情報セキュリティポリシー
1. 情報の収集と利用について
情報セキュリティの基本方針
電子情報は京都ノートルダム女子大学(以下、本学)にとって重要な資産である。教育活動や教務運営等を安全かつ効率的に展開するためには電子情報が持つセキュリティ上の脆弱性を認識し、セキュリティを確保しなければならない。
個人情報を筆頭とする非公開情報の漏洩は、関係者に計り知れない被害を与えることになると同時に社会的信頼を損失することになるため決して発生させてはならない。本学のネットワークを利用する者はセキュリティポリシーを遵守し非公開情報等の機密性を確保し、情報資産のセキュリティを高めなければならない。
趣旨ならびに位置付け
当セキュリティポリシーは本学の運営するネットワーク、コンピュータ上に存在する各種電子情報を取り扱うにあたり、全利用者が遵守しなければならない事項をまとめたものである。
対象範囲ならびに対象者
セキュリティポリシーの対象範囲は、本学の管理する電子情報を操作可能な機器、電子情報を格納可能な機器、ネットワークとする。セキュリティポリシーの対象者は本学の教職員(常勤、非常勤を問わず)、学生(学部生、大学院性、非正規生を問わず)、アルバイト、委託業者、来学者など、本学ネットワークを利用する全ての者とする。
2. 対策基準
実組織・体制
情報セキュリティの最高責任者は学長とする。最高責任者は情報セキュリティ対策に取り組む組織、体制を構築しセキュリティポリシーの実施に関する業務を執行する。最高責任者はネットワーク管理者を任命し、本学ネットワークの管理業務に就かせる。本学の全構成員にセキュリティポリシーを周知徹底する。点検及び評価は図書館情報センター委員会が担当する。事務処理は図書館情報センターシステム管理課が所管することとする。
3. 情報セキュリティ侵害の阻止
不正アクセス等への対応
本学ネットワークへのあらゆる不正アクセスが検出された場合、本学ネットワークの管理者は速やかに対応する。
通信の遮断、当該機器のネットワークからの切り離し、不正アクセス者の特定などを実施する。事態の収束後は再発防止のため、アクセス制限等の見直しを実施する。
アクセス制限
ネットワーク管理者は本学ネットワーク上の機器、情報に対するアクセスを適切に制御しなければならない。情報の内容や提供するサービスに応じてアクセスを許可する者(個人、組織、グループ等)を定め、必要なアクセス制限を実施する。利用者はアクセス許可を持たない情報へのアクセスを試みてはならない。
学内外の情報セキュリティを侵害する行為の抑止
本学内外を問わずあらゆる組織の電子情報を侵害してはならない。
情報資産の分類と管理
情報資産はその情報の性質により非公開情報、公開情報と分類し取り扱う。
情報資産の管理者
本学ネットワーク上に保存された情報は、その情報の作成者とネットワーク管理者が管理しなければならない。
非公開情報資産
個人情報、教育、教務等の非公開情報を不当に利用してはならない。情報の作成者やネットワーク管理者は適切なアクセス制限を実施し、情報の盗難、漏洩を防止しなければならない。
公開情報資産、限定公開情報資産
公開されるあらゆる情報を不当に利用してはならない。情報への不正なアクセスを防止するため、情報の作成者やネットワーク管理者は適切なアクセス制限を実施し、情報の改竄、破壊を防止しなければならない。また、非公開情報を誤って公開してしまわぬよう注意すること。
情報機器および記憶媒体の処分
情報機器及び記憶媒体を破棄する際は、初期化や物理的破壊等の処置を施し一切の情報を復元できないようにすること。
情報セキュリティならびにポリシーの評価と更新
セキュリティポリシーは情報技術の発展とともに改正せねば満足な効力を発揮できない。定期的に評価し更新する必要ことは必須である。改善の必要性が認められた場合、速やかにセキュリティポリシーを更新しなければならない。