Comments
Description
Transcript
校内情報ネットワーク利用に関する情報セキュリティ基準
校内情報ネットワーク利用に関する情報セキュリティ基準 1 目的 この基準は、学校における電子情報及び電子情報を扱うシステムや個人情報等の保護 を図るとともに、児童生徒の情報活用能力の育成及び教職員による授業等での活用を推 進するため、校内ネットワーク及びインターネットの適正利用に関する必要事項を定め るものである。なお、本基準は、千葉県情報セキュリティ基本方針及び千葉県情報セキ ュリティ対策基準に準拠するものである。 2 定義 (1)電子情報 電磁的に処理、通信又は記録されるデータをいう。 (2)ネットワーク 通信のために用いられる装置及び回線をいう。 (3)情報系ネットワーク インターネットに接続し、校内において共用することを目的に設置されたネットワ ークをいう。 (4)校務系ネットワーク インターネットに接続せず、校内における各種校務処理で共用することを目的に設 置されたネットワークをいう。ただし、事務室において事務処理に利用するネットワ ーク(電子県庁 LAN)を除く。 (5)情報資産 電子情報及び電子情報を管理する仕組み(情報システム並びにシステム開発、運用 及び保守のための資料等)の総称。 (6)記録媒体 フロッピィディスク、磁気テープ、光ディスク、光磁気ディスク等のリムーバブル ディスク及びハードディスク等の電子情報を記録するための媒体をいう。 (7)情報セキュリティ 情報資産の機密性、完全性、可用性を維持することをいう。 (8)端末等 情報システムを利用するための端末及びパソコンの総称。 (9)情報システム ハードウェア、ソフトウェア、ネットワーク及び記録媒体で構成されるものであっ て、これら全体で業務処理を行うものをいう。 3 電子情報の分類 (1)取扱に留意するべき電子情報(特定電子情報) ①個人情報 ②校務上必要とする情報で児童生徒に係る情報 ③児童生徒作品等学習活動により作成された情報 ④千葉県情報公開条例第8条の各号に掲げる不開示情報 (2)一般電子情報(上記(1)以外の情報) 4 運用体制 情報セキュリティ管理については校内において以下の組織・体制を整備するものとす る。 (1)総合情報責任者 校長の職にある者をもって充てる (2)情報セキュリティ管理者 教頭の職にある者をもって充てる (3)情報システム管理者 総合情報責任者は、適正なネットワーク利用を促進するため、情報システム管理者 を定める。 (4)情報ネットワーク活用委員会(仮称) 総合情報責任者は、ネットワーク活用のための分掌組織(部又は委員会)を設置し 管理運用に当たる。 (5)審議会 総合情報責任者は、情報セキュリティに関する重要事項については、審議会を組織 し、その意見を参考に決定する。審議会員には、教頭、事務長を含むものとする。 5 役割・責任 (1)総合情報責任者(校長) ①総合情報責任者は、校内におけるすべての情報資産(電子情報及び電子情報を管理 する仕組み)の情報セキュリティを統括する。 ②総合情報責任者は、校内の情報資産に対する侵害又は侵害のおそれがある場合は県 教育委員会の指示に従い、必要かつ十分なすべての措置を行うものとする。 ①総合情報責任者は、校内にあるサーバ、コンピュータ、その他電磁的に記録された データ及びインターネットを含む校内ネットワークの管理・運用について責任を負 う。 (2)情報セキュリティ管理者(教頭) ①情報セキュリティ管理者は、総合情報責任者を補佐し、校内における情報セキュリ ティに関する連絡体制を構築する。 ②情報セキュリティ管理者は、校内において情報セキュリティ対策を講ずるものとす る。 ③情報セキュリティ管理者は、所属の教職員に対して情報セキュリティの方針及び対 策基準を遵守させるものとする。 ④情報セキュリティ管理者は、校内の情報資産に対する侵害又は侵害のおそれがある 場合は総合情報責任者へ速やかに報告し、指示を受けなければならない。 ⑤情報セキュリティ管理者は、校内情報ネットワーク利用のガイドラインを別に定 め、児童生徒及び関係者に周知徹底を図るとともに、利用状況の把握に努める。 (3)情報システム管理者 ①情報システム管理者は、校内の情報システムに係る具体的なセキュリティ対策の基 準を定めシステムの維持管理を容易にするものとする。 ②情報システム管理者は、校内情報システムや情報資産の侵害やそのおそれのある場 合、総合情報責任者及び情報セキュリティ責任者の指導助言を受け、適切な対応を行 うものとする。 ③情報システム管理者及び情報ネットワーク活用委員会(仮称)の構成員は、所属の 教職員に対して千葉県情報セキュリティ基本方針及び千葉県情報セキュリティ対策 基準の趣旨を理解させ、本基準(校内情報ネットワーク利用に関する情報セキュリテ ィ基準)及び校内情報ネットワーク利用のガイドラインを遵守させるものとする。 (4)教職員 ①教職員は、千葉県情報セキュリティ基本方針及び千葉県情報セキュリティ対策基準 の趣旨を理解し、本基準に定められている事項を遵守しなければならない。 ②教職員は、担当する端末等及び記録媒体について、不正な使用がないように適切な 管理を行わなければならない。 ③教職員は、電子情報について法令等により認められていない複写又は無断転載等を 行ってはならない。 ④教職員は、情報資産の使用を業務以外の目的で使用してはならない。特に、電子情 報のうち個人情報については、原則として対象となる個人情報を取り扱う業務以外の 目的で利用し、又は外部に提供してはならない。 ⑤教職員は、校内ネットワークの利用に際し、本基準及び利用の手引きを尊守し、校 内ネットワークの適正利用に努めなければならない。 6 研修等 (1)総合情報責任者は、研修等を通じ教職員に対し情報セキュリティについての最新情 報を提供し、啓発を行うものとする。 (2)教職員等は、研修等を通じ情報セキュリティに関する事項を理解し、情報セキュリ ティ上の問題が生じないようにしなければならない。 7 電子情報の管理方法 総合情報責任者及び教職員は、学校が保有する電子情報について、次に掲げる方法等 により適切な管理を行う者とする。 (1)電子情報は、ファイル名・記録媒体等に分類がわかるように表示するとともに、第 三者が容易に重要性を識別できないように留意すること。 (2)電子情報について、取り扱うことのできる者を明確にし、権限がない者が触れるこ とのないよう適切な管理を行うこと。 (3)特定電子情報を記録した記録媒体は、施錠可能な場所に保管するなど厳重な管理を 行う。 (4)記録媒体を保管場所から移動する際は、複製の禁止及び記録媒体の物理的保護につ いて定める。 8 情報資産の外部持ち出しの禁止 記録媒体を含む、情報資産は所属場所において管理し、外部への持ち出しは禁止する。 記録媒体等をやむを得ず修理等により持ち出す場合は、電子情報を消去し、記録簿によ り管理するものとし、電子情報の消去が難しい場合は委託業者に対し秘密を守ることを 契約に定めなければならない。 9 電子情報の消去 保存する必要が無くなった電子情報は確実かつ速やかに消去する 10 記録媒体の処分 (1)記録媒体を処分する場合、当該媒体に含まれる電子情報は、初期化する或いは専門 業者に委託するなどして復元できない措置を取った上で廃棄するものとする。 (2)特定電子情報を記録した電子媒体の廃棄に当たっては、日時、処理方法、担当者を 記録するなど慎重に行う。 11 パスワードの管理 (1)教職員は、自己の保有するパスワードに関し、次の事項を遵守しなければならない。 ①パスワードは秘密にし、照会等には一切応じてはならない。 ②パスワードは想像しにくいものとし、定期的に変更するなどして不正使用を防ぐよ うにする。 12 サーバ等の管理 (1)サーバ等の機器は操作を認められたもの以外が容易に操作できないように、利用者 ID、パスワードの設定等の適切な措置を施さなければならない。 (2)特定情報が処理される校務系サーバにおいては、ファイルを共有するグループ、教 職員等の範囲を明確にし、範囲外の者がファイルを閲覧及び使用できないよう設定を 施さなければならない。 13 端末 (1)執務する部屋等に職員がいない場合は、施錠等により端末等の盗難防止のための措 置を施さなければならない。 (2)情報系ネットワークと校務系ネットワークに用いるそれぞれの端末等は、ルータ、 HUB、LANケーブル等のネットワーク機器を介して物理的に接続してはならな い。 14 アクセス制御 (1)総合情報責任者、情報セキュリティ管理者及び情報システム管理者は、利用者登録、 変更、抹消、登録情報の管理、異動や退職に係る利用者IDの取扱いについて予め定 めておく。 (2)総合情報責任者は、情報系及び校務系のネットワークの管理者権限を情報システム 管理者に代行させる場合は、権限を厳重に管理するものとする。 (3)総合情報責任者、情報セキュリティ管理者及び情報システム管理者は職員等のパス ワードの管理方法について予め定めることとする。 15 運用に係る留意点 (1)総合情報責任者、情報セキュリティ管理者及びシステム管理者は、セキュリティ対 策上必要があると認められる場合は、アクセス記録、メール等に係る情報を閲覧する ことができる。 (2)情報セキュリティ管理者は、教職員が常に情報セキュリティ基本方針、対策基準を 参照できるよう配慮しなければならない。 16 緊急時の対応 (1)総合情報責任者及び情報システム管理者は、次の緊急事案が発生し、情報資産の防 護のためにネットワークの切断が必要な場合は、ネットワークを切断する措置を講ず るものとする。 ①異常なアクセスが継続しているとき、又は不正アクセスが判明したとき。 ②コンピュータウィルス等不正プログラムがネットワーク経由で拡がっているとき。 ③その他情報資産に係る重大な被害が想定されるとき。 (2)総合情報責任者及び情報システム管理者は、次の緊急事案が発生した場合、情報資 産の防護のために、情報システムを停止するものとする。 ①不正アクセス、コンピュータウィルス等が情報資産に深刻な被害を及ぼしていると き。 ②災害等により電源を供給することが危険又は困難なとき。 ③その他情報資産に係る重大な被害が想定されるとき。 (3)総合情報責任者及び情報システム管理者は上記(1)(2)に掲げる事案が発生し た場合は緊急時の連絡体制に定められた関係機関に連絡しなければならない。 (4)総合情報責任者及び情報システム管理者は、緊急事案に係るシステムのアクセス記 録及び現状を保存するため、サーバ等を停止するものとする。 (5)総合情報責任者及び情報システム管理者は緊急事案に対処した経過を記録するもの とする。 (6)総合情報責任者及び情報システム管理者は緊急事案に係る証拠保全を実施するとと もに、再発防止の暫定措置を検討するものとする。 (7)総合情報責任者及び情報システム管理者は再発防止の暫定措置を講じた後復旧させ るものとする。 17 ネットワークの事故等に関する報告 (1)教職員等は情報セキュリティに関する事故、システム上の誤動作を発見した場合は、 情報セキュリティ管理者及び情報システム管理者に報告し、その指示に従わなければ ならない。 (2)情報セキュリティ管理者及び情報システム管理者は事故等について総合情報責任者 に報告しなければならない。 (3)総合情報責任者は、報告のあった事故等について県教育委員会に速やかに報告しな ければならない。 (4)総合情報責任者、情報セキュリティ管理者及び情報システム管理者は、事故につい て分析し、再発防止のための措置を執るとともに情報として記録しなければならな い。 18 法令等の遵守 利用者は、職務上使用する情報資産について、不正アクセス行為の禁止等に関する法 律(平成11年法律第128号)、著作権法(昭和45年法律第48号)、千葉県個人 情報保護条例(平成5年千葉県条例第1号)その他関係法令、平成10年5月15日付 け県教育庁学校指導部指導課長発「教指第294号」等を遵守しなければならない。 19 見直しの実施 情報セキュリティを取り巻く状況の変化に対応するために、必要に応じて「校内情報 ネットワーク利用に関する情報セキュリティ基準」及び「校内情報ネットワーク利用の ガイドライン」の見直しを行うものとする。