(趣旨)

第1条　この要領は、広島県公立大学法人情報セキュリティポリシーに関する要領(美高梅国际娱乐_2024欧洲杯下注-官网*直播3年法人要領第43号)第17条の規定に基づき、広島県公立大学法人(以下「法人」という。)及び県立広島大学(以下「大学」という。)における適切な情報セキュリティ対策に関する基準(以下「対策基準」という。)について必要な事項を定めるものとする。

(適用範囲)

第2条　この基準において適用対象とする者は、法人及び大学の情報システムを運用?管理するすべての者及び利用者とする。

(定義)

第3条　この基準において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(組織及び体制)

第4条　最高責任者は、法人運営の見地から情報セキュリティの維持?向上に努め、セキュリティ対策を推進し、ポリシーの対象者すべてにポリシー及び対策基準の遵守を励行させる。最高責任者は、情報セキュリティに関する学外からの苦情への対応、並びに学外から受けた被害への対応にあたる。

(教育?研修)

第5条　総括管理者は、情報セキュリティに関する啓発や教育を実施するために必要な措置を施さなければならない。特に入学者や新規採用の職員に対する教育?研修等が適切に実施されるよう配慮しなければならない。

(事故?障害)

第6条　職員及び学生は、情報セキュリティに関する事故、情報システムの不審な動作、公開情報の改ざん、システム上の障害及び誤動作を発見した場合には、管理機関担当者に直ちに報告しなければならない。

(情報の分類と管理)

第7条　情報の分類とそれに応じた管理方法においては、利用者は別に定める要領に従わなければならない。

(記録媒体の管理)

第8条　職員は、機密性の高い情報を保管ないし移動させる場合は、権限のない者が当該情報にアクセスできないように、適切なアクセス制御を講ずる、または十分な強度を持つ暗号化等のセキュリティ対策をとらなければならない。

(機密情報が記録された媒体の廃棄)

第9条　職員は、機密性の高い情報を記録した媒体を廃棄する場合は、単に媒体を初期化するだけではなく、媒体全体の上書き消去等情報を復元できないように処理した上で廃棄しなければならない。

(学内ネットワーク等への機器の接続)

第10条　学内ネットワーク等には、総括管理者が許可を与えた機器のみを接続するものとし、IPアドレスを必要とする機器ごとに申請を行わなければならない。

(無線LANアクセスポイントの接続)

第11条　総括管理者が認めた者を除き、学内ネットワーク等に接続可能な無線LANアクセスポイントの設置及び無線LANを利用した学内ネットワーク等への接続を行ってはならない。研究室等での無線LANアクセスポイントの設置?運用に関しては、次の各号に掲げる事項を遵守しなければならない。

(外部ネットワークとの接続の禁止)

第12条　学内ネットワークのセキュリティ機能の管理を回避する目的でのバックドア(PPPサーバ、コンピュータに接続する公衆回線、VPN装置及びソフトウェア等)の設置を原則として禁止する。ダイアルアップ等で学外との接続を行う場合には、学内ネットワークとの同時接続を行ってはならない。

(学外から学内への接続)

第13条　総括管理者が認めた者は、指定された方法で学内ネットワークとの接続をおこなうことができる。接続方法は、利用者のアクセス制限、通信の暗号化などに関して、十分なセキュリティを確保できるものでなければならない。

(コンソールポートの隔離)

第14条　学内ネットワークを構成しているルータ、インテリジェントスイッチは、コンソールポート、管理ポートが許可された特定の者以外は使用できないように、施錠などによって物理的に隔離して設置しなければならない。

(研究用ネットワークにおける機器の接続)

第15条　研究用ネットワークへの機器の設置については、教育研究上の必要性及び申請者の専門性等を総合的に判断し、総括管理者が認めた場合に限り許可する。

(DMZ及び研究用ネットワークへのサーバの設置)

第16条　DMZ又は研究用ネットワークにサーバを設置しようとする者(以下「サーバ設置申請者」という。)は、サーバ管理者を指定して総括管理者に申請し、許可を受けなければならない。

(独自システムの設置)

第17条　各部局等が独自に情報システムサービスを提供する場合、総括管理者の許可を得なければならない。また、その独自システムの重要度に応じてファイアウォールの設置等、必要なセキュリティを確保しなければならない。セキュリティ確保に必要な機器の設置?運用については当該部局等の責任で行うものとする。

(クライアント機器のセキュリティ対策)

第18条　学内ネットワーク等にクライアント機器を接続している利用者は、OS及びアプリケーションソフトの脆弱性に対するアップデート等を適切に行わなければならない。

(学外におけるクライアント機器の利用)

第19条　クライアント機器を学外で利用する場合は、利用者は、盗難又は紛失に特に注意するものとする。単にクライアント機器のハードウェアだけでなく、機内の情報資産も学外に持ち出していることに留意し、当該機器を適切に管理しなければならない。

(サーバ機器の設置)

第20条　総括管理者は、本部学術情報センター設置のサーバ機器(コンソールを含む)を、入退室情報を記録できる装置が装備されている、または管理体制が整っている区域に設置しなければならない。管理区域内はサーバ機器の動作補償範囲内の温度、湿度を24時間保たなければならない。

(サーバ機器の復元対策)

第21条　総括管理者は、本部学術情報センター設置のサーバ機器(コンソールを含む)について、運用状態を復元するために次の各号に掲げる対策を講ずること。

(サーバ機器の保守)

第22条　総括管理者は、本部学術情報センター設置のサーバ機器の保守においては、パスワードやシステム設定情報などの非公開情報の開示についての守秘義務契約を結ばなければならない。

(利用者の責務)

第23条　法人及び大学の保有する情報資産に関するすべての利用者は、ポリシーの関連項目に精通し、情報資産の利用にあたっては、各自がそのセキュリティに関する責任を負うとともに、ポリシーを遵守しなければならない。

(パスワードの管理)

第24条　利用者は、自己のアカウントのパスワードは秘密とし、十分なセキュリティを維持できるよう、自己のパスワードの設定及び変更に配慮しなければならない。

(権限の管理)

第25条　総括管理者は、利用資格を有する者以外に対してアカウントを発行してはならない。

(非常勤職員及び臨時職員並びに外部委託に対するセキュリティ対策)

第26条　総括管理者は、非常勤職員及び臨時職員に対し、雇用契約時に、守るべきポリシーの内容を理解させ、実施及び遵守させなければならない。

(対策基準の運用実態の把握)

第27条　法人及び本学における対策基準の運用実態等を把握するために、次に掲げる措置を実施すること。

(対策基準の更新)

第28条　情報セキュリティ委員会は、前条の結果に基づき、対策基準の実効性を少なくとも年1回評価し、必要な部分を見直して内容の変更及び実施時期の決定を行う。

(教育研究上の利便性の配慮)

第29条　最高責任者及び総括管理者は、情報セキュリティ対策を遵守することが現実的に困難とならないように、あるいは教育研究上の利便性を著しく損なうことのないように、利用者のニーズ動向の把握に努め、利便性の向上に配慮しなければならない。

(情報セキュリティ計画及び予算)

第30条　情報セキュリティ委員会及び最高責任者は、本学における情報セキュリティ対策に要する経費を把握し、必要に応じて学内の他の意思決定組織と連携しながら、情報セキュリティ計画の作成及び適切な予算措置を講じるものとする。

(実施手順)

第31条　総括管理者は、各キャンパスの実情を踏まえたうえで、必要に応じて対策基準に定められた事項を実施するための具体的な手順を別に定めるものとする。