情報セキュリティポリシー 情報セキュリティ対策基準 第1章~7章
情報セキュリティ対策基準 目次
- 第1章 総則
- 第2章 運用
第1節 情報セキュリティ関係規程の運用
第2節 違反への対処
第3節 例外措置
第4節 教育
第5節 情報セキュリティインシデントへの対処 - 3章 点検・見直し
第1節 情報セキュリティ対策の自己点検
第2節 情報セキュリティ監査
第3節 情報セキュリティ対策の見直し - 第4章 情報の取扱い
第1節 情報の取扱い
第2節 情報を取り扱う区域の管理 - 第5章 外部委託
第1節 外部委託
第2節 約款による外部サービスの利用
第3節 ソーシャルメディアサービスによる情報発信
第4節 クラウドサービスの利用 - 第6章 情報システムのライフサイクルの各段階における対策
第1節 情報システムに係る文書等の整備
第2節 情報システムの企画・要件定義
第3節 情報システムの調達・構築
第4節 情報システムの運用・保守
第5節 情報システムの更改・廃棄
第6節 情報システムについての対策の見直し - 第7章 情報システムの運用継続計画 第1節 情報システムの運用継続計画の整合的運用の確保
【情報セキュリティ対策基準】
第1章 総則
2101-1 (趣旨)
第1条 この基準は、「情報セキュリティ基本方針」に基づき、学校法人関西学院(以下「本学院」という。)における適切な情報セキュリティ対策に関する基準について必要な事項を定める。
2101-2 (適用範囲)
第2条 本基準において適用対象とする者は、本学院の情報システムを運用・管理する全ての者、並びに利用者及び臨時利用者とする。
2101-3 (定義)
第3条 この基準における用語の意義は、別に定める。
第2章 運用
第1節 情報セキュリティ関係規程の運用
2101-4 (情報セキュリティ対策に関する実施手順の整備・運用)
第4条 統括情報セキュリティ責任者は、本学院における情報セキュリティ対策に関する実施手順を整備し(本基準で整備すべきものを別に定める場合を除く。)、実施手順に関する事務を統括し、整備状況について最高情報セキュリティ責任者(以下「CISO」という。)に報告しなければならない。
2 部局情報セキュリティ責任者又は職場情報セキュリティ責任者は、利用者等より情報セキュリティ関係規程に係る課題及び問題点の報告を受けた場合は、統括情報セキュリティ責任者に報告しなければならない。
3 統括情報セキュリティ責任者は、情報セキュリティ関係規程に係る課題及び問題点を含む運用状況を適時に把握し、必要に応じてCISOにその内容を報告しなければならない。
第2節 違反への対処
2101-5 (違反への対処)
第5条 利用者等は、情報セキュリティ関係規程への重大な違反を知った場合は、部局情報セキュリティ責任者又は職場情報セキュリティ責任者にその旨を報告しなければならない。
2 部局情報セキュリティ責任者及び職場情報セキュリティ責任者は、情報セキュリティ関係規程への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合には、違反者及び必要な者に情報セキュリティの維持に必要な措置を講じさせるとともに、統括情報セキュリティ責任者に報告しなければならない。
2101-6 (違反に対する措置)
第6条 統括情報セキュリティ責任者は、情報セキュリティ関係規程への重大な違反の報告を受けた場合には、「関西学院ネットワーク利用倫理規程」に基づき取り扱うものとする。
2 統括情報セキュリティ責任者及び部局情報セキュリティ責任者は、緊急の必要があると認める場合には、前項による措置が決定するまでの間、必要最小限の範囲で以下の措置を講ずることができる。
- 当該行為者に対する当該行為の中止命令
- 個別情報システム責任者に対する当該行為に係る情報発信の遮断命令
- 個別情報システム責任者に対する当該行為者のアカウント停止・削除命令、データやログの保全命令
3 部局情報セキュリティ責任者は、前項第2号及び第3号については、他部局の部局情報セキュリティ責任者を通じて同等の措置を依頼することができる。
4 部局情報セキュリティ責任者は、第2項の措置を講じた場合には、統括情報セキュリティ責任者にその旨を報告しなければならない。
第3節 例外措置
2101-7 (例外措置手続の整備)
第7条 統括情報セキュリティ責任者は、例外措置の適用の申請を審査する者(以下「許可権限者」という。)及び審査手続を定めるものとする。
2101-8 (例外措置の運用)
第8条 利用者等は、定められた審査手続に従い、許可権限者に規定の例外措置の適用を申請しなければならない。ただし、教育・研究・事務の遂行に緊急を要し、当該規定の趣旨を充分尊重した扱いを取ることができる場合であって、情報セキュリティ関係規程の規定とは異なる代替の方法を直ちに採用すること又は規定されている方法を実施しないことが不可避のときは、事後速やかに届け出なければならない。
2 許可権限者は、利用者等による例外措置の適用の申請を、定められた審査手続に従って審査し、許可の可否を決定しなければならない。
第4節 教育
2101-9 (教育体制等の整備)
第9条 統括情報セキュリティ責任者は、情報セキュリティ対策に係る教育について、定期的に実施するための計画を策定し、その実施体制を整備しなければならない。
2101-10 (教育の実施)
第10条 職場情報セキュリティ責任者は、利用者等に対して、情報セキュリティに係る教育を適切に受講させなければならない。
2 利用者等は、指示に従って、適切な時期に教育を受講しなければならない。
第5節 情報セキュリティインシデントへの対処
2101-11 (本学院CSIRTの役割)
第11条 CSIRTは、次に掲げる業務を行うものとする。
- 本学院における情報セキュリティインシデントの報告窓口として、学内外からの情報セキュリティインシデントの可能性のある事象に関する情報を受け付けるとともに、本学院情報ネットワークの監視に関する情報も活用することにより、情報セキュリティインシデントに関する事象の正確な把握に努める。
- 情報セキュリティインシデントに関する外部機関との連絡窓口機能を、広報等の関係部局と連携して提供する。
- 情報セキュリティインシデントの発生時に、必要に応じて被害の拡大防止、復旧及び再発の防止にかかる技術的支援や助言を行う。
2101-12 (情報セキュリティインシデントに備えた事前準備)
第12条 統括情報セキュリティ責任者は、情報セキュリティインシデントの可能性を認知した際の報告窓口を含む本学院関係者への報告手順を整備し、利用者等に周知しなければならない。
2 統括情報セキュリティ責任者は、情報セキュリティインシデントを認知した際の学院外との情報共有を含む対処手順を整備しなければならない。
3 統括情報セキュリティ責任者は、情報セキュリティインシデントの可能性に備え、教育・研究・事務の遂行のため特に重要と認めた情報システムについて、緊急連絡先、連絡手段を含む緊急連絡網を整備しなければならない。
4 統括情報セキュリティ責任者は、情報セキュリティインシデントへの対処の訓練の必要性を検討し、教育・研究・事務の遂行のため特に重要と認めた情報システムについては、訓練を実施しなければならない。
5 統括情報セキュリティ責任者は、情報セキュリティインシデントについて学外の者から報告を受けるための窓口(CSIRT)を整備し、その窓口への連絡手段を学外の者に明示しなければならない。
2101-13 (情報セキュリティインシデントへの対処)
第13条 利用者等は、情報セキュリティインシデントの可能性を認知した場合には、本学院の報告窓口に報告し、指示に従わなければならない。
2 CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるかの評価を行うものとする。
3 CSIRT責任者は、情報セキュリティインシデントであると評価した場合、CISOに速やかに報告しなければならない。
4 CSIRTは、情報セキュリティインシデントに関係する部局情報セキュリティ責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示又は勧告を行うものとする。
5 個別情報システム責任者は、所管する情報システムについて情報セキュリティインシデントを認知した場合には、本学院で定められた対処手順又はCSIRTの指示若しくは勧告に従って、適切に対処しなければならない。
6 CSIRTは、本学院の情報システムについて、情報セキュリティインシデントを認知した場合において、認知した情報セキュリティインシデントがサイバー攻撃又はそのおそれのあるものである場合には、当該情報セキュリティインシデントの内容に応じ、警察への通報・連絡等を行うものとする。
7 CSIRTは、情報セキュリティインシデントに関する対処状況を把握し、必要に応じて対処全般に関する指示、勧告又は助言を行うものとする。
8 CSIRTは、情報セキュリティインシデントに関する対処の内容を記録しなければならない。
9 CSIRTは、情報セキュリティインシデントに関して、本学院を含む関係機関と情報共有を行うものとする。
2101-14 (情報セキュリティインシデントの再発防止・教訓の共有)
第14条 部局情報セキュリティ責任者は、CSIRTから応急措置の実施及び復旧に係る指示又は勧告を受けた場合は、当該指示又は勧告を踏まえ、情報セキュリティインシデントの原因を調査するとともに再発防止策を検討し、統括情報セキュリティ責任者に報告しなければならない。
2 統括情報セキュリティ責任者は、部局情報セキュリティ責任者から情報セキュリティインシデントについての報告を受けた場合には、その内容を確認し、再発防止策を実施するために必要な措置を指示するものとする。
3 CSIRT責任者は、情報セキュリティインシデント対処の結果から得られた教訓を、統括情報セキュリティ責任者、関係する部局情報セキュリティ責任者等に共有するものとする。
第3章 点検・見直し
第1節 情報セキュリティ対策の自己点検
2101-15 (自己点検の実施)
第15条 利用者等は、各々が責を負う情報セキュリティ対策について、定期的に自己点検を実施するものとする。
2101-16 (自己点検結果の評価・改善)
第16条 利用者等は、自己点検において問題を認めた場合には、改善又は例外措置の申請を行わなければならない。
第2節 情報セキュリティ監査
2101-17 (監査計画の策定)
第17条 情報セキュリティ監査責任者は、情報セキュリティ監査計画を策定し、CISOの承認を得るものとする。
2101-18 (情報セキュリティ監査の実施に関する指示)
第18条 CISOは、情報セキュリティ監査計画に従って、情報セキュリティ監査責任者に対して、監査の実施を指示するものとする。
2 CISOは、情報セキュリティの状況の変化に応じて必要と判断した場合、情報セキュリティ監査責任者に対して、情報セキュリティ監査計画で計画された事案以外の監査の実施を指示するものとする。
2101-19 (情報セキュリティ監査の実施)
第19条 情報セキュリティ監査を実施する者は、情報セキュリティ監査責任者の指示に基づき、監査実施手順に従って監査を実施するものとする。
2 情報セキュリティ監査を実施する者は、必要に応じて、情報システムへのアクセス権限を付与され、監査調書を作成し、あらかじめ定められた期間保存するものとする。
3 情報セキュリティ監査責任者は、監査調書に基づき監査報告書を作成し、CISOへ提出するものとする。
2101-20 (情報セキュリティ監査結果に対する対応)
第20条 CISOは、監査報告書の内容を踏まえ、被監査部局の部局情報セキュリティ責任者に対して、指摘事案に対する対応の実施を指示するものとする。
2 CISOは、監査報告書の内容を踏まえ、監査を受けた部局以外の部局においても同種の課題及び問題点がある可能性が高く、かつ緊急に同種の課題及び問題点があることを確認する必要があると判断した場合には、他の部局の部局情報セキュリティ責任者に対しても、同種の課題及び問題点の有無を確認するように指示するものとする。
3 部局情報セキュリティ責任者は、監査報告書に基づいてCISOから改善を指示された事案について、対応計画を作成し、報告するものとする。
4 CISOは、監査の結果を踏まえ、本ポリシー及び関連規程に基づく既存の手順の妥当性を評価し、必要に応じてその見直しを指示するものとする。
第3節 情報セキュリティ対策の見直し
2101-21 (情報セキュリティ関係規程の見直し)
第21条 統括情報セキュリティ責任者は、情報セキュリティに係る重大な変化等を踏まえ、本ポリシー及びそれに基づく規程等について必要な見直しを行わなければならない。
第4章 情報の取扱い
第1節 情報の取扱い
2101-22 (情報の格付け)
第22条 教職員等が取り扱う情報の格付けの区分及び分類の基準は、機密性、完全性、可用性について、それぞれ次の各号のとおりとする。
- 機密性についての格付けの区分及び分類の基準
格付けの区分 分類の基準 機密性3情報 本学院で取り扱う情報のうち、秘密保全の必要が高く、その漏えいが本学院の利益に甚大な損害を与えるおそれのある情報又は本学院の信頼を大きく失墜させるおそれのある情報を含む情報 機密性2情報 本学院で取り扱う情報のうち、その漏えいにより関係者の権利が侵害される又は本学院の活動の遂行に支障を及ぼすおそれがある情報であって、「機密性3情報」以外の情報 機密性1情報 機密性3情報又は機密性2情報以外の情報 - 完全性についての格付けの区分及び分類の基準
格付けの区分 分類の基準 完全性2情報 本学院で取り扱う情報(書面を除く。)のうち、改ざん、誤びゅう又は破損により、関係者の権利が侵害され又は本学院活動の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報 完全性1情報 完全性2情報以外の情報(書面を除く。) - 可用性についての格付けの区分及び分類の基準
格付けの区分 分類の基準 可用性2情報 本学院で取り扱う情報(書面を除く。)のうち、その滅失、紛失又は当該情報が利用不可能であることにより、関係者の権利が侵害され又は本学院活動の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報をいう。 可用性1情報 可用性2情報以外の情報(書面を除く。)
2 前項第1号に規定する格付けの区分のうち、機密性2情報及び機密性3情報を「要機密情報」という。
3 第1項第2号に規定する格付けの区分のうち、完全性2情報を「要保全情報」という。
4 第1項第3号に規定する格付けの区分のうち、可用性2情報を「要安定情報」という。
5 第2項、第3項及び第4項に規定する要機密情報、要保全情報及び要安定情報を「要保護情報」という。
2101-23 (取扱制限の種類)
第23条 情報の取扱制限の種類及び指定方法は、機密性、完全性、可用性について、それぞれ次の各号のとおりとする。
- 機密性についての取扱制限の種類及び指定方法
取扱制限の種類 指定方法 複製について 複製禁止、複製要許可 配付について 配付禁止、配付要許可 暗号化について 暗号化必須、保存時暗号化必須、通信時暗号化必須 印刷について 印刷禁止、印刷要許可 転送について 転送禁止、転送要許可 転記について 転記禁止、転記要許可 再利用について 再利用禁止、再利用要許可 送信について 送信禁止、送信要許可 参照者の制限について ○○限り 期限について ○月○日まで○○禁止 - 完全性についての取扱制限の種類及び指定方法
取扱制限の種類 指定方法 保存期間について ○○まで保存 保存場所について ○○において保存 書換えについて 書換禁止、書換要許可 削除について 削除禁止、削除要許可 保存期間満了後の措置について 保存期間満了後要廃棄 - 可用性についての取扱制限の種類及び指定方法
取扱制限の種類 指定方法 復旧までに許容できる時間について ○○以内復旧 保存場所について ○○において保存
2101-24 (情報の目的外での利用等の制限)
第24条 教職員等は、自らが担当している教育・研究・事務の遂行以外の目的で、情報を利用等してはならない。
2101-25 (格付け及び取扱制限の決定)
第25条 教職員等は、情報の作成時又は情報を入手しその管理を開始する時に、当該情報について、電磁的記録については機密性、完全性、可用性の観点から、書面については機密性の観点から、格付け及び取扱制限の定義に基づき、その決定を行うものとする。
2101-26 (格付け及び取扱制限の指定)
第26条 教職員等は、前条の規定により決定した格付け及び取扱制限に基づき、その指定を行うものとする。
2101-27 (格付け及び取扱制限の明示等)
第27条 教職員等は、情報の格付け及び取扱制限を指定した場合には、必要に応じて、それを認識できる方法を用いて明示等するものとする。
2101-28 (格付け及び取扱制限の継承)
第28条 教職員等は、情報を作成する際に、参照した情報又は入手した情報が既に本学院内において格付け又は取扱制限の指定がなされている場合には、元となる情報の機密性に係る格付け及び取扱制限を継承又は参酌しなければならない。
2101-29 (格付け及び取扱制限の見直し)
第29条 教職員等は、指定した情報の格付け及び取扱制限を見直す必要があると認めた場合には、第25条及び第26条の規定に準じて処理するものとする。
2 教職員等は、情報の格付け及び取扱制限を変更した場合には、その以前に当該情報を参照した者に対して、その旨を可能な限り周知し、同一の情報が異なる格付け及び取扱制限とならないように努めるものとする。
2101-30 (情報の利用・保存)
第30条 教職員等は、利用する情報に明示等された格付及び取扱制限に従い、当該情報を適切に取り扱わなければならない。
2 教職員等は、機密性3情報について要管理対策区域外で情報処理を行う場合は、個別情報システム責任者及び職場情報セキュリティ責任者の許可を得なければならない。
3 教職員等は、要保護情報について要管理対策区域外で情報処理を行う場合は、必要な安全管理措置を講じなければならない。
4 教職員等は、保存する情報にアクセス制限を設定するなど、情報の格付及び取扱制限に従って情報を適切に管理しなければならない。
5 教職員等は、USBメモリ等の外部電磁的記録媒体を用いて情報を取り扱う際、必要な安全措置を講じなければならない。
2101-31 (情報の提供・公表)
第31条 教職員等は、情報を公表する場合には、当該情報が機密性1情報に格付されるものであることを確認しなければならない。
2 教職員等は、閲覧制限の範囲外の者に情報を提供する必要が生じた場合は、当該格付及び取扱制限の決定者等に相談し、その決定に従わなければならない。また、提供先において、当該情報に付された格付及び取扱制限に応じて適切に取り扱われるよう、取扱い上の留意事項を確実に伝達するなどの措置を講じなければならない。
3 教職員等は、機密性3情報を閲覧制限の範囲外の者に提供する場合には、部局情報セキュリティ責任者又は職場情報セキュリティ責任者の許可を得なければならない。
4 教職員等は、電磁的記録を提供又は公表する場合には、当該電磁的記録等からの不用意な情報漏えいを防止するための措置を講じなければならない。
2101-32 (情報の運搬・送信)
第32条 教職員等は、要保護情報が記録又は記載された記録媒体を要管理対策区域外に持ち出す場合には、安全確保のための適切な措置を講じなければならない。
2 教職員等は、要保護情報である電磁的記録を電子メール等、ネットワークを経由して送信する場合には、安全確保に留意して送信の手段を決定し、情報の格付及び取扱制限に応じて、安全確保のための適切な措置を講じなければならない。
2101-33 (情報の消去)
第33条 教職員等は、端末や電磁的記録媒体に保存された情報が職務上不要となった場合は、速やかに情報を消去しなければならない。
2 教職員等は、端末や電磁的記録媒体を廃棄する場合には、当該記録媒体内に情報が残留した状態とならないよう、全ての情報を復元できないように抹消しなければならない。
3 教職員等は、要機密情報である書面を廃棄する場合には、復元できない状態にしなければならない。
2101-34 (情報のバックアップ)
第34条 教職員等は、情報の格付に応じて、適切な方法で情報のバックアップを実施しなければならない。
2 教職員等は、取得した情報のバックアップについて、格付及び取扱制限に従って保存場所、保存方法、保存期間等を定め、適切に管理しなければならない。
3 教職員等は、保存期間を過ぎた情報のバックアップについては、前条の規定に従い、適切な方法で消去、抹消又は廃棄しなければならない。
第2節 情報を取り扱う区域の管理
2101-35 (要管理対策区域における対策の決定)
第35条 部局情報セキュリティ責任者は、要管理対策区域の範囲を定めるものとする。
2 部局情報セキュリティ責任者は、施設及び環境に係る対策を行う単位ごとの区域を定めるものとする。
3 部局情報セキュリティ責任者は、各区域について、周辺環境や当該区域で行う教育・研究・事務の内容、取り扱う情報等を勘案し、以下の観点を含めて当該区域において実施する対策を決定しなければならない。
1 許可されていない者が容易に立ち入ることができないようにするための、施錠可能な扉、間仕切り等の施設の整備、設備の設置等の物理的な対策。
2 許可されていない者の立入りを制限するため及び立入りを許可された者による立入り時の不正な行為を防止するための入退管理対策。
2101-36 (要管理対策区域における対策の実施)
第36条 利用者等は、利用する区域について部局情報セキュリティ責任者が定めた対策に従って利用しなければならない。また、利用者等が学外の者を立ち入らせる際には、当該学外の者にも当該区域で定められた対策に従って利用させなければならない。
第5章 外部委託
第1節 外部委託
2101-37 (外部委託に係る契約内容の精査)
第37条 個別情報システム責任者又は職場情報セキュリティ責任者は、本基準及び関連規程の要件を満たしていることを委託先の選定条件とし、以下の内容を契約原案の策定時に確認し又は仕様内容に含めなければならない。
- 委託先に提供する情報の委託先における目的外利用の禁止
- 委託先における情報セキュリティ対策の実施内容及び管理体制
- 委託事業の実施に当たり、委託先企業又はその従業員、再委託先、若しくはその他の者による意図せざる変更が加えられないための管理体制
- 委託事業の実施場所、情報システムの設置場所に関する情報提供(個人情報を取り扱う場合は国内法令が適用されること)
- 情報セキュリティインシデントへの対処方法
2 個別情報システム責任者又は職場情報セキュリティ責任者は、委託する業務において取り扱う情報の格付等を勘案し、必要に応じて以下の内容を仕様に含めなければならない。
- 情報セキュリティ監査の受入れ
- サービスレベルの保証
3 個別情報システム責任者又は職場情報セキュリティ責任者は、委託先がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、第1項及び前項の措置の実施を委託先に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を本学院に提供し、本学院の承認を受けるよう、仕様内容に含めなければならない。
2101-38 (外部委託における対策の実施)
第38条 個別情報システム責任者又は職場情報セキュリティ責任者は、契約に基づき、委託先における情報セキュリティ対策の履行状況を確認しなければならない。
2 個別情報システム責任者又は職場情報セキュリティ責任者は、委託した業務において、情報セキュリティインシデントの発生若しくは情報の目的外利用等を認知した場合又はその旨の報告を利用者等より受けた場合は、委託事業を一時中断するなどの必要な措置を講じた上で、契約に基づく必要な措置を講じさせなければならない。
3 個別情報システム責任者又は職場情報セキュリティ責任者は、委託した業務の終了時に、委託先において取り扱われた情報が確実に返却、又は抹消されたことを確認しなければならない。
2101-39 (外部委託における情報の取扱い)
第39条 利用者等は、委託先への情報の提供等において、以下の事項を遵守しなければならない。
- 委託先に要保護情報を提供する場合、提供する情報を必要最小限とし、あらかじめ定められた安全な受渡し方法により提供すること。
- 提供した要保護情報が委託先において不要になった場合は、これを確実に返却又は抹消させること。
- 委託業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合は、速やかに個別情報システム責任者又は職場情報セキュリティ責任者に報告すること。
第2節 約款による外部サービスの利用
2101-40 (約款による外部サービスの利用における対策の実施)
第40条 利用者等は、利用するサービスの約款、その他の提供条件等から、利用に当たってのリスクが許容できることを確認し、適切な措置を講じた上で約款による外部サービスを利用できるものとする。ただし、要保護情報を取り扱う場合は、部局情報セキュリティ責任者又は職場情報セキュリティ責任者の許可を得なければならない。
2 部局情報セキュリティ責任者は、約款による外部サービスを利用する場合は、利用するサービスごとの責任者を定めなければならない。
3 利用者等は、約款による外部サービスの利用において要機密情報を取り扱ってはならない。
第3節 ソーシャルメディアサービスによる情報発信
2101-41 (ソーシャルメディアサービスによる情報発信時の対策)
第41条 部局情報セキュリティ責任者は、本学院が管理するアカウントでソーシャルメディアサービスを利用することを前提として、以下を含む情報セキュリティ対策に関する運用手順等を定めなければならない。
- 本学院のアカウントによる情報発信が実際の本学院のものであると明らかとするために、アカウントの運用組織を明示するなどの方法でなりすましへの対策を講ずること。
- パスワード等の主体認証情報を適切に管理するなどの方法で不正アクセスへの対策を講ずること。
2 部局情報セキュリティ責任者は、本学院において情報発信のためにソーシャルメディアサービスを利用する場合は、利用するソーシャルメディアサービスごとの責任者を定めなければならない。
3 利用者等は、ソーシャルメディアサービスにおいて要機密情報を公表してはならない。
4 利用者等は、要安定情報の一般利用者への提供にソーシャルメディアサービスを用いる場合は、必要に応じて本学院の自己管理ウェブサイトに当該情報を掲載して参照可能としなければならない。
第4節 クラウドサービスの利用
2101-42 (クラウドサービスの利用における対策)
第42条 個別情報システム責任者は、クラウドサービス(民間事業者が提供するものに限らず、政府等が提供するものを含む。以下同じ。)を利用するに当たり、取り扱う情報の格付及び取扱制限を踏まえ、情報の取扱いを委ねることの可否を判断しなければならない。
2 個別情報システム責任者は、クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定し、必要に応じて委託事業の実施場所及び契約に定める準拠法・裁判管轄を指定しなければならない。
3 個別情報システム責任者は、クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し、委託先を選定する際の要件としなければならない。
4 個別情報システム責任者は、クラウドサービスの特性を考慮した上で、クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定めなければならない。
5 個別情報システム責任者は、クラウドサービスに対する情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断しなければならない。
第6章 情報システムのライフサイクルの各段階における対策
第1節 情報システムに係る文書等の整備
2101-43 (情報システム関連文書の整備)
第43条 個別情報システム責任者は、所管する情報システムの情報セキュリティ対策を実施するために必要となる情報システム関連文書を整備しなければならない。
第2節 情報システムの企画・要件定義
2101-44 (実施体制の確保)
第44条 導入時に個別情報システム責任者を定めたうえで、個別情報システム責任者は、情報システムのライフサイクル全般にわたって情報セキュリティの維持が可能な体制が確保されていることを確認した上で、情報システムを導入しなければならない。
2101-45 (情報システムのセキュリティ要件の策定)
第45条 個別情報システム責任者は、情報システムを構築する目的、対象とする業務等の業務要件及び当該情報システムで取り扱われる情報の格付等に基づき、構築する情報システムをインターネットや、インターネットに接点を有する情報システム(クラウドサービスを含む。)から分離することの要否を判断した上で、以下の事項を含む情報システムのセキュリティ要件を策定しなければならない。
- 情報システムに組み込む主体認証、アクセス制御、権限管理、ログ管理、暗号化機能等のセキュリティ機能要件
- 情報システム運用時の監視等の運用管理機能要件(監視するデータが暗号化されている場合は、必要に応じて復号すること)
- 情報システムに関連する脆弱性についての対策要件
2 個別情報システム責任者は、インターネット回線と接続する情報システムを構築する場合は、標的型攻撃を始めとするインターネットからの様々なサイバー攻撃による情報の漏えい、改ざん等のリスクを低減するための多重防御のためのセキュリティ要件を策定しなければならない。
3 個別情報システム責任者は、機器等を調達する場合には、利用環境における脅威を分析した上で、当該機器等に存在する情報セキュリティ上の脅威に対抗するためのセキュリティ要件を策定しなければならない。
2101-46 (情報システムの構築を外部委託する場合の対策)
第46条 個別情報システム責任者は、情報システムの構築を外部委託する場合は、以下の事項を含む委託先に実施させる事項を、調達仕様書に記載するなどして、適切に実施させなければならない。
- 情報システムのセキュリティ要件の適切な実装
- 情報セキュリティの観点に基づく試験の実施
- 情報システムの開発環境及び開発工程における情報セキュリティ対策
2101-47 (情報システムの運用・保守を外部委託する場合の対策)
第47条 個別情報システム責任者は、情報システムの運用・保守を外部委託する場合は、情報システムに実装されたセキュリティ機能が適切に運用されるための要件について、調達仕様書に記載するなどして、適切に実施させなければならない。
2 個別情報システム責任者は、情報システムの運用・保守を外部委託する場合は、委託先が実施する情報システムに対する情報セキュリティ対策を適切に把握するため、当該対策による情報システムの変更内容について、速やかに報告させなければならない。
第3節 情報システムの調達・構築
2101-48 (情報システムの構築時の対策)
第48条 個別情報システム責任者は、情報システムの構築において、情報セキュリティの観点から必要な措置を講じなければならない。
2 個別情報システム責任者は、構築した情報システムを運用保守段階へ移行するに当たり、移行手順及び移行環境に関して、情報セキュリティの観点から必要な措置を講じなければならない。
2101-49 (納品検査時の対策)
第49条 個別情報システム責任者は、機器等の納入時又は情報システムの受入れ時の確認・検査において、仕様書等定められた検査手続に従い、情報セキュリティ対策に係る要件が満たされていることを確認しなければならない。
2 個別情報システム責任者は、情報システムが構築段階から運用保守段階へ移行する際に、当該情報システムの開発事業者から運用保守事業者へ引き継がれる項目に、情報セキュリティ対策に必要な内容が含まれていることを確認しなければならない。
第4節 情報システムの運用・保守
2101-50 (情報システムの運用・保守時の対策)
第50条 個別情報システム責任者は、情報システムの運用・保守において、情報システムに実装されたセキュリティ機能を適切に運用しなければならない。
2 個別情報システム責任者は、不正な行為及び意図しない情報システムへのアクセス等の事象が発生した際に追跡できるように、運用・保守に係る作業についての記録を管理しなければならない。
第5節 情報システムの更改・廃棄
2101-51 (情報システムの更改・廃棄時の対策)
第51条 個別情報システム責任者は、情報システムの更改又は廃棄を行う場合は、当該情報システムに保存されている情報について、当該情報の格付及び取扱制限を考慮した上で、以下の措置を適切に講じなければならない。
- 情報システム更改時の情報の移行作業における情報セキュリティ対策
- 情報システム廃棄時の不要な情報の抹消
第6節 情報システムについての対策の見直し
2101-52 (情報システムについての対策の見直し)
第52条 個別情報システム責任者は、情報システムの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適時検討し、必要な措置を講じなければならない。
第7章 情報システムの運用継続計画
2101-53 (情報システムの運用継続計画の整合的運用の確保)
第53条 部局情報セキュリティ責任者は、本学院において非常時優先業務を支える情報システムの運用継続計画を整備するに当たり、非常時における情報セキュリティに係る対策事項を検討しなければならない。
2 部局情報セキュリティ責任者は、情報システムの運用継続計画の教育訓練や維持改善を行う際等に、非常時における情報セキュリティに係る対策事項が運用可能であるかを確認しなければならない。