令和健康科学大学

INFORMATION SECURITY POLICYINFORMATION SECURITY POLICY
情報セキュリティポリシー

本学では、情報セキュリティ対策に対する根本的な考え方や情報セキュリティに対する取り組み姿勢についてまとめた、「令和健康科学大学情報セキュリティポリシー」を制定施行しています。

情報セキュリティの基本方針

1.目的

情報資産は本学にとって重要なものです。本学における教育、研究及び医療の諸活動は、情報の収集、格納、伝達及び報告といった手段に依存しています。情報資産が守られなければ、本学の教育、研究の諸活動の停滞、本学に対する信頼の喪失などといった被害が生じるおそれがあります。したがって、職員、学生、その他すべての関係者は、不断の努力をもって、情報資産の機密性、完全性及び可用性に配慮し、これを保護していかなければなりません。
本学の提供する情報資産に関連するサービスを利用する者及び運用、管理等の業務に携わる者は、本ポリシーを遵守して利用、運用、管理等を行います。

本ポリシーは次のことを目的としています。
(1)本学の情報セキュリティに対する侵害の阻止
(2)学内外の情報セキュリティを侵害する行為の抑止
(3)情報資産の分類と管理の徹底
(4)情報セキュリティ侵害の早期検出と迅速な対応の実現
(5)情報セキュリティの評価と更新
(6)情報資産に関わる者のセキュリティ意識の向上

2.対象範囲及び対象者

本ポリシーは、本学が管理するすべての情報資産を対象とします。情報資産とは、情報及び情報を管理する仕組み(情報システム並びに情報システムの開発、運用及び保守に関する資料等)の総称です。
「情報」は、媒体(電磁的媒体、光学的媒体、紙媒体など)の種類を問いません。本学の外に保管される情報資産であっても、本学保有の情報資産として認められるものは対象となります。
本ポリシーは、本学の情報資産を利用する職員、学生のほか、利用を許可されたすべての者を対象とします。

3.実施に向けて

本学には、対象者が本ポリシー及び関係する学内規則を理解し、実施できるよう、教育及び指導する責任があると認識しています。本学は、本ポリシーを実施するための体制を整備していきます。

対策基準

1.組織・体制

本学は、情報セキュリティを組織的に管理運用する体制を確立するため、次のとおり、その役割と責任を定めます。

(1) 情報セキュリティ最高責任者
本学に最高情報セキュリティ責任者(Chief Information Security Officer。以下「CISO」という。)を置く。CISO は、適切な情報セキュリティ対策を図るための権限及び責任を有する。
(2) 情報セキュリティ委員会
本ポリシー及び情報セキュリティマネジメントに関する重要事項を決定し、遵守状況の確認、評価及び見直しを行うとともに、情報セキュリティ上の事件及び事故・障害時の対応状況を確認し、必要に応じて対策等に係る助言・指導・勧告を行う。
(3) 情報管理責任者
本学の各部署に情報管理責任者を置く。情報管理責任者は、その部署で所管する情報のセキュリティを確保しなければならない。
(4) 本学構成員
本学の構成員は、セキュリティ事故を発見したときは、情報管理責任者に通報しなければならない。

2.情報セキュリティ侵害の抑止等

本学は、本学内外を問わず、次のとおり人的又は電子的な情報の侵害の抑止を行います。

(1) 情報セキュリティを侵害する行為の抑止
学内外を問わず、あらゆる組織、団体、個人等の情報資産を侵害してはならない。
(2) アクセス制限
情報の内容に応じてアクセス可能な利用者を定め、不正なアクセスを阻止するべく必要なアクセス制限を行わなければならない。すべての利用者は、アクセス権限のない情報にアクセスしたり、許可されていない情報を利用してはならない。

3.情報資産の分類と管理

本学は、本学の情報資産が果たすべき役割と影響を十分に認識し、次のとおり常にその機密性、完全性、可用性に配慮して適切に分類し、管理します。

(1) 機密性
ある情報に対し認められた者だけがアクセスでき、その状態を確保する。
(2) 完全性
情報が破壊、改ざん又は消去されていない状態を確保する。
(3) 可用性
情報へのアクセスを認められた者が、必要な時に情報にアクセスできる状態を確保する。

4.情報セキュリティ侵害の早期検出と迅速な対応の実現

本学は、各種情報システムのアクセスログ等の情報を定期的に確認し、情報セキュリティ侵害の早期検出に努めます。また、インシデント発生時の体制を整備し、事案発生のときは、迅速かつ適切な対応を実現します。

5.情報資産に関わる者のセキュリティ意識の向上

本学は、本学の情報資産を利用するすべての者に対し、情報セキュリティ教育を定期的に実施し、情報セキュリティ意識の向上に努めます。

6.法令等の遵守及び違反への対処

本学は、情報資産の取扱いに関し、法令及び規制等を遵守します。本ポリシー及びセキュリティに関連する諸法規、条約並びに関係する学内規則に対する違反があったときは、学内規則等に従い対処します。

7.情報セキュリティ及びポリシーの評価と対応

本学の情報資産を守るため、本学は適切な情報セキュリティ対策が実施されているかについて定期的に評価し、改善が必要と認められたときは、速やかに対応します。また、本ポリシーの実効性についても定期的に評価し、改善が必要と認められたときは、適正に本ポリシーを改める等、速やかに対応します。