セキュリティ/Security
一般社団法人 徳島県歯科医師会立 徳島歯科学院専門学校(以下 「本校」)における教育・研究活動には、情報基盤の充実に加え、情報資産のセキュリティ確保が不可欠です。
本校では、情報セキュリティ対策推進会議(内閣官房情報セキュリティ対策推進室)の決定した「情報セキュリティポリシーに関するガイドライン」を踏まえ、平成17年4月1日に情報セキュリティポリシーを定め、これを公開した。
本校では、情報セキュリティ対策推進会議(内閣官房情報セキュリティ対策推進室)の決定した「情報セキュリティポリシーに関するガイドライン」を踏まえ、平成17年4月1日に情報セキュリティポリシーを定め、これを公開した。
1)情報セキュリティの基本方針
情報は本校にとって重要な資産である。本学における教育・研究・診療活動は、情報の収集、格納、伝達、報告といった手段で行われている。
情報は本校にとって重要な資産である。本学における教育・研究・診療活動は、情報の収集、格納、伝達、報告といった手段で行われている。
情報資産が守られなければ、本校の教育・研究活動は停滞し、さらに本校に対する信頼の喪失などといった被害を受けることとなる。
したがって、教職員、学生、およびすべての関係者が不断の努力により、情報資産の保全を行うことが必要である。
本校が提供するネットワークサービスを利用する者は、情報セキュリティポリシー(以下、ポリシー)を遵守する責任があり、意図の有無を問わず、学内外の情報資産に対する権限のないアクセスや改竄、複写、破壊、漏洩等をしてはならない。
2)趣旨ならびに位置付け
ポリシーは、下記のとおりの目的をもって、本校の管理するコンピュータ、ネットワーク等を利用し情報を扱うにあたって遵守しなければならない最低限の事項をまとめたものである。
詳細は、条約、関連法規、本学の各種規程、ならび内規等に従うものとする。
本校の情報セキュリティに対する侵害の阻止
学内外の情報セキュリティを侵害する行為の抑止
情報資産の分類と管理
情報セキュリティの評価と更新
詳細は、条約、関連法規、本学の各種規程、ならび内規等に従うものとする。
本校の情報セキュリティに対する侵害の阻止
学内外の情報セキュリティを侵害する行為の抑止
情報資産の分類と管理
情報セキュリティの評価と更新
3)定義
用語の定義は、情報セキュリティ対策推進会議が定めた「情報セキュリティポリシーに関するガイドライン」にあるものと同様とする。
http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html 情報資産の定義は、情報ならびに情報を管理する仕組みとする。
http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html 情報資産の定義は、情報ならびに情報を管理する仕組みとする。
4)対象範囲ならびに対象者
本校におけるポリシーの対象範囲は、本校の管理する機器、ネットワーク、-時的にネットワークに接続された機器、および情報資産である、ポリシーの対象者は本校の情報資産を利用するすべての者とする。
5)情報セキュリティ侵害の阻止
(1)不正アクセス等への対応
外部または内部からの不正アクセスが検出された場合、本校は、関連する通信の遮断または該当する情報機器の切り放しを実施する。
不正アクセスが継続する場合には、所定の手続きに基づいて当該情報機器またはそれを接続するネットワークに対し、事態を警告、対策をとるよう勧告、定常的な利用を禁止するなどの抑止措置をとることができる。
(2)アクセス制限 本校は情報の内容に応じて、アクセス可能な利用者を定め、不正なアクセスを阻止するべく必要なアクセス制限を行わなければならない。
利用者は、アクセス権限のない情報にアクセスしたり、許可されていない情報を利用したりしてはならない。
外部または内部からの不正アクセスが検出された場合、本校は、関連する通信の遮断または該当する情報機器の切り放しを実施する。
不正アクセスが継続する場合には、所定の手続きに基づいて当該情報機器またはそれを接続するネットワークに対し、事態を警告、対策をとるよう勧告、定常的な利用を禁止するなどの抑止措置をとることができる。
(2)アクセス制限 本校は情報の内容に応じて、アクセス可能な利用者を定め、不正なアクセスを阻止するべく必要なアクセス制限を行わなければならない。
利用者は、アクセス権限のない情報にアクセスしたり、許可されていない情報を利用したりしてはならない。
6)学内外の情報セキュリティを侵害する行為の抑止
学内外を問わず、あらゆる研究・教育機関、企業、組織、団体、個人等の情報資産を侵害してはならない。
また、情報セキュリティに関連する条約、諸法規ならびに本校が定める規約等を遵守しなければならない。
また、情報セキュリティに関連する条約、諸法規ならびに本校が定める規約等を遵守しなければならない。
7)情報資産の分類と管理
本校の提供する情報に関しては、それが果たす役割と影響を十分認識し、常にその情報の正確性と健全性に配慮しなければならない。また、提供することによって利用者が被害を受けるいかなる情報も扱ってはならない。
情報提供の際には、関連する条約、諸法規ならびに本校が定める規約等を遵守しなければならない。
(1)情報資産の管理者
本校の管理する機器に保存された情報は、本校が管理しなければならない。
本校の管理するネットワークに個人の機器、または自主管理ドメインの機器を接続した場合、当該機器内の情報は、利用者、または自主管理ドメインの管理者がセキュリティポリシーにしたがい管理しなければならない。
(2)非公開情報資産
個人情報、事務、研究・教育等の非公開情報を不当に利用してはならない。
情報は適切に管理されなければならず、権限のない情報に対してアクセスを行ったり利用したりしてはならない。情報の盗難・漏洩等を防止するため、非公開情報を扱うネットワークは、暗号化や盗聴防止策を講じることが望ましい。また、情報が記録された媒体は、適切に管理されなければならない。
(3)限定公開情報資産
特定の利用者に特定の情報を公開する場合、その情報の登録・閲覧は、許可された者が許可された操作だけを行えるように、認証、アクセス制御等を実施しなければならない。
非公開情報を扱う場合と同じく、ネットワークは、暗号化や盗聴防止策を講じることが望ましい。
さらに、異常な登録、閲覧および操作が行われていないか、定期的に調査・確認しなければならない。
(4)公開情報資産
あらゆる公開情報を不当に利用してはならない。
情報は故意、破壊されないように適切に管理されなければならない。
また、非公開情報を公開する場合には、個人情報の漏洩、プライバシーや著作権の侵害に十分注意し、公開できる情報だけを抽出し、公開してよい形に加工しなければならない。
情報が記録された媒体は、適切に管理されなければならない。
(5)情報機器および記憶媒体の処分
非公開・限定公開・公開を問わず、情報機器および記憶媒体を破棄する場合は、その処分方法に注意しなければならない。
7)情報セキュリティならびにポリシーの評価と更新
(1)情報セキュリティの評価と更新本校の情報資産を守るためには、常に最新の情報を取得し、適切な物理的・技術的・人的セキュリティが実施されているか定期的に評価・調査・監査を実施しなければならない。
改善が必要と認められた場合は、速やかに情報セキュリティの更新を行わなければならない。
(2)ポリシーの評価と更新
情報セキュリティの調査とともに、ポリシーの実効性を定期的に評価し、改善が必要と認められた場合には、変更内容および実施時期の決定を行い、セキュリティレベルの高い、かつ遵守可能なポリシーに更新しなければならない。