1.趣旨
国立大学法人三重大学(以下「本学」)という。)における情報基盤の整備に加えて,大学の情報資産のセキュリティを確保することが不可欠であり,また,本学の理念である地域に根ざし,世界に誇れる独自性豊かな教育・研究成果を生み出す目標を達成するため,情報セキュリティポリシーを策定する。 本学のすべての関係者は,この目的を果たすため,ポリシーの実施に責任を負うとともに,ポリシーを尊重し,遵守しなければならない。
2.目的
情報セキュリティポリシーによって目指すものは以下のものである。
(1)大学の情報セキュリティに対する侵害を阻止する。
(2)学内外の情報セキュリティを損ねる加害行為を抑止する。
(3)情報資産に関して,重要度に見合った管理をする。
(4)情報セキュリティに関する情報の取得を支援する。
3.適用対象
情報セキュリティポリシーが対象とする範囲(人および物)は以下のものである。
(1)本学の学内ネットワークおよび情報機器に触れることが可能なすべての教職員,学生,委託業者,来学者等(図書館等に出入りする地域住民,大学内で開催される学会等への参加者など)の関係者および情報基盤を納入する業者など。
(2)学内ネットワークに一時的にでも接続されるすべての情報機器。この情報機器には,学生が持ち込む情報機器や大学内で開催される学会等への参加者が持ち込む情報機器を含む。ここで,学内ネットワークとは,三重大学のネットワークアドレスを持つすべてのネットワークおよび,それにバリアセグメントを経由せずに接続しているすべてのネットワークを指す。
(3)本学の管理するすべての電子的に記録された情報資産。
4.情報セキュリティスタンダード
情報セキュリティポリシーの目的を達成するために,下記の対策基準に従い情報を管理し,別途定める各種情報セキュリティスタンダード等に従い情報を管理し,取り扱うものとする。
(1)組織・体制
本学における情報基盤を整備し、情報資産の有効活用・セキュリティ確保を実現するための組織・体制を定め,その責任および権限を明確にする。
(2)情報資産の分類と管理
本学が業務において取り扱うすべての情報資産を管理するため,重要度に応じた情報分類の定義,情報の管理・運用に関する責任および方法等を定める。
(3)物理的セキュリティ
情報システムの設置場所について,安全性を保ち,不正な立ち入りを阻止する対策を講じる。また,外部記録媒体等,電子的に記録されている情報を記載した書面および情報システムに関する設計書等により情報資産を持ち運ぶ際の保護対策にも万全を期する。
(4)人的セキュリティ
本ポリシー適用対象者への内容の周知徹底を行い,また,セキュリティ対策のための十分な教育や啓発が行われるよう,セキュリティ対策のための講義や研修会などの必要な対策を講じる。
(5)技術的セキュリティ
本学の情報資産を学外または学内からの不正なアクセスなどから適切に保護するため,情報資産へのアクセスの制御,ネットワーク管理などの必要な対策を講じる。
(6)運用
本学の情報資産の適用対象範囲によって実効性を確保するため,教育研究情報セキュリティスタンダード,事務情報セキュリティスタンダード,附属病院情報セキュリティスタンダードを定め,適用に即した遵守状況の確認,ネットワークの監視などの運用面に関して必要な措置を講じる。
(7)パブリッククラウドサービスの利用
(8)評価・見直し
本学の組織体制や情報システムの変更等,および新たな脅威等に対応するため,運用実態を収集し,定期的および必要に応じて随時に情報セキュリティ対策の評価・見直しを実施する。