大学案内Guidance
長崎大学情報セキュリティポリシーの概要(第5版)
令和5年5月12日
長崎大学情報セキュリティ委員会
1. 情報セキュリティの基本方針
長崎大学(以下「本学」という)における学術研究・教育活動の高度化のために、情報基盤の整備に加えて、組織的かつ高度に情報資産のセキュリティを維持することが不可欠である。このため、情報セキュリティの大切さを本学の全構成員等に十分意識させ、情報資産を確固として守るため、本学の情報セキュリティポリシー(以下「ポリシー」という。)を定めたものである。
2. ポリシーによって目指すもの
ポリシーによって目指すものは、次のとおりである。
① 本学の情報セキュリティに対する侵害を阻止。
② 学内外の情報セキュリティを損ねる加害行為を抑止。
③ 情報資産に関して、重要度による分類とそれに見合った管理。
④ 情報セキュリティに関する情報の取得を支援。
⑤ 本学の構成員等による学内外への情報セキュリティの侵害を防止し、構成員等に対する教育を実施すること。
⑥ 本学のセキュリティレベルの達成度について、セキュリティ監査を実施し随時見直しを行うこと。
3. ポリシーの対象範囲
(1) ポリシーの対象範囲は、本学の情報資産に加えて、本学支給以外の情報資産で本学のネットワークに一時的に接続された情報機器を含むものとする。
(2) ポリシーの対象者は、本学の構成員(学生・教職員・非常勤職員等を含む。)に加えて、学外者を含む本学の情報資産に関わる全ての者とする。
4. 組織・体制
最高情報セキュリティ責任者(CISO)
学長が指名する理事または副学長をもって充てる。本学の情報セキュリティ対策の推進の責任者として、組織体制の整備、対策基準や対策推進計画の決定・見直し、情報セキュリティインシデントに対処する指示 その他の措置を実施し、本学の情報セキュリティに関する業務の総括的な権限を有するものである。
最高情報セキュリティ責任者補佐(CISO補佐)
全学の情報セキュリティ管理の実施に関し、緊急時の連絡等、総括的な対応に当たり、最高情報セキュリティ責任者を補佐するものとし、学長が指名する者をもって充てる。
情報セキュリティ監査責任者
情報システムのセキュリティ対策がポリシーに基づいて実施されているかを監査するものとし、学長が指名する者をもって充てる。
部局情報セキュリティ管理責任者
部局等の長をもって充てる。部局内の情報セキュリティ管理の実施に関し、最高情報セキュリティ責任者補佐との連絡等の対応に当たり、当該部局の情報システムセキュリティ管理責任者及び利用者を統括する。
対外接続情報セキュリティ管理責任者
ICT基盤センター長をもって充てる。対外接続担当部局内の情報セキュリティ管理の実施に関し、最高情報セキュリティ責任者補佐との連絡等の対応に当たり、当該部局の情報システムセキュリティ管理責任者及び利用者を統括する。
情報システムセキュリティ管理責任者
情報システムセキュリティ管理責任者とは、部局情報セキュリティ管理責任者又は対外接続情報セキュリティ管理責任者から、本学の情報システムセキュリティ管理の実施に関し、当該情報を管理する組織単位でシステムの利用範囲の規模に応じ、適切に置かれるものである。なお、個々の教職員・学生が使用するコンピュータにおいては、使用する者がそのまま情報システムセキュリティ管理責任者となる。
利用者
利用者は、本学の構成員(教職員・非常勤職員・学生を含む。)に加えて、学外者を含む本学の情報資産に関わるすべての者であり、ポリシーを遵守して、情報システムを利用しなければならない。 また、情報システムセキュリティ管理責、者等から情報セキュリティ維持管理のために協力を依頼された場合には従わなければならない。
情報セキュリティ委員会
本学の情報セキュリティに関し、基本的なポリシーの策定及び重要事項を審議するとともに、対外的な対応等を行う。
委員長は、最高情報セキュリティ責任者(CISO)をもって充てる。
情報セキュリティ対策チーム(CSIRT)
情報セキュリティ、情報システム等に関する知識及び技能を持つ者で、本学のネットワーク構成や個別システムの情報システムセキュリティ管理責任者を把握している最高情報セキュリティ責任者が指名した者をもって充てる。
情報セキュリティインシデントを認知した際、最高情報セキュリティ責任者に対して速やかに状況を報告し、最高情報セキュリティ責任者の指示を受け、適切に対処するチームである。
情報セキュリティ対策チーム(CSIRT)の主な役割は以下のとおりである。
① 発生事象の正確な把握
② 被害拡大防止、復旧、再発防止のための技術的な支援及び助言
③ 対処能力の向上に向けた平時の取組(研修、訓練等の実施)
5.ポリシーの構成
※ポリシー本文は学外非公開です。
第1部 総則
第2部 情報セキュリティ対策の基本的枠組み
第3部 情報の取扱い
第4部 外部委託
第5部 情報システムのライフサイクル
第6部 情報システムのセキュリティ要件
第7部 情報システムの構成要素
第8部 情報システムの利用
改定履歴
策定:平成15年6月27日(第1版)
改定:平成18年1月27日(第2版)
改定:平成21年2月10日(第3版)
改定:平成26年11月14日(第4版)
改定:令和5年5月12日(第5版)