ページトップへ戻る
  1. トップページ
  2. 情報センター
  3. ガイドライン
  4. 大阪工業大学情報セキュリティポリシー

情報センター

ガイドライン

印刷をされる方は、PDF版をご利用ください。

 

大阪工業大学情報セキュリティポリシー

1.目 的
 大阪工業大学(以下「本学」という)の教育ならびに学術研究等の活動において、情報資産の活用は不可欠になっている。本学の情報資産を利用する構成員は、情報セキュリティの重要性を認識し、適切な対策と運用に努めなければならない。
 大阪工業大学情報セキュリティポリシー(以下「セキュリティポリシー」という)は、本学の情報セキュリティ対策の基本姿勢であり、情報資産を機密性・完全性・可用性の面で適切に維持するとともに、関連する法令および規則を遵守し、情報資産の保護と学内外からの脅威を未然に防止することを目的としている。

項目を閉じる

2.適用範囲
 セキュリティポリシーの適用範囲は、本学の情報資産と本学のネットワーク資源を使用する情報機器を対象とし、これらを利用する本学の構成員(教職員、学生、科目等履修生、特別履修生、研究生、聴講生、臨時要員)ならびに委託業者および学外の利用者とする。

項目を閉じる

3.組織・体制
 本学では、情報セキュリティ管理者を全ての学科に置く。
 情報セキュリティの運用・管理は、図1の体制で行うこととする。

情報セキュリティ組織・体制図

(1) 情報セキュリティ委員会
 情報セキュリティ委員会は、本学のセキュリティポリシーの策定および重要事項の決定を行うとともに、対外的な対応も行う。そして、セキュリティポリシーに基づき、セキュリティ対策を実施しなければならない。
 本委員会は、情報セキュリティ最高責任者、情報セキュリティ管理者および情報センター事務室長で構成される。

(2) 情報セキュリティ最高責任者
 情報セキュリティ最高責任者は、全学的な見地に立って、本学の情報セキュリティの維持・向上に努めなければならない。情報セキュリティ最高責任者は、情報センター長がこの任にあたる。

(3) 情報セキュリティ管理者
 情報セキュリティ管理者は、情報資産や情報機器を維持・管理し、セキュリティを保護するよう努めなければならない。これらの管理を他に委託する場合は、責任と権限を明確にしなければならない。

(4) 利用者
 利用者とは、2の適用範囲に示す者をいう。利用者は、セキュリティポリシーはもとより、関連する法令を遵守し従わなければならない。また、情報セキュリティ管理者からセキュリティ維持管理のために必要な措置を指示された場合は、直ちにその指示に従わなければならない。個人研究室および共同研究室等で教職員が自ら直接管理する情報資産については、各自がそのセキュリティに関する責任を負わなければならない。

項目を閉じる

4.情報資産の管理
 情報セキュリティ管理者は、情報資産を適切に管理しなければならない。

(1) 入退室管理
 情報セキュリティ管理者は、重要な情報が保存されている情報機器等を設置している部屋への入退室を、厳重に管理しなければならない。また、それ以外の場所においても情報機器の盗難・き損により情報の漏洩・改ざん等が起きないよう必要な対策を講じなければならない。

(2) 情報機器の管理
 情報セキュリティ管理者は、情報機器のセキュリティを保護し、他からの攻撃を防ぐ対策を講じなければならない。

(3) アカウントの管理
 情報機器にアカウントを作成する場合は、必要なユーザーにのみ発行し、必要最低限の権限を与えるものとする。

(4) データの管理
 個人情報等の重要なデータを扱う場合は、暗号化やパスワードの設定等の措置を講じなければならない。

(5) 情報機器および記憶媒体の処分
 情報機器および記憶媒体を廃棄する場合、データが第三者に読み取られないようにしなければならない。

項目を閉じる

5.違反時の罰則
 セキュリティポリシーを違反した者に対しては、利用制限および利用資格停止等の措置をとることができるものとする。
 また、情報セキュリティ最高責任者は、重大な違反に対して、他の学内意思決定組織と連携して必要な措置をとらなければならない。

項目を閉じる

6.事故・障害の報告
 情報セキュリティに関する事故や障害等を発見した場合には、情報セキュリティ管理者または情報セキュリティ最高責任者へ速やかに報告しなければならない。
 情報セキュリティ委員会は、発生した事故・障害等に関する記録を一定期間保存し、重大な事故に対しては迅速な再発防止策を講じなければならない。また、利用者に対しては、問題の程度に応じて通知を行わなければならない。
 本学からの不正アクセスによって学内外に被害を及ぼし、その事実関係の説明を被害者または第三者から求められた場合には、情報セキュリティ最高責任者が関連部署と連携して対応しなければならない。

項目を閉じる

7.教 育
 情報セキュリティ委員会は、情報セキュリティに関する啓発や教育等を全学的に実施するために必要な措置を講じなければならない。
 また、利用者は、講習会および研修会等を通じてセキュリティポリシーおよび実施手順を理解し、情報セキュリティ上の問題が生じないように努めなければならない。

項目を閉じる

8.評価・見直し
 情報セキュリティ委員会は、セキュリティポリシーが遵守されているかを1年に1回点検および評価を実施するものとする。

(1) ポリシー運用実態の把握
 情報セキュリティ委員会は、情報セキュリティ管理者と連携して全学における情報セキュリティポリシーの運用実態を定期的および必要に応じて調査しなければならない。
 また、利用者からポリシー遵守に関する意見を収集し、教育研究上の利便性を著しく損なうことのないよう配慮しなければならない。

(2) ポリシーの見直し
 情報セキュリティ委員会は、ポリシー運用実態の把握と利用者の意見等に基づいてポリシーの実効性を評価しなければならない。また、情報セキュリティ環境の変化をも踏まえて必要に応じた情報セキュリティポリシーの見直しを実施しなければならない。

(3) セキュリティ計画および予算措置
 情報セキュリティ最高責任者は、評価・見直し等の結果を踏まえ、情報セキュリティ委員会の審議を経て、情報セキュリティ計画および予算措置等を講じなければならない。

(4) 報告義務
 情報セキュリティ最高責任者は、必要に応じて他の学内意思決定組織に評価・見直し等の結果を報告しなければならない。また、その要約について全学の利用者に周知徹底しなければならない。

項目を閉じる

9.適用時期
 本ポリシーは、2014年 9月17日より適用する。

項目を閉じる

    学内ポータルサイト