施 責 任 全 学 実 施 責 任 全 学 総 括 責 任 全 学 実 施 責 任 部 局 総 括 責 任 部 局 技 術 責 任 部 局 技 術 担 当 職 場 情 報 セ キ ュ リ テ ィ 事 務 責 従 任 事 全 学 情 報 シ ス テ ム 運 用 委 員 会 情 報 セ キ ュ 情 報 セ キ ュ リ テ ィ リ 監 テ ィ 査 を 監 実 査 施 責 す 任 る 権 限 管 理 を 行 う 許 可 権 限 管 理 権 限 を 持 つ 識 別 コー ド を 付 与 さ れ た 情 報 セ キ ュ リ テ ィ 関 係 規 程 を 整 備 し た 監 視 要 員 等 659
A3502 責 任 等 の 役 割 から 見 た 遵 守 事 項 管 理 番 号 基 本 ま た は 強 化 遵 守 事 項 1.2.2.1(1)(f) 基 本 全 学 実 施 責 任 は 事 務 従 事 の 情 報 セキュリティ 対 策 の 教 育 の 受 講 状 況 について 職 場 情 報 セキュリティ 責 任 に 通 知 すること 全 学 実 施 責 任 1.2.2.1(1)(g) 基 本 職 場 情 報 セキュリティ 責 任 は 事 務 従 事 の 情 報 セキュリティ 対 策 の 教 育 の 受 講 が 達 成 されていない 場 合 には 未 受 講 の に 対 して その 受 講 を 勧 告 すること 事 務 従 事 が 当 該 勧 告 に 従 わない 場 合 には 全 学 実 施 責 任 にその 旨 を 報 告 すること 職 場 情 報 セキュリティ 責 任 全 学 実 施 責 任 は 毎 年 度 1 回 全 学 総 括 責 任 及 び 全 学 情 報 システ 1.2.2.1(1)(h) 基 本 ム 運 用 委 員 会 に 対 して 事 務 従 事 の 情 報 セキュリティ 対 策 の 教 育 の 全 学 実 施 責 任 受 講 状 況 について 報 告 すること 特 に 重 要 な 情 報 とこれを 取 り 扱 う 情 報 システムにおいて 必 要 に 応 じ 全 1.2.2.1(1)(i) 強 化 学 実 施 責 任 は 情 報 セキュリティ 関 係 規 程 について 事 務 従 事 に 対 全 学 実 施 責 任 する 情 報 セキュリティ 対 策 の 訓 練 の 内 容 及 び 体 制 を 整 備 すること (2) 情 報 セキュリティ 対 策 の 教 育 の 受 講 1.2.2.1(2)(a) 基 本 事 務 従 事 は 毎 年 度 最 低 1 回 情 報 セキュリティ 対 策 の 教 育 に 関 する 計 画 に 従 って 情 報 セキュリティ 対 策 の 教 育 を 受 講 すること 事 務 従 事 事 務 従 事 は 着 任 時 異 動 時 に 新 しい 職 場 等 で 情 報 セキュリティ 対 1.2.2.1(2)(b) 基 本 策 の 教 育 の 受 講 方 法 について 職 場 情 報 セキュリティ 責 任 に 確 認 する 事 務 従 事 こと 事 務 従 事 は 情 報 セキュリティ 対 策 の 教 育 を 受 講 できず その 理 由 が 1.2.2.1(2)(c) 基 本 本 人 の 責 任 ではないと 思 われる 場 合 には その 理 由 について 職 場 情 事 務 従 事 報 セキュリティ 責 任 を 通 じて 全 学 実 施 責 任 に 報 告 すること 特 に 重 要 な 情 報 とこれを 取 り 扱 う 情 報 システムにおいて 必 要 に 応 じ 事 1.2.2.1(2)(d) 強 化 務 従 事 は 情 報 セキュリティ 対 策 の 訓 練 に 関 する 規 定 が 定 められてい 事 務 従 事 る 場 合 には 当 該 規 定 に 従 って 情 報 セキュリティ 対 策 の 訓 練 に 参 加 す ること 1.2.2.2 障 害 事 故 等 の 対 処 (1) 障 害 事 故 等 の 発 生 に 備 えた 事 前 準 備 全 学 総 括 責 任 は 情 報 セキュリティに 関 する 障 害 事 故 等 (インシデン 1.2.2.2(1)(a) 基 本 ト 及 び 故 障 を 含 む 以 下 障 害 事 故 等 という )が 発 生 した 場 合 被 害 の 拡 大 を 防 ぐとともに 障 害 事 故 等 から 復 旧 するための 体 制 を 整 備 す 全 学 総 括 責 任 ること 全 学 実 施 責 任 は 障 害 事 故 等 について 事 務 従 事 から 部 局 総 括 責 1.2.2.2(1)(b) 基 本 任 への 報 告 手 順 を 整 備 し 当 該 報 告 手 段 をすべての 事 務 従 事 に 周 全 学 実 施 責 任 知 すること 1.2.2.2(1)(c) 基 本 全 学 実 施 責 任 は 障 害 事 故 等 が 発 生 した 際 の 対 処 手 順 を 整 備 する こと 全 学 実 施 責 任 全 学 実 施 責 任 は 障 害 事 故 等 に 備 え 大 学 事 務 の 遂 行 のため 特 に 1.2.2.2(1)(d) 基 本 重 要 と 認 めた 情 報 システムについて その 部 局 技 術 責 任 及 び 部 局 技 全 学 実 施 責 任 術 担 当 の 緊 急 連 絡 先 連 絡 手 段 連 絡 内 容 を 含 む 緊 急 連 絡 網 を 整 備 すること 特 に 重 要 な 情 報 とこれを 取 り 扱 う 情 報 システムにおいて 必 要 に 応 じ 全 1.2.2.2(1)(e) 強 化 学 実 施 責 任 は 障 害 事 故 等 について 学 外 から 報 告 を 受 けるための 全 学 実 施 責 任 窓 口 を 設 置 し その 窓 口 への 連 絡 手 段 を 学 外 に 公 表 すること (2) 障 害 事 故 等 の 発 生 時 における 報 告 と 応 急 措 置 事 務 従 事 は 障 害 事 故 等 の 発 生 を 知 った 場 合 には それに 関 係 する 1.2.2.2(2)(a) 基 本 に 連 絡 するとともに 全 学 実 施 責 任 が 定 めた 報 告 手 順 により 部 局 事 務 従 事 総 括 責 任 にその 旨 を 報 告 すること 1.2.2.2(2)(b) 基 本 事 務 従 事 は 障 害 事 故 等 が 発 生 した 際 の 対 処 手 順 の 有 無 を 確 認 し 事 務 従 事 それを 実 施 できる 場 合 には その 手 順 に 従 うこと 事 務 従 事 は 障 害 事 故 等 が 発 生 した 場 合 であって 当 該 障 害 事 故 1.2.2.2(2)(c) 基 本 等 について 対 処 手 順 がないとき 及 びその 有 無 を 確 認 できないときは そ 事 務 従 事 の 対 処 についての 指 示 を 受 けるまで 障 害 事 故 等 による 被 害 の 拡 大 防 止 に 努 めること 指 示 があった 場 合 には その 指 示 に 従 うこと (3) 障 害 事 故 等 の 原 因 調 査 と 再 発 防 止 策 部 局 総 括 責 任 は 障 害 事 故 等 が 発 生 した 場 合 には 障 害 事 故 等 の 1.2.2.2(3)(a) 基 本 原 因 を 調 査 し 再 発 防 止 策 を 策 定 し その 結 果 を 報 告 書 として 全 学 総 括 責 部 局 総 括 責 任 任 に 報 告 すること 全 学 総 括 責 任 は 部 局 総 括 責 任 から 障 害 事 故 等 についての 報 告 1.2.2.2(3)(b) 基 本 を 受 けた 場 合 には その 内 容 を 検 討 し 再 発 防 止 策 を 実 施 するために 必 全 学 総 括 責 任 要 な 措 置 を 講 ずること 1.2.3 評 価 1.2.3.1 情 報 セキュリティ 対 策 の 自 己 点 検 (1) 自 己 点 検 に 関 する 年 度 計 画 の 策 定 実 施 1.2.3.1(1)(a) 基 本 全 学 実 施 責 任 は 年 度 自 己 点 検 計 画 を 策 定 し 全 学 総 括 責 任 の 承 全 学 実 施 責 任 認 を 得 ること (2) 自 己 点 検 の 実 施 に 関 する 準 備 1.2.3.1(2)(a) 基 本 部 局 総 括 責 任 は 事 務 従 事 ごとの 自 己 点 検 票 及 び 自 己 点 検 の 実 施 手 順 を 整 備 すること 部 局 総 括 責 任 (3) 自 己 点 検 の 実 施 1.2.3.1(3)(a) 基 本 部 局 総 括 責 任 は 全 学 実 施 責 任 が 定 める 年 度 自 己 点 検 計 画 に 基 づき 事 務 従 事 に 対 して 自 己 点 検 の 実 施 を 指 示 すること 部 局 総 括 責 任 1.2.3.1(3)(b) 基 本 事 務 従 事 は 部 局 総 括 責 任 から 指 示 された 自 己 点 検 票 及 び 自 己 点 事 務 従 事 検 の 実 施 手 順 を 用 いて 自 己 点 検 を 実 施 すること (4) 自 己 点 検 結 果 の 評 価 1.2.3.1(4)(a) 基 本 部 局 総 括 責 任 は 事 務 従 事 による 自 己 点 検 が 行 われていることを 確 認 し その 結 果 を 評 価 すること 部 局 総 括 責 任 1.2.3.1(4)(b) 基 本 全 学 実 施 責 任 は 部 局 総 括 責 任 による 自 己 点 検 が 行 われているこ 全 学 実 施 責 任 とを 確 認 し その 結 果 を 評 価 すること 1.2.3.1(4)(c) 基 本 全 学 実 施 責 任 は 自 己 点 検 の 結 果 を 全 学 総 括 責 任 へ 報 告 するこ と 全 学 実 施 責 任 (5) 自 己 点 検 に 基 づく 改 善 全 学 総 括 責 任 全 学 実 施 責 任 部 局 総 括 責 任 部 局 技 術 責 任 部 局 技 術 担 当 職 場 情 報 セ キ ュ リ テ ィ 事 務 責 従 任 事 全 学 情 報 シ ス テ ム 運 用 委 員 会 情 報 セ キ ュ 情 報 セ キ ュ リ テ ィ リ 監 テ ィ 査 を 監 実 査 施 責 す 任 る 権 限 管 理 を 行 う 許 可 権 限 管 理 権 限 を 持 つ 識 別 コー ド を 付 与 さ れ た 情 報 セ キ ュ リ テ ィ 関 係 規 程 を 整 備 し た 監 視 要 員 等 660
A3502 責 任 等 の 役 割 から 見 た 遵 守 事 項 管 理 番 号 基 本 ま た は 強 化 遵 守 事 項 実 施 1.2.3.1(5)(a) 基 本 事 務 従 事 は 自 らが 実 施 した 自 己 点 検 の 結 果 に 基 づき 自 己 の 権 限 の 範 囲 で 改 善 できると 判 断 したことは 改 善 し 部 局 総 括 責 任 にその 旨 事 務 従 事 を 報 告 すること 1.2.3.1(5)(b) 基 本 全 学 総 括 責 任 は 自 己 点 検 の 結 果 を 全 体 として 評 価 し 必 要 があると 全 学 総 括 責 任 判 断 した 場 合 には 部 局 総 括 責 任 に 改 善 を 指 示 すること 1.2.3.2 情 報 セキュリティ 対 策 の 監 査 (1) 監 査 計 画 の 策 定 1.2.3.2(1)(a) 基 本 情 報 セキュリティ 監 査 責 任 は 年 度 監 査 計 画 を 策 定 し 全 学 総 括 責 任 情 報 セキュリティ 監 査 責 任 の 承 認 を 得 ること (2) 監 査 の 実 施 に 関 する 指 示 1.2.3.2(2)(a) 基 本 全 学 総 括 責 任 は 年 度 監 査 計 画 に 従 って 情 報 セキュリティ 監 査 責 任 全 学 総 括 責 任 に 対 して 監 査 の 実 施 を 指 示 すること 全 学 総 括 責 任 は 情 報 セキュリティの 状 況 の 変 化 に 応 じて 必 要 と 判 断 1.2.3.2(2)(b) 基 本 した 場 合 情 報 セキュリティ 監 査 責 任 に 対 して 年 度 監 査 計 画 で 計 画 全 学 総 括 責 任 されたこと 以 外 の 監 査 の 実 施 を 指 示 すること (3) 個 別 の 監 査 業 務 における 監 査 実 施 計 画 の 策 定 情 報 セキュリティ 監 査 責 任 は 年 度 監 査 計 画 及 び 情 報 セキュリティの 1.2.3.2(3)(a) 基 本 状 況 の 変 化 に 応 じた 監 査 の 実 施 指 示 に 基 づき 個 別 の 監 査 業 務 ごとの 情 報 セキュリティ 監 査 責 任 監 査 実 施 計 画 を 策 定 すること (4) 監 査 の 実 施 に 係 る 準 備 1.2.3.2(4)(a) 基 本 情 報 セキュリティ 監 査 責 任 は 監 査 業 務 の 実 施 において 必 要 となる を 被 監 査 部 門 から 独 立 した から 選 定 し 情 報 セキュリティ 監 査 実 施 に 指 名 すること 情 報 セキュリティ 監 査 責 任 1.2.3.2(4)(b) 基 本 情 報 セキュリティ 監 査 責 任 は 必 要 に 応 じて 教 職 員 等 以 外 の に 監 情 報 セキュリティ 監 査 責 任 査 の 一 部 を 請 け 負 わせること (5) 監 査 の 実 施 1.2.3.2(5)(a) 基 本 情 報 セキュリティ 監 査 実 施 は 情 報 セキュリティ 監 査 責 任 の 指 示 に 基 づき 監 査 実 施 計 画 に 従 って 監 査 を 実 施 すること 情 報 セキュリティ 監 査 実 施 1.2.3.2(5)(b) 基 本 情 報 セキュリティ 監 査 実 施 は 実 施 手 順 が 本 基 準 に 準 拠 していること を 確 認 すること 情 報 セキュリティ 監 査 実 施 情 報 セキュリティ 監 査 実 施 は 自 己 点 検 の 適 正 性 の 確 認 を 行 う 等 によ 1.2.3.2(5)(c) 基 本 り 被 監 査 部 門 における 実 際 の 運 用 が 情 報 セキュリティ 関 係 規 程 に 準 拠 情 報 セキュリティ 監 査 実 施 していることを 確 認 すること 1.2.3.2(5)(d) 基 本 情 報 セキュリティ 監 査 実 施 は 監 査 調 書 を 作 成 すること 情 報 セキュリティ 監 査 実 施 1.2.3.2(5)(e) 基 本 情 報 セキュリティ 監 査 責 任 は 監 査 調 書 に 基 づき 監 査 報 告 書 を 作 成 し 全 学 総 括 責 任 へ 提 出 すること 情 報 セキュリティ 監 査 責 任 (6) 監 査 結 果 に 対 する 対 処 全 学 総 括 責 任 は 監 査 報 告 書 の 内 容 を 踏 まえ 被 監 査 部 門 の 部 局 総 1.2.3.2(6)(a) 基 本 括 責 任 に 対 して 指 摘 されたことに 対 する 対 処 の 実 施 を 指 示 するこ 全 学 総 括 責 任 と 全 学 総 括 責 任 は 監 査 報 告 書 の 内 容 を 踏 まえ 監 査 を 受 けた 部 門 以 外 の 部 門 においても 同 種 の 課 題 及 び 問 題 点 がある 可 能 性 が 高 く かつ 1.2.3.2(6)(b) 基 本 緊 急 に 同 種 の 課 題 及 び 問 題 点 があることを 確 認 する 必 要 があると 判 断 全 学 総 括 責 任 した 場 合 には 他 の 部 門 の 部 局 総 括 責 任 に 対 しても 同 種 の 課 題 及 び 問 題 点 の 有 無 を 確 認 するように 指 示 すること 1.2.3.2(6)(c) 基 本 部 局 総 括 責 任 は 監 査 報 告 書 等 に 基 づいて 全 学 総 括 責 任 から 改 部 局 総 括 責 任 1.2.3.2(6)(d) 基 本 1.2.4 見 直 し 1.2.4.1 情 報 セキュリティ 対 策 の 見 直 し (1) 情 報 セキュリティ 対 策 の 見 直 し 1.2.4.1(1)(a) 1.2.4.1(1)(b) 1.2.4.1(1)(c) 1.2.5 その 他 1.2.5.1 外 部 委 託 基 本 基 本 基 本 善 を 指 示 されたことについて 対 処 計 画 を 策 定 し 報 告 すること 全 学 総 括 責 任 は 監 査 の 結 果 を 踏 まえ 既 存 の 情 報 セキュリティ 関 係 規 程 の 妥 当 性 を 評 価 し 必 要 に 応 じてその 見 直 しを 指 示 すること 全 学 総 括 責 任 情 報 セキュリティ 関 係 規 程 を 整 備 した は 各 規 定 の 見 直 しを 行 う 必 要 情 報 セキュリティ 関 係 規 程 を 性 の 有 無 を 適 時 検 討 し 必 要 があると 認 めた 場 合 にはその 見 直 しを 行 う 整 備 した こと 事 務 従 事 は 情 報 セキュリティ 関 係 規 程 に 課 題 及 び 問 題 点 が 認 めら 事 務 従 事 れる 場 合 には 情 報 セキュリティ 関 係 規 程 を 整 備 した に 相 談 すること 情 報 セキュリティ 関 係 規 程 を 整 備 した は 情 報 セキュリティ 関 係 規 程 に 情 報 セキュリティ 関 係 規 程 を 課 題 及 び 問 題 点 が 認 められる 旨 の 相 談 を 受 けた 場 合 は 必 要 な 措 置 を 整 備 した 講 ずること (1) 情 報 セキュリティ 確 保 のための 学 内 共 通 の 仕 組 みの 整 備 1.2.5.1(1)(a) 基 本 全 学 実 施 責 任 は 外 部 委 託 の 対 象 としてよい 情 報 システムの 範 囲 及 び 委 託 先 によるアクセスを 認 める 情 報 資 産 の 範 囲 を 判 断 する 基 準 を 整 全 学 実 施 責 任 備 すること 1.2.5.1(1)(b) 基 本 全 学 実 施 責 任 は 委 託 先 の 選 定 基 準 及 び 選 定 手 続 を 整 備 すること 全 学 実 施 責 任 特 に 重 要 な 情 報 とこれを 取 り 扱 う 情 報 システムにおいて 必 要 に 応 じ 全 1.2.5.1(1)(c) 強 化 学 実 施 責 任 は 委 託 先 の 選 定 基 準 策 定 に 当 たって その 厳 格 性 向 上 全 学 実 施 責 任 のために 国 際 規 格 を 踏 まえた 委 託 先 の 情 報 セキュリティ 水 準 の 評 価 方 法 を 整 備 すること (2) 委 託 先 に 実 施 させる 情 報 セキュリティ 対 策 の 明 確 化 1.2.5.1(2)(a) 1.2.5.1(2)(b) 1.2.5.1(2)(c) (3) 委 託 先 の 選 定 基 本 基 本 基 本 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 は 外 部 委 託 に 係 る 部 局 技 術 責 任 又 は 職 場 情 業 務 遂 行 に 際 して 委 託 先 に 実 施 させる 情 報 セキュリティ 対 策 の 内 容 を 定 報 セキュリティ 責 任 め 委 託 先 候 補 に 事 前 に 周 知 すること 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 は 委 託 先 に 請 け 負 部 局 技 術 責 任 又 は 職 場 情 わせる 業 務 において 情 報 セキュリティが 侵 害 された 場 合 の 対 処 方 法 を 整 報 セキュリティ 責 任 備 し 委 託 先 候 補 に 事 前 に 周 知 すること 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 は 委 託 先 における 情 報 セキュリティ 対 策 の 履 行 状 況 を 確 認 するための 方 法 及 び 情 報 セ キュリティ 対 策 の 履 行 が 不 十 分 である 場 合 の 対 処 方 法 を 整 備 し 委 託 先 候 補 に 事 前 に 周 知 すること 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 全 学 総 括 責 任 全 学 実 施 責 任 部 局 総 括 責 任 部 局 技 術 責 任 部 局 技 術 担 当 職 場 情 報 セ キ ュ リ テ ィ 事 務 責 従 任 事 全 学 情 報 シ ス テ ム 運 用 委 員 会 情 報 セ キ ュ 情 報 セ キ ュ リ テ ィ リ 監 テ ィ 査 を 監 実 査 施 責 す 任 る 権 限 管 理 を 行 う 許 可 権 限 管 理 権 限 を 持 つ 識 別 コー ド を 付 与 さ れ た 情 報 セ キ ュ リ テ ィ 関 係 規 程 を 整 備 し た 監 視 要 員 等 661
A3502 責 任 等 の 役 割 から 見 た 遵 守 事 項 管 理 番 号 1.2.5.1(3)(a) 1.2.5.1(3)(b) 基 本 ま た は 強 化 基 本 強 化 (4) 外 部 委 託 に 係 る 契 約 1.2.5.1(4)(a) 1.2.5.1(4)(a)(ア) 1.2.5.1(4)(a)(イ) 1.2.5.1(4)(b) 1.2.5.1(4)(b)(ア) 1.2.5.1(4)(b)(イ) 1.2.5.1(4)(c) 1.2.5.1(4)(d) 1.2.5.1(4)(e) 基 本 基 本 基 本 基 本 基 本 遵 守 事 項 実 施 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 は 選 定 基 準 及 び 選 部 局 技 術 責 任 又 は 職 場 情 定 手 続 に 基 づき 委 託 先 を 選 定 すること 報 セキュリティ 責 任 特 に 重 要 な 情 報 とこれを 取 り 扱 う 情 報 システムにおいて 必 要 に 応 じ 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 は 国 際 規 格 を 踏 まえ 部 局 技 術 責 任 又 は 職 場 情 た 委 託 先 の 情 報 セキュリティ 水 準 の 評 価 方 法 に 従 って 委 託 先 の 候 補 報 セキュリティ 責 任 の 情 報 セキュリティ 水 準 を 確 認 し 委 託 先 の 選 定 における 評 価 の 一 要 素 として 利 用 すること 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 は 外 部 委 託 を 実 施 する 際 に 委 託 先 に 請 け 負 わせる 業 務 における 情 報 セキュリティ 対 策 機 密 保 持 ( 情 報 の 目 的 外 利 用 の 禁 止 を 含 む ) 情 報 セキュリティの 侵 害 発 生 時 の 対 処 方 法 情 報 セキュリティ 対 策 の 履 行 状 況 の 確 認 方 法 及 び 情 報 セキュリティ 対 策 の 履 行 が 不 十 分 である 場 合 の 対 処 方 法 を 含 む 外 部 委 託 に 伴 う 契 約 を 取 り 交 わすこと また 必 要 に 応 じて 以 下 の 事 項 を 当 該 契 約 に 含 めること 情 報 セキュリティ 監 査 の 受 入 れ サービスレベルの 保 証 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 は 外 部 委 託 に 係 る 契 約 双 方 の 責 任 の 明 確 化 と 合 意 の 形 成 を 行 い 委 託 先 における 情 報 セキュリティ 対 策 の 遵 守 方 法 及 び 管 理 体 制 に 関 する 確 認 書 等 を 提 出 さ せること また 必 要 に 応 じて 以 下 の 事 項 を 当 該 確 認 書 等 に 含 めさせ ること 当 該 委 託 業 務 に 携 わる の 特 定 遵 守 すべき 情 報 セキュリティ 対 策 を 実 現 するために 当 該 が 実 施 する 具 体 的 な 取 組 内 容 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 は 外 部 委 託 契 約 の 継 続 に 関 しては 選 定 基 準 及 び 選 定 手 続 に 基 づきその 都 度 審 査 するも のとし 安 易 な 随 意 契 約 の 継 続 をしないこと 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 は 委 託 先 の 提 供 す るサービス( 情 報 セキュリティ 基 本 方 針 実 施 手 順 管 理 策 の 維 持 及 び 改 善 を 含 む )の 変 更 に 関 しては 選 定 基 準 及 び 選 定 手 続 に 基 づき そ の 是 非 を 審 査 すること 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 は 委 託 先 がその 請 負 内 容 の 全 部 又 は 一 部 を 第 三 に 再 請 負 させることを 禁 止 すること た だし 委 託 先 からの 申 請 を 受 け 再 請 負 させることにより 生 ずる 脅 威 に 対 して 情 報 セキュリティが 十 分 に 確 保 される 措 置 が 担 保 されると 判 断 する 場 合 は その 限 りでない (5) 外 部 委 託 の 実 施 における 手 続 1.2.5.1(5)(a) 基 本 事 務 従 事 は 委 託 先 に 要 保 護 情 報 又 は 重 要 な 設 計 書 を 提 供 する 場 合 提 供 する 情 報 を 必 要 最 小 限 とし 以 下 の 措 置 を 講 ずること 事 務 従 事 1.2.5.1(5)(a)(ア) 委 託 先 に 情 報 を 提 供 する 場 合 は 安 全 な 受 渡 方 法 によりこれを 実 施 し 提 供 した 記 録 を 取 得 すること 外 部 委 託 の 業 務 終 了 等 により 提 供 した 情 報 が 委 託 先 において 不 要 に 1.2.5.1(5)(a)(イ) なった 場 合 には これを 確 実 に 返 却 させ 又 は 廃 棄 させ 若 しくは 抹 消 さ せること 1.2.5.1(5)(b) 1.2.5.1(5)(c) 基 本 基 本 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 は 請 け 負 わせた 業 務 の 実 施 において 情 報 セキュリティの 侵 害 が 発 生 した 場 合 に 定 められ た 対 処 方 法 に 従 い 委 託 先 に 必 要 な 措 置 を 講 じさせること 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 は 定 められた 方 法 に 従 い 委 託 先 における 情 報 セキュリティ 対 策 の 履 行 状 況 を 確 認 するこ と 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 (6) 外 部 委 託 終 了 時 の 手 続 部 局 技 術 責 任 又 は 職 場 情 報 セキュリティ 責 任 は 外 部 委 託 の 終 了 部 局 技 術 責 任 又 は 職 場 情 1.2.5.1(6)(a) 基 本 時 に 委 託 先 に 請 け 負 わせた 業 務 において 行 われた 情 報 セキュリティ 対 報 セキュリティ 責 任 策 を 確 認 し その 結 果 を 納 品 検 査 における 確 認 の 判 断 に 加 えること 1.2.5.2 業 務 継 続 計 画 との 整 合 的 運 用 の 確 保 (1) 業 務 継 続 計 画 と 情 報 セキュリティ 対 策 の 整 合 性 の 確 保 全 学 情 報 システム 運 用 委 員 会 は 本 学 において 業 務 継 続 計 画 又 は 本 基 全 学 情 報 システム 運 用 委 員 1.2.5.2(1)(a) 基 本 準 を 整 備 する 場 合 には 業 務 継 続 計 画 と 本 基 準 との 整 合 性 の 確 保 のた 会 めの 検 討 を 行 うこと 1.2.5.2(1)(b) 1.2.5.2(1)(c) 1.2.5.2(1)(c)(ア) 1.2.5.2(1)(c)(イ) 基 本 基 本 全 学 実 施 責 任 部 局 総 括 責 任 部 局 技 術 責 任 及 び 職 場 情 報 セ キュリティ 責 任 は 本 学 において 業 務 継 続 計 画 の 整 備 計 画 がある 場 合 には すべての 情 報 システムについて 当 該 業 務 継 続 計 画 との 関 係 の 有 無 を 検 討 すること 全 学 実 施 責 任 部 局 総 括 責 任 部 局 技 術 責 任 及 び 職 場 情 報 セ キュリティ 責 任 は 本 学 において 業 務 継 続 計 画 の 整 備 計 画 がある 場 合 には 当 該 業 務 継 続 計 画 と 関 係 があると 認 めた 情 報 システムについ て 以 下 に 従 って 業 務 継 続 計 画 と 本 基 準 に 基 づく 共 通 の 実 施 手 順 を 整 備 すること 通 常 時 において 業 務 継 続 計 画 と 本 基 準 の 共 通 要 素 を 整 合 的 に 運 用 する ため 情 報 セキュリティの 枠 内 で 必 要 な 見 直 しを 行 うこと 事 態 発 生 時 において 業 務 継 続 計 画 と 本 基 準 の 実 施 に 障 害 となる 可 能 性 のある 情 報 セキュリティ 対 策 の 遵 守 事 項 の 有 無 を 把 握 し 整 合 的 運 用 が 可 能 となるよう 事 態 発 生 時 の 規 定 を 整 備 すること (2) 業 務 継 続 計 画 と 情 報 セキュリティ 関 係 規 程 の 不 整 合 の 報 告 1.2.5.2(2)(a) 第 1.3 部 情 報 についての 対 策 1.3.1 情 報 の 取 扱 い 1.3.1.1 情 報 の 作 成 と 入 手 基 本 事 務 従 事 は 本 学 において 業 務 継 続 計 画 の 整 備 計 画 がある 場 合 で あって 業 務 継 続 計 画 と 情 報 セキュリティ 関 係 規 程 が 定 める 要 求 事 項 と の 違 いなどにより 実 施 の 是 非 の 判 断 が 困 難 なときは 関 係 に 連 絡 す るとともに 全 学 実 施 責 任 が 整 備 した 障 害 事 故 等 が 発 生 した 際 の 報 告 手 順 により 部 局 総 括 責 任 にその 旨 を 報 告 して 指 示 を 得 ること 全 学 実 施 責 任 部 局 総 括 責 任 部 局 技 術 責 任 及 び 職 場 情 報 セキュリティ 責 任 全 学 実 施 責 任 部 局 総 括 責 任 部 局 技 術 責 任 及 び 職 場 情 報 セキュリティ 責 任 事 務 従 事 全 学 総 括 責 任 全 学 実 施 責 任 部 局 総 括 責 任 部 局 技 術 責 任 部 局 技 術 担 当 職 場 情 報 セ キ ュ リ テ ィ 事 務 責 従 任 事 全 学 情 報 シ ス テ ム 運 用 委 員 会 情 報 セ キ ュ 情 報 セ キ ュ リ テ ィ リ 監 テ ィ 査 を 監 実 査 施 責 す 任 る 権 限 管 理 を 行 う 許 可 権 限 管 理 権 限 を 持 つ 識 別 コー ド を 付 与 さ れ た 情 報 セ キ ュ リ テ ィ 関 係 規 程 を 整 備 し た 監 視 要 員 等 662
A3502 責 任 等 の 役 割 から 見 た 遵 守 事 項 管 理 番 号 基 本 ま た は 強 化 遵 守 事 項 (1) 業 務 以 外 の 情 報 の 作 成 又 は 入 手 の 禁 止 1.3.1.1(1)(a) 基 本 事 務 従 事 は 大 学 事 務 の 遂 行 以 外 の 目 的 で 情 報 を 作 成 し 又 は 入 手 しないこと 事 務 従 事 (2) 情 報 の 作 成 又 は 入 手 時 における 格 付 けと 取 扱 制 限 の 決 定 事 務 従 事 は 情 報 の 作 成 時 及 び 学 外 の が 作 成 した 情 報 を 入 手 した 1.3.1.1(2)(a) 基 本 ことに 伴 う 管 理 の 開 始 時 に 格 付 け 及 び 取 扱 制 限 の 定 義 に 基 づき 格 付 事 務 従 事 け 及 び 取 扱 制 限 を 決 定 すること 事 務 従 事 は 元 の 情 報 の 修 正 追 加 削 除 のいずれかにより 他 が 1.3.1.1(2)(b) 基 本 決 定 した 情 報 の 格 付 け 及 び 取 扱 制 限 を 変 更 する 必 要 があると 思 料 する 事 務 従 事 場 合 には 前 項 に 従 って 再 決 定 すること 実 施 全 学 総 括 責 任 全 学 実 施 責 任 部 局 総 括 責 任 部 局 技 術 責 任 部 局 技 術 担 当 職 場 情 報 セ キ ュ リ テ ィ 事 務 責 従 任 事 全 学 情 報 シ ス テ ム 運 用 委 員 会 情 報 セ キ ュ 情 報 セ キ ュ リ テ ィ リ 監 テ ィ 査 を 監 実 査 施 責 す 任 る 権 限 管 理 を 行 う 許 可 権 限 管 理 権 限 を 持 つ 識 別 コー ド を 付 与 さ れ た 情 報 セ キ ュ リ テ ィ 関 係 規 程 を 整 備 し た 監 視 要 員 等 1.3.1.1(2)(c) 事 務 従 事 は 未 定 稿 の 情 報 を 決 定 稿 にする 際 には 当 該 情 報 の 格 付 けと 取 扱 制 限 について その 妥 当 性 の 有 無 を 再 確 認 し 妥 当 でないと 思 われる 場 合 には これを 行 った に 相 談 することに 努 めること 相 談 され 事 務 従 事 た は 格 付 けと 取 扱 制 限 の 見 直 しを 行 う 必 要 があると 認 めた 場 合 に は 当 該 情 報 に 対 して 新 たな 格 付 けと 取 扱 制 限 を 決 定 すること (3) 格 付 けと 取 扱 制 限 の 明 示 等 事 務 従 事 は 情 報 の 格 付 け 及 び 取 扱 制 限 を 決 定 ( 再 決 定 を 含 む 以 1.3.1.1(3)(a) 基 本 下 同 じ )した 際 に 当 該 情 報 の 参 照 が 許 されている が 認 識 できる 方 事 務 従 事 法 を 用 いて 明 示 等 すること (4) 格 付 けと 取 扱 制 限 の 加 工 時 における 継 承 事 務 従 事 は 情 報 を 作 成 する 際 に 参 照 した 情 報 又 は 入 手 した 情 報 1.3.1.1(4)(a) 基 本 が 既 に 格 付 け 又 は 取 扱 制 限 の 決 定 がなされている 場 合 には 元 となる 事 務 従 事 情 報 の 機 密 性 に 係 る 格 付 け 及 び 取 扱 制 限 を 継 承 すること 1.3.1.2 情 報 の 利 用 (1) 業 務 以 外 の 利 用 の 禁 止 1.3.1.2(1)(a) 基 本 事 務 従 事 は 大 学 事 務 の 遂 行 以 外 の 目 的 で 情 報 を 利 用 しないこと 事 務 従 事 (2) 格 付 け 及 び 取 扱 制 限 に 従 った 情 報 の 取 扱 い 事 務 従 事 は 利 用 する 情 報 に 明 示 等 された 格 付 けに 従 って 当 該 情 1.3.1.2(2)(a) 基 本 報 を 適 切 に 取 り 扱 うこと 格 付 けに 加 えて 取 扱 制 限 の 明 示 等 がなされて 事 務 従 事 いる 場 合 には 当 該 取 扱 制 限 の 指 示 内 容 に 従 って 取 り 扱 うこと (3) 格 付 け 及 び 取 扱 制 限 の 複 製 時 における 継 承 1.3.1.2(3)(a) 基 本 事 務 従 事 は 情 報 を 複 製 する 場 合 には 元 となる 情 報 の 機 密 性 に 係 る 格 付 け 及 び 取 扱 制 限 を 継 承 すること 事 務 従 事 (4) 格 付 け 及 び 取 扱 制 限 の 見 直 し 事 務 従 事 は 情 報 を 利 用 する 場 合 に 元 の 格 付 け 又 は 取 扱 制 限 がそ の 時 点 で 不 適 切 と 考 えるため 他 が 決 定 した 情 報 の 格 付 け 又 は 取 扱 1.3.1.2(4)(a) 基 本 制 限 そのものを 見 直 す 必 要 があると 思 料 する 場 合 には その 決 定 ( 決 事 務 従 事 定 について 引 き 継 いだ を 含 む ) 又 はその 上 司 ( 以 下 この 項 において 決 定 等 という )に 相 談 すること 1.3.1.2(4)(b) 基 本 事 務 従 事 は 自 らが 格 付 け 及 び 取 扱 制 限 の 決 定 等 である 情 報 に 対 して 見 直 しの 必 要 があると 認 めた 場 合 には 当 該 情 報 の 格 付 け 又 は 取 事 務 従 事 扱 制 限 を 再 決 定 し それを 明 示 等 すること また それ 以 前 に 当 該 情 報 を 参 照 した に 対 して その 旨 を 可 能 な 限 り 周 知 すること (5) 要 保 護 情 報 の 取 扱 い 1.3.1.2(5)(a) 基 本 事 務 従 事 は 大 学 事 務 の 遂 行 以 外 の 目 的 で 要 保 護 情 報 を 学 外 に 持 事 務 従 事 ち 出 さないこと 1.3.1.2(5)(b) 基 本 事 務 従 事 は 要 保 護 情 報 を 放 置 しないこと 事 務 従 事 1.3.1.2(5)(c) 基 本 事 務 従 事 は 機 密 性 3 情 報 を 必 要 以 上 に 複 製 しないこと 事 務 従 事 1.3.1.2(5)(d) 基 本 事 務 従 事 は 要 機 密 情 報 を 必 要 以 上 に 配 付 しないこと 事 務 従 事 特 に 重 要 な 情 報 とこれを 取 り 扱 う 情 報 システムにおいて 必 要 に 応 じ 事 務 従 事 は 機 密 性 3 情 報 には 機 密 性 3 情 報 として 取 り 扱 う 期 間 を 明 1.3.1.2(5)(e) 強 化 記 すること また その 期 間 中 であっても 情 報 の 格 付 けを 下 げる 又 は 取 事 務 従 事 扱 制 限 を 緩 和 する 必 要 性 があると 思 料 される 場 合 には 格 付 け 及 び 取 扱 制 限 の 見 直 しに 必 要 な 処 理 を 行 うこと 1.3.1.2(5)(f) 強 化 特 に 重 要 な 情 報 とこれを 取 り 扱 う 情 報 システムにおいて 必 要 に 応 じ 事 務 従 事 は 機 密 性 3 情 報 である 書 面 には 一 連 番 号 を 付 し その 所 在 事 務 従 事 を 明 らかにしておくこと 1.3.1.3 情 報 の 保 存 (1) 格 付 けに 応 じた 情 報 の 保 存 1.3.1.3(1)(a) 基 本 事 務 従 事 は 電 磁 的 記 録 媒 体 に 保 存 された 要 保 護 情 報 について 適 切 なアクセス 制 御 を 行 うこと 事 務 従 事 1.3.1.3(1)(b) 基 本 事 務 従 事 は 情 報 の 格 付 け 及 び 取 扱 制 限 に 応 じて 情 報 が 保 存 され た 電 磁 的 記 録 媒 体 を 適 切 に 管 理 すること 事 務 従 事 事 務 従 事 は 情 報 システムに 入 力 された 情 報 若 しくは 情 報 システムか 1.3.1.3(1)(c) 基 本 ら 出 力 した 情 報 を 記 載 した 書 面 のうち 要 機 密 情 報 である 書 面 又 は 重 要 事 務 従 事 な 設 計 書 を 適 切 に 管 理 すること 1.3.1.3(1)(d) 基 本 事 務 従 事 は 要 機 密 情 報 を 電 磁 的 記 録 媒 体 に 保 存 する 場 合 には パ スワードを 用 いて 保 護 する 必 要 性 の 有 無 を 検 討 し 必 要 があると 認 めた 事 務 従 事 ときは 情 報 にパスワードを 設 定 すること 事 務 従 事 は 要 機 密 情 報 を 電 磁 的 記 録 媒 体 に 保 存 する 場 合 には 暗 1.3.1.3(1)(e) 基 本 号 化 を 行 う 必 要 性 の 有 無 を 検 討 し 必 要 があると 認 めたときは 情 報 を 事 務 従 事 暗 号 化 すること 1.3.1.3(1)(f) 基 本 事 務 従 事 は 要 保 全 情 報 を 電 磁 的 記 録 媒 体 に 保 存 する 場 合 には 電 子 署 名 の 付 与 を 行 う 必 要 性 の 有 無 を 検 討 し 必 要 があると 認 めたとき 事 務 従 事 は 情 報 に 電 子 署 名 を 付 与 すること 1.3.1.3(1)(g) 基 本 事 務 従 事 は 要 保 全 情 報 若 しくは 要 安 定 情 報 である 電 磁 的 記 録 又 は 重 要 な 設 計 書 について バックアップ 又 は 複 写 の 必 要 性 の 有 無 を 検 討 し 必 要 があると 認 めたときは そのバックアップ 又 は 複 写 を 取 得 するこ と 事 務 従 事 663