情報セキュリティポリシー 基本方針
学校法人関西学院は、構成員が安心・安全にICT環境を利用できるよう、情報セキュリティに関する基本方針(情報セキュリティ基本方針)と対策基準(情報セキュリティ対策基準)からなる「情報セキュリティポリシー」を整備する。
目次
【情報セキュリティ基本方針】
第1章 総則
(目的及び方針)
第1条 学校法人関西学院(以下「本学院」という。)の教育、研究、その他の活動を行うにあたっては、情報システムの活用にあわせて、情報資産を損失や漏えいなどのセキュリティの脅威から保全することが必要不可欠である。そのため、本学院の全ての構成員及び関係者は、情報資産の価値と保全の重要性を認識し、本学院の保有する情報の機密性、完全性及び可用性の維持に努めなければならない。情報セキュリティ水準の適切な維持のため、本学院は「情報セキュリティ基本方針」(以下「本基本方針」という。)及び「情報セキュリティ対策基準」からなる「関西学院情報セキュリティポリシー」(以下「本ポリシー」という。)を定め、以下の対策を行う。
- 情報セキュリティ対策の実施体制の整備
- 情報及び情報システムの保護
- 情報システムのセキュリティの維持
- 情報セキュリティインシデントへの対処
- 利用者への啓発・教育
- 前各号に掲げるものを含む情報セキュリティマネジメントの実施
(適用範囲)
第2条 本ポリシーにおいて適用対象とする者は、本学院の情報システムを運用・管理する全ての者、並びに利用者及び臨時利用者とする。
2 本ポリシーにおいて適用対象とする情報は、次に掲げる情報とする。
- 本学院が調達し、又は開発した情報処理若しくは通信の用に供するシステム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報を含む。)
- その他の情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報を含む。)であって、教職員等が職務上取り扱う情報
- 前各号に掲げるもののほか、本学院が調達し、又は開発した情報システムの設計又は運用管理に関する情報
3 本ポリシーにおいて適用対象とする情報システムは、本基本方針の適用対象となる情報を取り扱う全ての情報システム及び学内通信回線に接続する全ての情報システムとする。
(用語定義)
第3条 本基本方針における用語の定義は、別に定める。
第2章 義務・罰則
(義務)
第4条 本学院の情報及び本学院で扱う情報システムを利用する者、並びに管理・運用の業務に携わる者は、本ポリシー及びその他の規程等を遵守しなければならない。
(罰則)
第5条 本ポリシーに基づき定められる規程等に違反した場合の利用の制限および罰則は、本学院が定める就業規則及びネットワーク利用倫理規程に則って行うほか、それぞれの規程に定めるところによる。
第3章 例外措置
(例外措置)
第6条 本ポリシーを遵守することが困難な状況で、本学院の業務の適正な遂行を継続するため、遵守事項とは異なる代替の方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、別に定める手続きに従い例外措置をとることができるものとする。
第4章 組織・体制
(最高情報セキュリティ責任者(CISO))
第7条 本学院における情報セキュリティに関する事務を統括する最高情報セキュリティ責任者(以下「CISO」という。)を置く。情報担当理事をもってこれに充てる。
2 CISOは、次に掲げる事務を統括する。
- 情報セキュリティ対策推進のための組織・体制の整備
- 情報セキュリティインシデントに対処するために必要な指示その他の措置
- 前各号に掲げるもののほか、情報セキュリティに関する重要事項
(情報セキュリティ監査責任者)
第8条 CISOは、その指示に基づき実施する監査に関する事務を統括する者として、情報セキュリティ監査責任者を置くものとする。
(統括情報セキュリティ責任者の設置)
第9条 CISOを補佐する者として、統括情報セキュリティ責任者を置く。情報化推進機構長をもってこれに充てる。
2 統括情報セキュリティ責任者は、次の事務を統括する。
- 情報セキュリティ対策に関する実施手順の整備及び見直し並びに実施手順に関する事務
- 情報セキュリティ対策に係る教育の推進及び当該実施体制の整備
- 情報セキュリティインシデントに対処するための緊急連絡窓口等の整備
- 情報セキュリティインシデントに係る理事会への報告
- 前各号に掲げるもののほか、情報セキュリティ対策に係る事務
(情報セキュリティ統括部署)
第10条 情報化推進機構を情報セキュリティ統括部署とする。
2 情報セキュリティ統括部署は、統括情報セキュリティ責任者の指示により、統括情報セキュリティ責任者の管轄する事務の実務を担当する。
(部局情報セキュリティ責任者の設置)
第11条 部局の情報セキュリティ対策に関する事務を統括する部局情報セキュリティ責任者を置く。当該部局の長をもってこれに充てる。
2 部局情報セキュリティ責任者は、所管する部局における情報セキュリティ対策を推進するため、次の事務を統括する。
- 部局の職場情報セキュリティ責任者の設置
- 情報システムごとの個別情報システム責任者の設置
- 情報セキュリティインシデントの原因調査、再発防止策等の実施
- 前各号に掲げるもののほか、部局の情報セキュリティ対策に関する事務
(職場情報セキュリティ責任者の設置)
第12条 部局情報セキュリティ責任者は、教室、研究室、事務室等の管理組織単位ごとに情報セキュリティ対策に関する事務を統括する職場情報セキュリティ責任者を置くものとする。
2 職場情報セキュリティ責任者は、部局情報セキュリティ責任者の下で、教室、研究室、事務室等の管理組織単位における情報の取扱いその他の情報セキュリティ対策に関する事務を統括する。
(個別情報システム責任者の設置)
第13条 部局情報セキュリティ責任者は、所管する情報システムに対する情報セキュリティ対策に関する事務の責任者として、個別情報システム責任者を、当該情報システムの企画に着手するまでに選任しなければならない。
2 個別情報システム責任者は、情報システムにおける情報セキュリティ対策に関する事務を担う。
3 個別情報システム責任者は、所管する情報システムの管理業務において必要な単位ごとに個別情報システム担当者を置くものとする。
(情報セキュリティアドバイザーの設置)
第14条 CISOは、情報セキュリティについて専門的な知識及び経験を有する者を情報セキュリティアドバイザーとして置くことができる。
(情報セキュリティインシデントに備えた体制の整備)
第15条 CISOは、CSIRTを整備し、円滑に活動が行えるよう環境を整備しなければならない。
2 CISOは、情報セキュリティインシデントが発生した際、直ちに自らへの報告が行われる体制を整備するものとする。
3 CISOは、情報セキュリティインシデントが発生した際に、情報セキュリティインシデント対処に関する知見を有する外部の専門家等による必要な支援を速やかに得られる体制を構築するものとする。
4 部局情報セキュリティ責任者は、本学CSIRTと連携して、情報セキュリティインシデントの発生に備えた連絡、報告、情報集約及び被害拡大防止のための緊急対応に必要な体制を整備しなければならない。
(兼務を禁止する役割)
第16条 教職員等は、情報セキュリティ対策の運用において、以下の役割を兼務してはならない。
- 承認又は許可の申請者と当該承認を行う者(CISOと統括情報セキュリティ責任者はその限りでない)
- 監査を受ける者とその監査を実施する者