情報セキュリティポリシー
公立大学法人山梨県立大学情報セキュリティポリシー
Ⅰ 情報セキュリティ基本方針
1 基本方針
大学は、学生、教職員等が教育・研究、社会活動、大学運営を行ううえで、膨大な情報資産を収集し利用している。また、各種の情報開示も行っている。高度情報社会が進展するなかで、これらの情報資産は、情報機器とネットワークを通じた漏洩、改ざん、不正利用などの危険に常にさらされており、情報資産の価値を認識し、これを適正に管理・利用していくことは、今や大学の義務となっている。
公立大学法人山梨県立大学(以下「法人」という。)はここに「公立大学法人山梨県立大学情報セキュリティポリシー」(以下「本ポリシー」という。)を策定し、法人の情報システムを利用する全ての関係者が、情報に関わるさまざまな危険を自覚し、正しい行動、適正な対策をとっていくための基本的な指針を示すこととする。
なお、法人が本ポリシーによって目指すものは次のとおりである。
(1) 法人の情報セキュリティに対する侵害を阻止する。
(2) 学内外の情報セキュリティを損ねる加害行為を抑止する。
(3) 情報資産に関して、重要度による分類とそれに見合った管理をする。
(4) 情報セキュリティに関する情報の取得を支援する。
(5) 情報セキュリティに関する教育等を実施する。
2 用語の定義
本ポリシーで使用する用語の定義は、次のとおりとする。
(1) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持すること。
(2) 情報資産 情報及び情報を管理する仕組み(情報システム並びにシステム開発、運用及び保守のための資料等)の総称
(3) 情報システム 同一組織内において、ハードウェア、ソフトウェア、ネットワーク、記録媒体で構成されるものであって、これら全体で業務処理を行うもの。
(4) 情報セキュリティポリシー 法人が所有する情報資産の情報セキュリティ対策について総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方並びに情報セキュリティを確保するための体制、組織及び運用を含めたもの。情報セキュリティ基本方針及び情報セキュリティ対策基準からなる。
(5) 情報セキュリティ基本方針(以下「基本方針」という。) 法人における情報セキュリティ対策に対する根本的な考え方を表すもので、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、情報セキュリティに対する取組姿勢を示すもの。
(6) 情報セキュリティ対策基準(以下「対策基準」という。) 「基本方針」に定められた情報セキュリティを確保するために遵守すべき行為及び判断基準、つまり「基本方針」を実現するために何をやらなければいけないかを示すもの。
(7) 情報セキュリティ実施手順(以下「実施手順」という。) ポリシーには含まれないものの、対策基準に定められた内容を具体的な情報システム又は業務において、どのような手順に従って実行していくのかを示すもの。
3 対象範囲と対象者
本ポリシーの対象範囲は、法人の情報システム及び情報資産に加えて、法人以外のコンピュータから法人のネットワークに一時的に接続されたコンピュータ及びそれらが扱う情報を含むものとする。
また、本ポリシーの対象者は、教職員、学生、外部委託事業者、来学者等法人の情報システム及び情報資産を利用する全ての者とする。
4 実施手順の作成
本ポリシーの具体的な実施手順は、情報委員会で別に定める。
大学は、学生、教職員等が教育・研究、社会活動、大学運営を行ううえで、膨大な情報資産を収集し利用している。また、各種の情報開示も行っている。高度情報社会が進展するなかで、これらの情報資産は、情報機器とネットワークを通じた漏洩、改ざん、不正利用などの危険に常にさらされており、情報資産の価値を認識し、これを適正に管理・利用していくことは、今や大学の義務となっている。
公立大学法人山梨県立大学(以下「法人」という。)はここに「公立大学法人山梨県立大学情報セキュリティポリシー」(以下「本ポリシー」という。)を策定し、法人の情報システムを利用する全ての関係者が、情報に関わるさまざまな危険を自覚し、正しい行動、適正な対策をとっていくための基本的な指針を示すこととする。
なお、法人が本ポリシーによって目指すものは次のとおりである。
(1) 法人の情報セキュリティに対する侵害を阻止する。
(2) 学内外の情報セキュリティを損ねる加害行為を抑止する。
(3) 情報資産に関して、重要度による分類とそれに見合った管理をする。
(4) 情報セキュリティに関する情報の取得を支援する。
(5) 情報セキュリティに関する教育等を実施する。
2 用語の定義
本ポリシーで使用する用語の定義は、次のとおりとする。
(1) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持すること。
(2) 情報資産 情報及び情報を管理する仕組み(情報システム並びにシステム開発、運用及び保守のための資料等)の総称
(3) 情報システム 同一組織内において、ハードウェア、ソフトウェア、ネットワーク、記録媒体で構成されるものであって、これら全体で業務処理を行うもの。
(4) 情報セキュリティポリシー 法人が所有する情報資産の情報セキュリティ対策について総合的・体系的かつ具体的にとりまとめたもの。どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方並びに情報セキュリティを確保するための体制、組織及び運用を含めたもの。情報セキュリティ基本方針及び情報セキュリティ対策基準からなる。
(5) 情報セキュリティ基本方針(以下「基本方針」という。) 法人における情報セキュリティ対策に対する根本的な考え方を表すもので、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、情報セキュリティに対する取組姿勢を示すもの。
(6) 情報セキュリティ対策基準(以下「対策基準」という。) 「基本方針」に定められた情報セキュリティを確保するために遵守すべき行為及び判断基準、つまり「基本方針」を実現するために何をやらなければいけないかを示すもの。
(7) 情報セキュリティ実施手順(以下「実施手順」という。) ポリシーには含まれないものの、対策基準に定められた内容を具体的な情報システム又は業務において、どのような手順に従って実行していくのかを示すもの。
3 対象範囲と対象者
本ポリシーの対象範囲は、法人の情報システム及び情報資産に加えて、法人以外のコンピュータから法人のネットワークに一時的に接続されたコンピュータ及びそれらが扱う情報を含むものとする。
また、本ポリシーの対象者は、教職員、学生、外部委託事業者、来学者等法人の情報システム及び情報資産を利用する全ての者とする。
4 実施手順の作成
本ポリシーの具体的な実施手順は、情報委員会で別に定める。