国立情報学研究所情報セキュリティポリシー

 

平成15324日 

        定 

 

最近改正:平成18825日 

 

. 情報セキュリティポリシーの目的と意義 

 

国立情報学研究所は,情報学の研究を通じて,安全かつ安定したネットワークやコンピュータ社会を実現する責務を有する。

一方で国立情報学研究所は,情報資産すなわちコンピュータおよび通信機器,コンピュータに蓄積されたデータを使用して情報学の研究,学術情報基盤の形成,高度な専門家の養成等を行っており,情報資産は本研究所の運営基盤となる非常に重要な資産である。これら情報資産に重大なセキュリティ上の問題が発生した場合,研究活動の遅延,社会的信用の低下など深刻な結果を被りかねない。

そこで国立情報学研究所は,情報通信を活用した研究,教育活動の安全性を確保し,外部社会に広く支持される情報サービス,広報,成果普及活動を展開し,さらに未来にむけてより高度で自由な情報通信の開発と利用を実践するため,この情報セキュリティポリシーを制定するものである。

 

. 情報セキュリティポリシーの体系

 

 情報セキュリティに関しては,この情報セキュリティ対策に対する根本的な考え方を表す基本方針を定め,その下にセキュリティ対策標準を置き,さらに具体的な実施手順としてセキュリティ実施手順書を作成する。

全ての規定及び施策は,本情報セキュリティポリシーに一貫して従うものとする。

情報セキュリティ施策の実施に当たっては,脅威の評価に基づき,技術・運用管理・支援組織・教育等の観点から検討し,情報資産価値や重要性,研究・業務上の要請,関係法令及び職員等の利便性を考慮した上で総合的に判断・実施する。また,これらは最新の情報利用状況に応じて適時更新されることをさまたげない。

 

1. 情報セキュリティ基本方針

本規定は,国立情報学研究所のセキュリティに対する基本的な考え方を示したもので,セキュリティ対策全体の基本として公開される。

 

2. 情報セキュリティ対策標準

情報セキュリティ基本方針に続いて定義される文書で,情報セキュリティポリシーを達成するため,情報資源を類別し,危険度の考え方と対象分野ごとの保護対策の用件が記載され,公開される。

 

3. 情報セキュリティ実施手順

情報セキュリティ対策標準で示された基準に従い,情報資産を利用する職員等に提示される手順書等の文書である。各人の利用,管理する情報資産や職分上の相違により,提示の対象や内容に一部制限が加わることがある。

 

 

. 情報資産

 

情報セキュリティポリシーの対象とするのは,国立情報学研究所メインルータの内側に位置する通信機器,コンピュータ機器,そこに蓄積されたデータ,およびそこから受発信される情報とする。

. 情報セキュリティポリシー運営体制

 

情報セキュリティの運営のため,情報セキュリティ統括責任者を置く。また,情報セキュリティの適正な管理を推進するために,情報セキュリティ統括責任者を中心とした情報セキュリティ委員会を設置し,あわせてそれを補佐するワーキンググループ(WG)とタスクフォースを設置する。

 

(情報セキュリティ委員会)

 

1.情報セキュリティに関するトラフィック管理,計画立案,実施,外部との折衝,セキュリティに関する教育広報および人材育成のため,国立情報学研究所所内に情報セキュリティ委員会を設置する。

 

2.情報セキュリティ委員会は,国立情報学研究所の所内ネットワークおよび情報機器が常に異常なく運用されるようトラフィックを管理し,改善の必要を認めた場合には,その実施を所員に勧告する。

 

3.情報セキュリティ委員会は,国立情報学研究所の所内ネットワークおよび情報機器の運用に関する国立情報学研究所内部および外部からの質問と苦情に返答し,必要のある場合には紛争を調停する任務を担う。

 

4.情報セキュリティ委員会は,情報資産の利用者に対し,セキュリティ意識の向上と技術レベルの向上の両面を目的として,情報セキュリティ教育を実施する。

 

5.情報セキュリティ委員会の活動を補助するため,委員会の下に,トラフィック管理WG,情報運用WG,情報利用WG,およびタスクフォースを置く。

 

(トラフィック管理WG)

 

1.トラフィック管理WGは, 国立情報学研究所の所内ネットワークおよび情報機器が常に異常なく運用されるよう,情報セキュリティ委員会を補佐してトラフィックを管理する。

 

2.トラフィック管理の範囲は,国立情報学研究所のメインルータ内側に設置された通信および情報機器とする。トラフィック管理により得られた内容は情報セキュリティ委員以外には報告しないものとする。

 

3.受け付けた質問やクレームのうち返答,実施に重要な判断の伴わないものは,その対応をトラフィック管理WGの名において行い,内容および経過を情報セキュリティ委員会に報告する。

 

(情報運用WG)

 

情報運用WGは,情報セキュリティ委員会を補佐して, 国立情報学研究所の情報機器運用や発信情報に関する内部または外部からの質問および苦情を受理する。

 

(情報利用WG)

 

情報利用WGは,情報セキュリティ委員会を補佐して,所内ネットワークおよび情報機器のより安全で,効率的かつ効果的な運用と展開を立案,提言する。またそのための講習会を企画,実施する。

(タスクフォース)

 

1.タスクフォースは,特に緊急性の高いセキュリティ事象への暫定的な応答および措置をおこなう。

 

2.タスクフォースは,国立情報学研究所の通信機器や情報機器を通信網から一時的に切断または停止させることができる。

 

3.タスクフォースは各通信機器や情報機器の状況を確認することができ,また機器の設置内容を管理者に質問することができる。

 

4.タスクフォースの実施する措置の内容は,原則としてタスクフォース構成員の合議によって決定する。ただし,特に緊急性が高い場合には,タスクフォース構成員1名の判断において措置を行うことができる。

 

5.タスクフォースが任務に基づく行動をおこなった場合には,その内容をすみやかに情報セキュリティ委員会に報告しなければならない。

 

. 利用者のとるべき行動

 

1.情報ネットワーク利用者(以下,利用者という)は,以下の基本原則を遵守して,研究,教育および事業など本研究所の目的に沿って情報ネットワークを利用することができる。ここで利用者とは,国立情報学研究所の常勤職員,非常勤職員,大学院学生,研究開発プロジェクトに参加する者,その他国立情報学研究所の所内ネットワークおよび情報機器の利用を特に認められた者を指す。

 

2.利用者は情報ネットワークのセキュリティ確保の必要性を認識し,それぞれの立場に応じたセキュリティ確保の責任を担う。利用者は研究所で行われる情報ネットワークセキュリティに関する研修活動に参加するなどして,セキュリティポリシーおよび実施手順を理解して,セキュリティ上の問題が起きないように努める。

 

3.利用者はセキュリティ委員会の助言および指示に基づいて情報ネットワークに端末機器等を導入することができる。導入する機器の技術的セキュリティおよび人的セキュリティについては,セキュリティ委員会の助言および指示に基づいて,利用者が自己の責任においてこれを運用する。

 

4.利用者は情報セキュリティに関わる事項の予防,検出,および対応のため,情報セキュリティ委員会の活動に協力する。利用者が情報ネットワークセキュリティに関する事故,情報ネットワークの不審な動作,情報の改竄,システム上の障害または誤動作を発見した場合には,すみやかにセキュリティ委員会に報告する。

5.利用者は自己の作為あるいは不作為が他者に損害を与えるおそれのあることを認識し,国立情報学研究所内外の情報ネットワーク関係者の正当な利益を尊重する。

 

6.利用者はセキュリティ委員会の助言または指示なしに,ネットワークのセキュリティに影響を及ぼすようなネットワーク機器の導入またはネットワーク設定を行ってはならない。

 

7.利用者は各種法令および社会的慣例を遵守する.利用者は情報ネットワークの利用にあたって各種法令,国立情報学研究所規則,および社会的慣例を遵守することが求められる。

 

.情報機器の管理

 

1.  情報資源を構成する固定した通信機器およびコンピュータは,管理責任者を明確にした上で,すべてセキュリティ委員会に登録される。

 

2. 管理責任者にはその情報機器の主たる操作者をもってあて、機器の危険度ないし重要度によっては情報管理技術の公的資格を保有することを義務づける。

 

3. 基幹システムに影響を及ぼしうる機器の設置,運用を行おうとする利用者は,当該機器の危険度ないし重要度によっては情報管理技術の公的資格を保有することを義務づけられる.

 

. 研修、教育

 

情報セキュリティポリシーを周知徹底するために,国立情報学研究所は適時所内向けのセキュリティ講習会を開催するほか、ネットワークセキュリティ管理講習等の資格制度を活用する。利用者は積極的にこれらに参加する責務を有する。

 

. セキュリティ監査

 

情報セキュリティポリシーの実施状況を確認するために、国立情報学研究所は適時所内向けのセキュリティ監査を実施する。利用者は,セキュリティ監査に協力する責務を有する。

 

.セキュリティポリシーの改訂

 

セキュリティポリシーは常に各種脅威の影響に対応するため,継続的に改訂しなければならない。本基本方針は研究所会議の承認手続きを,対策標準及び実施手順書は各々において定められた承認手続きをもって改訂がなされる。

 

10.関係する法規および資格制度の活用

 

研究所は情報セキュリティポリシーを,関連する公的法規等に適合するように常に維持する。ここで,関連する公的法規とは,

・国際規格 ISO/IEC 17799ISO/IEC TR13335GMITS

・国内規格 JIS Q 15001

・国内法規 刑法,不正アクセス禁止法,プロバイダ責任制限法,サイバー犯罪条約,個人情報保護法

等である。また情報資源の適正な管理のため、公的資格ならびに国立情報学研究所ネットワークセキュリティ管理講習修了資格等を活用し、重要な情報資源の管理者にはその取得を義務づける。