京都大学情报セキュリティ対策基準

(平成21年3月2日情报担当理事裁定)

第1章 総則

(目的)
第1条 この基準は、情报セキュリティポリシーに基づき、京都大学(以下「本学」という。)における情報システムの情报セキュリティ維持及び向上に関する事項を定めることにより、本学の有する情報資産を適正に保護、活用し、並びに情報システムの信頼性、安全性及び効率性の向上に資することを目的とする。

(定义)
第2条 この基準において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

  1. 基本方針 本学が定める「京都大学における情报セキュリティの基本方針」(平成27年3月25日役員会決定)をいう。
  2. 規程 本学が定める「京都大学の情报セキュリティ対策に関する規程」(平成15年達示第43号)をいう。
  3. 情报ネットワーク机器 情报ネットワークの接続のために设置され、サーバ装置及び端末により情报ネットワーク上を送受信される情报の制御を行うための装置(ファイアウォール、ルータ、ハブ、情报コンセント又は无线ネットワークアクセスポイントを含む。)をいう。
  4. サーバ装置 情报システムの构成要素である机器のうち、通信回线等を経由して接続してきた端末等に対して、自らが保持しているサービスを提供するもの(搭载されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺机器を含む。)をいい、特に断りがない限り、本学が调达又は开発するものをいう。
  5. 端末 情报システムの构成要素である机器のうち、利用者等が情报処理を行うために直接操作するもの(搭载されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺机器を含む。)をいい、本学が调达又は开発するもの及び学内通信回线に接続する本学支给以外のものをいう。端末には、モバイル端末も含まれる。
  6. 本学情報システム 規程第3条第1項第1号及び第3号の情報システムをいう。
  7. 全学情报システム 本学情报システムのうち、第4条第1项に定めるものをいう。
  8. 部局情报システム 本学情报システムのうち、全学情报システム以外のものをいう。
  9. 安全区域 サーバ装置及び端末及び情報ネットワーク機器を設置した事務室、研究室、教室又はサーバルーム(学外のサーバルーム及びデータセンターを含む)等の内部であって、利用者等以外の者の侵入や自然災害の発生等を原因とする情报セキュリティの侵害に対して、施設及び環境面から対策が講じられている区域をいう。
  10. 利用者 教职员等及び学生等で、许可を受けて本学情报システムを利用する者をいう。
  11. 临时利用者 教职员等及び学生等以外の者で、许可を受けて本学情报システムを利用する者をいう。
  12. 利用者等 利用者及び临时利用者のほか、本学情报システムを取り扱う者をいう。
  13. 主体 情报システムにアクセスする者又は他の情报システムにアクセスするサーバ装置、端末等をいう。主体は、主として、人である场合を想定しているが、复数の情报システムや装置が连动して动作する场合には、情报システムにアクセスする主体として、他の情报システムや装置も含めるものとする。
  14. 主体认証 第16号に定める识别コードを提示した主体が、その识别コードを付与された主体、すなわち正当な主体であるか否かを検証することをいう。识别コードとともに正しい方法で主体认証情报が提示された场合に主体认証ができたものとして、情报システムはそれらを提示した主体を正当な主体として认识する。なお、本基準における「主体认証」については、本学の统合认証システムによる认証のほか、部局情报システムによる认証も含む。
  15. 識別 情報システムにアクセスする主体を、当該情報システムにおいて特定することをいう。
  16. 识别コード 主体を识别するために、情报システムが认识するコード(符号)をいう。代表的な识别コードとして、ユーザ滨顿が挙げられる。
  17. 主体认証情报 主体认証を行うために、主体が情报システムに提示する情报をいう。代表的な主体认証情报として、パスワードがある。
  18. アカウント 主体认証を行う必要があると认めた情报システムにおいて、主体に付与された正当な権限をいう。
  19. CSIRT 規程第7条第1項の規定に基づいて置く京都大学情报セキュリティインシデント対応チームをいう。
  20. その他の用语の定义は、别表に定めるほか、规程の定めるところによる。

(适用范囲)
第3条 この基準は、本学における情報資産を運用?管理する教職員等及び利用者等に適用する。

2 法律及びこれに基づく命令の规定により、情报资产の运用?管理に関する事项について特别の定めが设けられている场合にあっては、当该事项については、当该法律及びこれに基づく命令の定めるところによる。

(管理运営组织)
第4条 最高情报セキュリティ責任者は、全学の情報基盤として供される本学情報システムのうち、情报セキュリティが侵害された場合の影響が特に大きいと評価される情報システム(以下「全学情報システム」という。)を指定する。

2 全学情报システムの运用?管理を行う组织(以下「管理运営组织」という。)を置き、情报环境机构をもって充てる。

3 管理運営組織は、前項に定めるほか、情报セキュリティ実施責任者の指示により、以下の各号に定める事務を行う。

  1. 全学情报セキュリティ委員会の運営に関する事務
  2. 本学情報システムの運用と利用における情报セキュリティポリシーの実施状況の取りまとめ
  3. 讲习计画、リスク管理及び非常时行动计画等の実施状况の取りまとめ
  4. 本学の情報システムの情报セキュリティに関する連絡と通報
  5. 全学情报システムと部局情报システムとの接続等の调整及び対外接続に関する取りまとめ
  6. この基準で定める事项の遵守に资する文书等の整备

(组织体制)
第5条 情报セキュリティ実施責任者は、全学情報システムの情报セキュリティに関する連絡と通報において全学情報システムを代表する。

2 全学情報システムの情报セキュリティ対策は、基本方針及び規程に従い、情报セキュリティ実施責任者の下、管理運営組織の部局情报セキュリティ委員会が執り行うものとする。

3 部局情報システムの情报セキュリティ対策は、基本方針並びに規程及び部局の運用方針に従い、当該情報システムを管理する部局の部局情报セキュリティ責任者の下、部局情报セキュリティ委員会が執り行うものとする。

4 情报セキュリティに関する全学及び部局間の技術的な連絡調整は、全学情报セキュリティ技術連絡会が執り行うものとする。

5 情报セキュリティインシデントに関する全学及び部局間の連絡調整及び被害拡大防止を図るための応急措置の指示又は勧告は、情報部情報基盤課セキュリティ対策掛が執り行うものとする。

6 情报ネットワークに関わる危机管理に関する事项は、情报ネットワーク危机管理委员会が执り行うものとする。

7 情报ネットワークにおける人権侵害、着作権侵害等に该当し、又は该当するおそれのある情报の発信防止等に関する事项は、情报ネットワーク伦理委员会が执り行うものとする。

(连络体制)
第6条 情报セキュリティ実施責任者は、情报セキュリティに関して、以下の各号に定める連絡体制を整備する。

  1. 全部局の部局情报セキュリティ責任者に対する連絡網
  2. 全部局の部局情报セキュリティ技術責任者に対する連絡網
  3. その他全学の情报セキュリティ対策実施に必要な連絡網

2 部局情报セキュリティ技術責任者は、当該部局の情報システム技術担当者に対する連絡網を整備する。

(禁止事项)
第7条 部局情报セキュリティ技術責任者及び部局情報システム技術担当者は、次に掲げる事項を行ってはならない。また、他の者に行わせてはならない。

  1. 情报资产の目的外利用
  2. 守秘义务に违反する情报の开示
  3. 部局情报セキュリティ責任者の許可なく情報ネットワーク上の通信を監視し、又は情報ネットワーク機器、サーバ装置及び端末の利用記録を採取する行為
  4. 部局情报セキュリティ責任者の要請に基づかずにセキュリティ上の脆弱性を検知する行為
  5. 法令又は本学规程に违反する情报の発信
  6. 管理者権限を滥用する行為
  7. 上记の行為を助长する行為

(学外通信回线との接続)
第8条 情报セキュリティ実施責任者は、最高情报セキュリティ責任者の承認を得た上で、学内通信回線を学外通信回線と接続するものとする。また、利用者等による学内通信回線と学外通信回線との接続を禁止するものとする。

2 情报セキュリティ実施責任者は、学内通信回線を学外通信回線と接続することにより情報システムのセキュリティが確保できないと判断した場合には、他の情報システムと共有している学内通信回線又は学外通信回線から独立した通信回線として学内通信回線を構築するものとする。

3 情报セキュリティ実施責任者は、学内通信回線と学外通信回線の接続において情報システムのセキュリティの確保が困難な事由が発生した場合には、他の情報システムと共有している学内通信回線又は学外通信回線から独立した通信回線に構成を変更するものとする。

4 情报セキュリティ実施責任者は、定期的に、及び通信回線の変更に際しアクセス制御の設定の見直しを行うものとする。

5 情报セキュリティ実施責任者は、定期的に、学外通信回線から通信することが可能な学内通信回線及び情報ネットワーク機器のセキュリティホールを検査するものとする。

6 最高情报セキュリティ責任者は、学内通信回線と学外通信回線との間で送受信される通信内容を監視するものとする。

(上流ネットワークとの関係)
第9条 情报セキュリティ実施責任者は、本学情報ネットワークを構築し運用するに当たっては、本学情報ネットワークと接続される上流ネットワークとの整合性に留意するものとする。

第2章 情報システムのライフサイクル

第1節 ライフサイクルの概要

(情报システムの计画?设计)
第10条 部局情报セキュリティ技術責任者は、情報システムについて、ライフサイクル全般にわたってセキュリティ維持が可能な体制の確保を、部局情报セキュリティ責任者に求めるものとする。

2 部局情报セキュリティ技術責任者は、情報システムのセキュリティ要件を決定するものとする。

3 部局情报セキュリティ技術責任者は、情報システムのセキュリティ要件を満たすために機器等の購入(購入に準ずるリースを含む。)及びソフトウェア開発において必要な対策、情报セキュリティについての機能の設定、情报セキュリティについての脅威への対策並びに情報システムの構成要素についての対策について定めるものとする。

4 部局情报セキュリティ技術責任者は、構築した情報システムを運用段階へ導入するに当たって、情报セキュリティの観点から実施する導入のための手順及び環境を定めるものとする。

(情报システムの构筑?运用?监视)
第11条 部局情报セキュリティ技術責任者は、情報システムの構築、運用及び監視に際しては、セキュリティ要件に基づき定めた情报セキュリティ対策を行うものとする。

(情报システムの见直し)
第12条 部局情报セキュリティ技術責任者は、情報システムの情报セキュリティ対策について見直しを行う必要性の有無を適時検討し、必要があると認めた場合にはその見直しを行い、必要な措置を講ずるものとする。

(情报システムの移行?廃弃)
第13条 部局情报セキュリティ技術責任者は、情報システムの移行及び廃棄を行う場合は、情報の消去及び保存並びに情報システムの廃棄及び再利用について必要性を検討し、それぞれについて適切な措置を採るものとする。

(情报システムの运用継続计画)
第14条 部局情报セキュリティ責任者は、部局において非常時優先業務を支える情報システムの運用継続計画を整備するに当たり、非常時における情报セキュリティに係る対策事項を検討するものとする。

2 部局情报セキュリティ責任者は、情報システムの運用継続計画の教育訓練や維持改善を行う際に、非常時における情报セキュリティ対策が運用可能であるかを確認するものとする。

第2节 构筑时

(调达及び构筑)
第15条 部局情报セキュリティ技術責任者は、機器等の選定時において、以下の各号に留意ものとする。

  1. 开発工程において信頼できる品质保証体制が确立されていること。
  2. 设置时や保守时のサポート体制が确立されていること。
  3. 利用マニュアル?ガイダンスが适切に整备されていること。
  4. 脆弱性诊断等のテストの実施が确认できること。
  5. 滨厂翱等の国际标準に基づく第叁者认証が活用可能な场合は活用すること。
  6. 当该机器等に求められるセキュリティ要件を満足するセキュリティ机能をもつこと。
  7. 情报セキュリティ維持のためセキュリティ修正を適用する必要がある機器等の場合には、以下の条件を満たすこと。
    (ア)纳品时に必要なセキュリティ修正が适用されていること。
    (イ)纳品后に必要なセキュリティ修正が継続的に提供され、适用できること。
  8. 以下の保守?点検等のうち、部局情报セキュリティ技術責任者が情报セキュリティの確保に必要と認めるものが適用可能であること。
    (ア)ハードウェアの保守?点検等
    (イ)ソフトウェア及びファームウェアの修正及び更新の提供
    (ウ)部局情报セキュリティ技術責任者が必要と認めた機器等の脆弱性診断その他の保守?点検等

第16条 部局情报セキュリティ技術責任者は、機器等の納入時又は情報システムの受入れ時の確認及び検査において、仕様書等に定められた検査手続きに従い、情报セキュリティ対策に係る要件が満たされていることを確認するものとする。

(セキュリティホール対策)
第17条 部局情报セキュリティ技術責任者は、管理するサーバ装置、端末及び情報ネットワーク機器について、セキュリティホール対策に必要となる機器情報を収集し、書面として整備するものとする。

2 部局情报セキュリティ技術責任者は、管理するサーバ装置、端末及び情報ネットワーク機器の構築又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開されたセキュリティホールの対策を実施するものとする。

(不正プログラム対策)
第18条 部局情报セキュリティ責任者は、不正プログラム感染の回避を目的とした利用者等に対する留意事項を含む日常的実施事項を定めるものとする。

2 部局情报セキュリティ技術責任者は、不正プログラムからサーバ装置及び端末(当該サーバ装置及び端末で動作可能なアンチウイルスソフトウェア等が存在しない場合を除く。以下同じ。)を保護するため、アンチウイルスソフトウェアを導入する等の対策を実施するものとする。

3 部局情报セキュリティ技術責任者は、想定される不正プログラムの感染経路のすべてにおいてアンチウイルスソフトウェア等により不正プログラム対策を実施するものとする。

(サービス不能攻撃対策)
第19条 部局情报セキュリティ技術責任者は、要安定情報を取り扱う情報システムについては、サービス提供に必要なサーバ装置、端末及び情報ネットワーク機器が装備している機能をサービス不能攻撃対策に活用するものとする。

(标的型攻撃対策)
第20条 部局情报セキュリティ技術責任者は、情報システムにおいて、標的型攻撃による組織内部への侵入を低減する対策(入口対策)を講ずるものとする。

2 部局情报セキュリティ技術責任者は、情報システムにおいて、内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、及び外部との不正通信を検知して対処する対策(内部対策)を講ずるものとする。

(安全区域)
第21条 部局情报セキュリティ技術責任者は、情報システムによるリスク(物理的損壊又は情報の漏えい若しくは改ざん等のリスクを含む。)を検討し、学内に設置する安全区域については、施設及び環境面から以下の各号の対策を実施するものとする。

  1. 立ち入りを许可されていない者が容易に立ち入らないように、壁、施锭可能な扉、パーティション等で囲むことで、区域外と明确に区分すること。ただし、窓口のある教室、研究室、事务室等の明确に区分できない区域については、不特定の者が出入りできる时间帯は教职员等が窓口を常に目视できるような措置を讲ずること。
  2. 立入りを许可されていない者が容易に立ち入らないように、教职员等が全员不在时には施锭すること。

2 部局情报セキュリティ技術責任者は、情報システムによるリスクを検討し、学外のサーバルーム及びデータセンターを安全区域として利用する場合は、前項の各号の対策を実施するよう確認するものとする。

(规定及び文书の整备)
第22条 部局情报セキュリティ技術責任者は、サーバ装置及び端末のセキュリティ維持に関する規定を整備するものとする。

2 部局情报セキュリティ技術責任者は、通信回線を介して提供するサービスのセキュリティ維持に関する規定を整備するものとする。

3 部局情报セキュリティ技術責任者は、すべてのサーバ装置及び端末に対して、サーバ装置及び端末を管理する利用者等を特定するための文書を整備するものとする。

4 部局情报セキュリティ技術責任者は、サーバ装置及び端末関連文書を整備するものとする。

5 部局情报セキュリティ技術責任者は、通信回線及び情報ネットワーク機器関連文書を整備するものとする。

(主体认証と権限管理)
第23条 部局情报セキュリティ技術責任者は、利用者等がサーバ装置及び端末にログインする場合には主体認証を行うようにサーバ装置及び端末を構成するものとする。

2 部局情报セキュリティ技術責任者は、ログオンした利用者等の識別コードに対して、権限管理を行うものとする。

(端末の対策)
第24条 部局情报セキュリティ技術責任者は、端末で利用を禁止するソフトウェアを定めるものとする。

2 部局情报セキュリティ技術責任者は、要保護情報を取り扱うモバイル端末については、学外で使われる際にも、学内で利用される場合と同等の保護手段が有効に機能するように構成するものとする。

(サーバ装置の対策)
第25条 部局情报セキュリティ技術責任者は、通信回線を経由してサーバ装置の保守作業を行う場合は、送受信される情報を暗号化するものとする。

2 部局情报セキュリティ技術責任者は、サービスの提供及びサーバ装置の運用管理に利用するソフトウェアを定めるものとする。

3 部局情报セキュリティ技術責任者は、利用が定められたソフトウェアに該当しないサーバアプリケーションが稼動している場合には、当該サーバアプリケーションを停止するものとする。また、利用が定められたソフトウェアに該当するサーバアプリケーションであっても、利用しない機能を無効化して稼動するものとする。

(复合机の対策)
第26条 部局情报セキュリティ技術責任者は、複合機を調達する際には、当該複合機が備える機能、設置環境並びに取り扱う情報の格付け及び取扱制限に応じ、適切なセキュリティ要件を策定するものとする。
2 部局情报セキュリティ技術責任者は、複合機が備える機能について適切な設定等を行うことにより、運用中の複合機に対する情报セキュリティインシデントへの対策を講ずるものとする。

(特定用途机器)
第27条 部局情报セキュリティ技術責任者は、特定用途機器について、取り扱う情報、利用方法及び通信回線への接続形態等により脅威が存在する場合には、当該機器の特性に応じた対策を講ずるものとする。

(接続の管理)
第28条 部局情报セキュリティ責任者は、情報ネットワークに関する接続の申請を受けた場合は、別途定める情報ネットワーク接続手順に従い、申請者に対して接続の諾否を通知し必要な指示を行うものとする。

(通信回线の対策)
第29条 部局情报セキュリティ技術責任者は、通信回線構築によるリスク(物理的損壊又は情報の漏えい若しくは改ざん等のリスクを含む。)を検討し、通信回線を構築するものとする。

2 部局情报セキュリティ技術責任者は、要安定情報を取り扱う情報システムについては、通信回線及び情報ネットワーク機器に求められる通信性能を発揮できる能力を、将来の見通しを含め検討し、確保するものとする。

3 部局情报セキュリティ技術責任者は、通信回線に接続されるサーバ装置及び端末をセキュリティレベル、管理部署等によりグループ化し、それぞれ論理的又は物理的な通信回線上で分離するものとする。

4 部局情报セキュリティ技術責任者は、グループ化されたサーバ装置及び端末間での通信要件を検討し、当該通信要件に従って情報ネットワーク機器を利用しアクセス制御及び経路制御を行うものとする。

5 部局情报セキュリティ技術責任者は、要機密情報を取り扱う情報システムについては、通信回線を用いて送受信される要機密情報の暗号化を行う必要性の有無を検討し、必要があると認めたときは、情報を暗号化するものとする。

6 部局情报セキュリティ技術責任者は、要保護情報を取り扱う情報システムについては、通信回線に利用する物理的な回線のセキュリティを検討し、選択するものとする。

7 部局情报セキュリティ技術責任者は、遠隔地から情報ネットワーク機器に対して、保守又は診断のために利用するサービスによる接続についてセキュリティを確保するものとする。

8 部局情报セキュリティ技術責任者は、電気通信事業者の専用線サービスを利用する場合には、セキュリティレベル及びサービスレベルを含む事項に関して契約時に取り決めておくものとする。

9 部局情报セキュリティ技術責任者は、情報ネットワーク機器上で証跡管理を行う必要性を検討し、必要と認めた場合には実施するものとする。

(情报コンセント)
第30条 部局情报セキュリティ技術責任者は、情報コンセントを設置する場合には、以下に掲げる事項を含む措置の必要性の有無を検討し、必要と認めたときは措置を講ずるものとする。

  1. 通信を行うサーバ装置及び端末の识别又は利用者等の主体认証
  2. 主体认証记録の取得及び管理
  3. 情报コンセント経由でアクセスすることが可能な通信回线の范囲の制限
  4. 情报コンセント接続中に他の通信回线との接続の禁止
  5. 情报コンセント接続方法の机密性の确保&苍产蝉辫;
  6. 情报コンセントに接続するサーバ装置及び端末の管理

(痴笔狈、无线尝础狈、リモートアクセス)
第31条 部局情报セキュリティ技術責任者は、VPN環境を構築する場合には、以下に掲げる事項を含む措置の必要性の有無を検討し、必要と認めたときは措置を講ずるものとする。

  1. 利用开始及び利用停止时の申请手続の整备
  2. 通信内容の暗号化
  3. 通信を行うサーバ装置及び端末の识别又は利用者等の主体认証
  4. 主体认証记録の取得及び管理
  5. 痴笔狈経由でアクセスすることが可能な通信回线の范囲の制限
  6. 痴笔狈接続方法の机密性の确保
  7. 痴笔狈を利用するサーバ装置及び端末の管理

2 部局情报セキュリティ技術責任者は、無線LAN環境を構築する場合には、以下に掲げる事項を含む措置の必要性の有無を検討し、必要と認めたときは措置を講ずるものとする。

  1. 利用开始及び利用停止时の申请手続の整备
  2. 通信内容の暗号化
  3. 通信を行うサーバ装置及び端末の识别又は利用者等の主体认証
  4. 主体认証记録の取得及び管理
  5. 无线尝础狈経由でアクセスすることが可能な通信回线の范囲の制限
  6. 无线尝础狈に接続中に他の通信回线との接続の禁止
  7. 无线尝础狈接続方法の机密性の确保
  8. 无线尝础狈に接続するサーバ装置及び端末の管理

3 部局情报セキュリティ技術責任者は、公衆電話網を経由したリモートアクセス環境を構築する場合には、以下に掲げる事項を含む措置の必要性の有無を検討し、必要と認めたときは措置を講ずるものとする。

  1. 利用开始及び利用停止时の申请手続の整备
  2. 通信を行う者又は発信者番号による识别及び主体认証
  3. 主体认証记録の取得及び管理
  4. リモートアクセス経由でアクセスすることが可能な通信回线の范囲の制限
  5. リモートアクセス中に他の通信回线との接続の禁止
  6. リモートアクセス方法の机密性の确保
  7. リモートアクセスする电子计算机の管理

(电子メールサーバの対策)
第32条 部局情报セキュリティ技術責任者は、電子メールサーバが電子メールの不正な中継を行わないよう、対策を講ずるものとする。

2 部局情报セキュリティ技術責任者は、利用者等が電子メールを送受信する場合には主体認証を行うように電子メールサーバを構築するものとする。

3 部局情报セキュリティ技術責任者は、電子メールのなりすましの防止策を講ずるものとする。

(ウェブサーバの対策)
第33条 部局情报セキュリティ技術責任者は、ウェブサーバの管理や設定において、以下に掲げる事項を含む措置の必要性の有無を検討し、必要と認めた時は措置を講ずるものとする。

  1. ウェブサーバが备える机能のうち、不要な机能の停止又は制限
  2. ウェブコンテンツの编集作业を担当する主体の限定
  3. 公开してはならない又は无意味なウェブコンテンツが公开されないような管理
  4. ウェブコンテンツの编集作业に用いる端末を限定し、识别コード及び主体认証情报の适切な管理
  5. サービスを利用する者の个人に関する情报を通信する等、通信时の盗聴等による情报の漏えいを防止する必要がある场合、暗号化の机能及び电子証明书による认証の机能の设定
  6. ウェブサーバに保存する情报の特定及びサービスの提供に必要のない情报がウェブサーバに保存されないことの确认

第3节 运用时

第1款 部局情报セキュリティ技術責任者の役割

(セキュリティホール対策)
第34条 部局情报セキュリティ技術責任者は、情報環境機構等から入手したセキュリティホールに関連する情報を元に、自部局内のサーバ装置、端末及び情報ネットワーク機器に対し、必要に応じて、速やかにその対策を実施するものとする。

2 前項に関し、部局情报セキュリティ技術責任者は、必要に応じて他の部局情报セキュリティ技術責任者と情報を共有するものとする。

(不正プログラム対策)
第35条 部局情报セキュリティ技術責任者は、不正プログラム対策の状況を適宜把握し、その見直しを行うものとする。

(脆弱性诊断)
第36条 部局情报セキュリティ技術責任者は、情報システムに関する脆弱性の診断を年1回以上実施し、セキュリティの維持に努めるものとする。

(规定及び文书の见直し、変更)
第37条 部局情报セキュリティ技術責任者は、適宜、サーバ装置及び端末のセキュリティ維持に関する規定の見直しを行うものとする。また、当該規定を変更した場合には、当該変更の記録を保存するものとする。

2 部局情报セキュリティ技術責任者は、適宜、通信回線を介して提供するサービスのセキュリティ維持に関する規定の見直しを行うものとする。また、当該規定を変更した場合には、当該変更の記録を保存するものとする。

3 部局情报セキュリティ技術責任者は、サーバ装置及び端末を管理する利用者等を変更した場合には、当該変更の内容を、サーバ装置及び端末を管理する利用者等を特定するための文書へ反映するものとする。また、当該変更の記録を保存するものとする。

(资源の管理)
第38条 部局情报セキュリティ技術責任者は、サーバ装置、端末及び情報ネットワーク機器のCPU資源、ディスク資源及び情報ネットワーク帯域資源等の利用を総合的かつ計画的に推進するため、これらの資源を利用者等の利用形態に応じて適切に分配し管理するものとする。

(ネットワーク情报の管理)
第39条 部局情报セキュリティ技術責任者は、部局情報ネットワークで使用するドメイン名やIPアドレス等のネットワーク情報について、情報環境機構から割当てを受け、利用者等からの利用形態に応じて適切に分配し管理するものとする。

(サーバ装置の対策)
第40条 部局情报セキュリティ技術責任者は、定期的にサーバ装置の構成の変更やソフトウェアの状態を確認するものとする。また、当該変更によって生ずるサーバ装置のセキュリティへの影響を特定し、対応するものとする。

2 部局情报セキュリティ技術責任者は、サーバ装置上で証跡管理を行う必要性を検討し、必要と認めた場合には実施するものとする。

(端末の対策)
第41条 部局情报セキュリティ技術責任者は、部局内の端末で利用されているソフトウェアの状態を定期的に調査し、不適切な状態にある端末を検出等した場合には、改善を図るものとする。

(通信回线の対策)
第42条 部局情报セキュリティ技術責任者は、定期的に通信回線の構成、情報ネットワーク機器の設定、アクセス制御の設定又は識別コードを含む事項の変更を確認するものとする。また、当該変更によって生ずる通信回線のセキュリティへの影響を特定し、対応するものとする。

2 部局情报セキュリティ技術責任者は、情報システムのセキュリティの確保が困難な事由が発生した場合には、他の情報システムと共有している通信回線から独立した閉鎖的な通信回線に構成を変更するものとする。

第2款 部局情报システム技术担当者の役割

(セキュリティホール対策)
第43条 部局情報システム技術担当者は、サーバ装置、端末及び情報ネットワーク機器の構成に変更があった場合には、第17条第1項に基づき整備した書面を更新するものとする。

2 部局情报システム技术担当者は、管理対象となるサーバ装置、端末及び情报ネットワーク机器上で利用しているソフトウェアに関连する公开されたセキュリティホールに関连する情报を适宜入手するものとする。

3 部局情报システム技术担当者は、セキュリティホール対策计画に基づきセキュリティホール対策を讲ずるものとする。

4 部局情报システム技术担当者は、セキュリティホール対策の実施について、実施日、実施内容及び実施者を含む事项を记録するものとする。

5 部局情报システム技术担当者は、信頼できる方法で対策用ファイルを入手するものとする。また、当该対策用ファイルの完全性検証方法が用意されている场合は、検証を行うものとする。

6 部局情报システム技术担当者は、定期的にセキュリティホール対策及びソフトウェア构成の状况を确认、分析し、不适切な状态にあるサーバ装置、端末及び情报ネットワーク机器が确认された场合の対処を行うものとする。

(不正プログラム対策)
第44条 部局情報システム技術担当者は、不正プログラムに関する情報の収集に努め、当該情報について対処の要否を決定し、特段の対処が必要な場合には、利用者等にその対処の実施に関する指示を行うものとする。

(规定及び文书の见直し、変更)
第45条 部局情報システム技術担当者は、サーバ装置、端末の構成を変更した場合には、当該変更の内容をサーバ装置、端末及び端末関連文書へ反映するものとする。また、当該変更の記録を保存するものとする。

2 部局情报システム技术担当者は、通信回线の构成、情报ネットワーク机器の设定、アクセス制御の设定又は识别コードを含む事项を変更した场合には、当该変更の内容を通信回线及び情报ネットワーク机器関连文书へ反映するものとする。また、当该変更の记録を保存するものとする。

(运用管理)
第46条 部局情報システム技術担当者は、サーバ装置、端末のセキュリティ維持に関する規定に基づいて、サーバ装置、端末の運用管理を行うものとする。

2 部局情报システム技术担当者は、通信回线を介して提供するサービスのセキュリティ维持に関する规定に基づいて、日常的及び定期的に运用管理を実施するものとする。

(サーバ装置の対策)
第47条 部局情報システム技術担当者は、要安定情報を取り扱うサーバ装置に保存されている情報について、定期的にバックアップを取得するものとする。また、取得した情報を記録した媒体は、安全に管理するものとする。

2 部局情报システム技术担当者は、サーバ装置の运用管理について、作业日、作业を行ったサーバ装置、作业内容及び作业者を含む事项を记録するものとする。

3 部局情报システム技术担当者は、情报システムにおいて基準となる时刻に、サーバ装置の时刻を同期するものとする。

(通信回线の対策)
第48条 部局情報システム技術担当者は、通信回線を利用するサーバ装置及び端末の識別コード、サーバ装置及び端末の利用者等と当該利用者等の識別コードの対応及び通信回線の利用部局を含む事項の管理を行うものとする。

2 部局情報システム技術担当者は、部局情报セキュリティ技術責任者の許可を受けていないサーバ装置、端末及び情報ネットワーク機器を通信回線に接続させないものとする。

3 部局情报システム技术担当者は、要安定情报を取り扱う情报システムについては、日常的に、通信回线の利用状况及び状态を确认、分析し、通信回线の性能低下及び异常を推测又は検知するものとする。

4 部局情报システム技术担当者は、情报システムにおいて基準となる时刻に、情报ネットワーク机器の时刻を同期するものとする。

第4节 运用终了时

(机器等の対策)
第49条 部局情报セキュリティ技術責任者は、機器等の運用を終了する場合に、データ消去ソフトウェア若しくはデータ消去装置の利用又は物理的な破壊若しくは磁気的な破壊等の方法を用いて、すべての情報を復元が困難な状態にするものとする。

第5节 情报システムの利用

(基本的対策)
第50条 利用者等は、本学の教育、研究その他の業務以外の目的で情報システムを利用しないものとする。

2 利用者等は、部局情报セキュリティ技術責任者が接続許可を与えた通信回線以外に学内の情報システムを接続しないものとする。

3 利用者等は、学内通信回線に、部局情报セキュリティ技術責任者の接続許可を受けていない情報システムを接続しないものとする。

4 利用者等は、情報システムで利用を禁止するソフトウェアを利用しないものとする。また、情報システムで利用を認めるソフトウェア以外のソフトウェアを職務上の必要により利用する場合は、部局情报セキュリティ技術責任者の承認を得るものとする。

5 利用者等は、情报システムの设置场所から离れる场合等、第叁者による不正操作のおそれがある场合は、情报システムを不正操作から保护するための措置を讲ずるものとする。

6 利用者等は、要保护情报を取り扱う端末にて情报処理を行う场合は、当该情报の取扱制限に従い适切な措置を讲ずるものとする。

7 利用者等は、安全区域に设置された要保护情报を取り扱う情报システムを、安全区域外に持ち出す场合には、当该情报の取扱制限に従い适切な措置を讲ずるものとする。

8 利用者等は、端末の运用を终了する场合には、端末に保存されているすべての要保护情报を、第49条に準じて、復元が困难な状态にするものとする。

(不正プログラム対策)
第51条 利用者等は、不正プログラム感染防止に関する措置に努めるものとする。

2 利用者等は、情报システムが不正プログラムに感染したおそれがあることを认识した场合は、感染した情报システムの通信回线への接続を速やかに切断するなど、必要な措置を讲ずるものとする。

(电子メール?ウェブの利用时の対策)
第52条 利用者等は、要機密情報を含む電子メールを送受信する場合には、本学が運営し、又は外部委託した電子メールサーバにより提供される電子メールサービスを利用するものとする。

2 利用者等は、学外の者へ电子メールにより情报を送信する场合は、当该电子メールのドメイン名に本学ドメイン名を使用するものとする。ただし、学外の者にとって、当该利用者等が既知の者である场合は除く。

3 利用者等は、不审な电子メールを受信した场合には、あらかじめ定められた手顺に従い、対処するものとする。

4 利用者等は、ウェブクライアントの設定を見直す必要がある場合は、情报セキュリティに影響を及ぼすおそれのある設定変更を行わないものとする。

5 利用者等は、ウェブクライアントが动作するサーバ装置又は端末にソフトウェアをダウンロードする场合には、电子署名等により当该ソフトウェアの配布元の正当性を确认するものとする。

6 利用者等は、閲覧しているウェブサイトに表示されるフォームに要机密情报を入力して送信する场合には、以下の事项を确认するものとする。

  1. 送信内容が暗号化されること。
  2. 当该ウェブサイトが送信先として想定している组织のものであること。

(外部电磁的记録媒体)
第53条 利用者等は、外部電磁的記録媒体を用いた情報の取扱に関する以下の事項を遵守するものとする。

  1. 情报の格付け及び取扱制限で指定されている场合、本学支给の外部电磁的记録媒体を使用すること。
  2. 主体认証机能や暗号化机能を备えるセキュアな外部电磁的记録媒体が存在する场合、これに备わる机能を利用すること。
  3. 要机密情报は保存される必要がなくなった时点で速やかに削除すること。
  4. 外部电磁的记録媒体を使用する际には、事前に不正プログラム対策ソフトウェアによる検疫及び駆除を行うこと。

(识别コード及び主体认証情报の取扱い)
第54条 利用者等は、主体認証の際に自己に付与された識別コード以外の識別コードを用いて情報システムを利用しないものとする。

2 利用者等は、自己に付与された识别コードを适切に管理するものとする。

3 利用者等は、管理者権限を持つ识别コードを付与された场合には、管理者としての业务遂行时に限定して、当该识别コードを利用するものとする。

4 利用者等は、自己の主体认証情报の管理を彻底するものとする。

第3章 外部委託

(外部委託の范囲)
第55条 部局情报セキュリティ技術責任者は、取り扱う情報の格付け及び取扱制限で許可されている場合、以下の各号の業務において、外部委託を実施することができるものとする。

  1. 情报システムの构筑及び开発
  2. 情报システムの运用、保守及び点検
  3. 情报の加工及び処理
  4. 情报の保存及び运搬

(外部委託に係る契约)
第56条 部局情报セキュリティ技術責任者は、外部委託を実施する際には、以下の基準に従って委託先を選定するものとする。

  1. 本対策基準の各项目を遵守し得る者であること。
  2. 本対策基準と同等の情报セキュリティ管理体制を整備していること。
  3. 本対策基準と同等の情报セキュリティ対策の教育を委託先の事業従事者に対して実施していること。

2 部局情报セキュリティ技術責任者は、以下の内容を含む情报セキュリティ対策を実施することを委託先の選定条件とし、仕様内容にも含めるものとする。

  1. 委託先に提供する情报の委託先における目的外利用の禁止
  2. 委託先における情报セキュリティ対策の実施内容及び管理体制の整備
  3. 委託事业の実施に当たり、委託先公司又はその従业员、再委託先、若しくはその他の者による意図せざる変更が加えられないための管理体制の整备
  4. 委託先の資本関係?役員等の情報、委託事業の実施場所、委託事業従事者の所属?専門性(情报セキュリティに係る資格?研修実績等)?実績及び国籍に関する情報提供
  5. 情报セキュリティインシデントへの対処対応
  6. 情报セキュリティ対策その他の契約の履行状況の確認方法
  7. 情报セキュリティ対策の履行が不十分な場合の対処方法

3 部局情报セキュリティ技術責任者は、委託する業務において取り扱う情報の格付け等を勘案し、必要に応じて以下の内容を仕様に含めること。

  1. 情报セキュリティ监査の受入れ
  2. サービスレベルの保証
  3. 要保护情报を取り扱う场合は、情报システムを设置する区域が、第21条第1项各号の対策と同等以上の対策を実施。

4 部局情报セキュリティ技術責任者は、委託先がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情报セキュリティが十分に確保されるよう、前2項の措置の実施を委託先に担保させるものとする。

(外部委託における対策の実施)
第57条 部局情报セキュリティ技術責任者は、契約に基づき、委託先における情报セキュリティ対策の履行状況を確認するものとする。

2 部局情报セキュリティ技術責任者は、委託した業務において情报セキュリティインシデントの発生若しくは情報の目的外利用等を認知した場合又はその旨の報告を教職員等から受けた場合は、当該サービスの利用を中止するなど、必要な措置を講じ、委託先に契約に基づく必要な措置を講じさせるものとする。

3 部局情报セキュリティ技術責任者は、委託した業務の終了時に、委託先において取り扱われた情報が確実に返却又は抹消されたことを確認するものとする。

(外部委託における情报の取扱い)
第58条 教職員等は、委託先への情報の提供等において、以下の事項を遵守するものとする。

  1. 委託先に要保护情报を提供する场合、提供する情报を必要最小限とし、第68条に準じた安全な受渡し方法により提供すること。
  2. 提供した要保护情报が委託先において不要になった场合は、これを确実に返却又は消去させること。
  3. 委託事業において、情报セキュリティインシデントの発生又は情報の目的外利用を認知した場合は、速やかに部局情报セキュリティ技術責任者に報告すること。

(约款による外部サービスの利用)
第59条 教職員等は、取り扱う情報の格付け及び取扱制限で許可されている場合、利用するサービスの約款、その他の提供条件等から、利用に当たってのリスクが許容できることを確認し、適切な措置を講じた上で、約款による外部サービスを利用できるものとする。ただし、要保護情報を取り扱う場合は、あらかじめ部局情报セキュリティ責任者に届け出るものとする。

2 教職員等は、約款による外部サービスを利用する場合は、サービスの利用ごとに責任者を定めるものとする。ただし、要保護情報を取り扱う場合は、部局情报セキュリティ責任者が責任者を定めるものとする。

3 前项の责任者は、以下の各号に注意して运用するものとする。

  1. サービス机能の设定に関する定期的な确认
  2. 情报の灭失、破壊等に备えたバックアップの取得
  3. 利用者への注意唤起

(ソーシャルメディアサービスによる情报発信时の対策)
第60条 部局情报セキュリティ責任者は、部局からの公式な情報発信のためにソーシャルメディアサービスを利用する場合は、利用するソーシャルメディアサービス毎に責任者を定めるものとする。

2 前项の责任者は、利用するアカウントによる情报発信が実际の本学のものであると认识できるようにするためのなりすまし対策として、以下の各号の対策を行うものとする。

  1. 本学からの情报発信であることを明らかにするために、アカウント名やアカウント设定の自由记述栏等を利用し、本学が运用していることを明示すること。
  2. 本学からの情报発信であることを明らかにするために、本学が本学ドメイン名を用いて管理しているウェブサイト内において、利用するソーシャルメディアのサービス名と、そのサービスにおけるアカウント名又は当该アカウントページへのハイパーリンクを明记するページを设けること。
  3. 运用しているソーシャルメディアのアカウント设定の自由记述栏において、当该アカウントの运用を行っている旨の表示をしている本学ウェブサイト上のページの鲍搁尝を记载すること。
  4. ソーシャルメディアの提供事业者が、アカウント管理者を确认しそれを表示等する、いわゆる「认証アカウント(公式アカウント)」と呼ばれるアカウントの発行を行っている场合には、可能な限りこれを取得すること。
  5. 鲍搁尝短缩サービスは、利用するソーシャルメディアが自动的に鲍搁尝を短缩する机能を持つ场合等、その使用が避けられない场合を除き、使用しないこと。

3 第1项の责任者は、第叁者が何らかの方法で不正にログインを行い、偽の情报を発信するなどの不正行為を行う、いわゆる「アカウント乗っ取り」を防止するために、ソーシャルメディアのログインパスワードや认証方法について、以下の各号の対策を行うものとする。

  1. パスワードを适切に管理すること。具体的には、ログインパスワードは十分な长さと复雑さを持たせ、パスワードを知る担当者を限定し、パスワードの使い回しをしないこと。
  2. 二段阶认証やワンタイムパスワード等、アカウント认証の强化策が提供されている场合は、可能な限り利用すること。
  3. ソーシャルメディアへのログインに利用する端末を纷失したり盗难に遭ったりした场合は、その端末を悪用されてアカウントを乗っ取られる可能性があるため、当该端末の管理を厳重に行うこと。
  4. ソーシャルメディアへのログインに利用する端末が不正アクセスされると、その端末が不正に远隔操作されたり、端末に保存されたパスワードが窃取されたりする可能性がある。これらを防止するため、少なくとも端末には最新のセキュリティパッチの适用や不正プログラム対策ソフトウェアを导入するなど、适切なセキュリティ対策を実施すること。

4 第1项の责任者は、アカウント乗っ取りを确认した场合には、被害を最小限にするため、ログインパスワードの変更やアカウントの停止を速やかに実施し、自己管理ウェブサイト等で周知を行うとともに、第97条第3项の规定に基づき整备された対応手顺により、适切な対処を行うものとする。

5 部局情报セキュリティ責任者は、なりすましを確認した場合の対処として、本学ウェブサイトに、なりすましアカウントが存在することや当該ソーシャルメディアを利用していないこと等の周知を行い、また、信用できる機関やメディアを通じて注意喚起を行うものとする。

6 教职员等は、要安定情报の提供にソーシャルメディアサービスを用いる场合は、本学が管理するウェブサイトにおいても当该情报をあわせて提供するものとする。

(クラウドサービス利用における対策)
第60条の2 部局情报セキュリティ技術責任者は、クラウドサービスを利用するに当たり、以下の各号の対策を行うものとする。

  1. 取り扱う情报の格付及び取扱制限を踏まえ、情报の取扱いをゆだねることの可否を判断すること。
  2. クラウドサービスで取り扱われる情报に対して国内法以外の法令が适用されるリスクを评価して委託先を选定し、必要に応じて委託事业の実施场所及び契约に定める準拠法?裁判管辖を指定するものとする。
  3. クラウドサービスの中断や终了时に円滑に业务を移行するための対策を検讨し、委託先を选定する际の要件とするものとする。
  4. クラウドサービスの特性を考虑した上で、クラウドサービス部分を含む情报の流通経路全般にわたるセキュリティが适切に确保されるよう、情报の流通経路全般を见渡した形でセキュリティ设计を行った上でセキュリティ要件を定めるものとする。
  5. クラウドサービスに対する情报セキュリティ监査による報告書の内容、各種の認定?認証制度の適用状況から、クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的?客観的に評価し判断すること。

第4章 情報の格付けと取扱い

(情报の作成又は入手)
第61条 教職員等は、情報システムに係る情報を作成し、又は入手する場合は、本学の教育、研究その他の業務の遂行の目的に十分留意するものとする。

(情报の作成又は入手时における格付けの决定と取扱制限の検讨)
第62条 教職員等は、情報の作成時に、「京都大学情報格付け基準」(以下「格付け基準」という。)に従い当該情報の機密性、完全性及び可用性に応じて格付けを行い、あわせて取扱制限の必要性の有無を検討するものとする。

2 教职员等は、学外の者が作成した情报を入手し、管理を开始する时に、格付け基準に従い当该情报の机密性、完全性及び可用性に応じて格付けを行い、あわせて取扱制限の必要性の有无を検讨するものとする。

(格付けと取扱制限の明示)
第63条 教職員等は、情報の格付け及び取扱制限を当該情報の参照が許されている者が認識できる方法を用いて明示し、必要に応じて取扱制限についても明示するものとする。

(格付けと取扱制限の継承)
第64条 教職員等は、情報を作成する際に、既に格付けされた情報を引用する場合には、当該情報の格付け及び取扱制限を継承するものとする。

(格付けと取扱制限の変更)
第65条 教職員等は、情報の格付けを変更する必要性があると思料する場合には、当該情報の作成者又は入手者に相談するものとする。相談された者は、格付けの見直しを行う必要があると認めた場合には、当該情報に対して妥当な格付けを行うものとする。

2 教职员等は、情报の取扱制限を変更する必要性があると思料する场合には、当该情报の作成者又は入手者に相谈するものとする。相谈された者は、取扱制限の见直しを行う必要があると认めた场合には、当该情报に対して新たな取扱制限を决定するものとする。

(格付けに応じた情报の利用)
第66条 教職員等は、情報に明示等された格付け及び取扱制限に従い、情報を適切に取り扱うものとする。

2 教职员等は、外部电磁的记録媒体を用いて情报を取り扱う际、第53条の规定に従い情报を适切に管理するものとする。

(格付けに応じた情报の保存)
第67条 部局情报セキュリティ技術責任者は、要保護情報について、適切なアクセス制御を行うものとする。

2 部局情报セキュリティ技術責任者は、要保全情報若しくは要安定情報である電磁的記録のバックアップ又は重要な設計書の複写の保管について、災害等への対策の必要性を検討し、必要があると認めたときは、同時被災等しないための適切な措置を講ずるものとする。

3 部局情报セキュリティ技術責任者は、要保護情報を取り扱う情報システムについては、サーバ装置を安全区域に設置するものとする。

(情报の运搬及び送信)
第68条 教職員等は、要保護情報を安全区域外に持ち出し他の場所に運搬する場合又は学外通信回線を使用して送信する場合には、安全確保に留意して運搬方法又は送信方法を決定し、情報の格付け及び取扱制限に応じて、安全確保のための適切な措置を講ずるものとする。

2 教职员等は、要保护情报が记録又は记载された记録媒体を安全区域外に持ち出す场合には、安全确保に留意して运搬方法を决定し、情报の格付け及び取扱制限に応じて、安全确保のための适切な措置を讲ずるものとする。

3 教职员等は、要保护情报である电磁的记録を电子メール等で送信する场合には、安全确保に留意して送信の手段を决定し、情报の格付け及び取扱制限に応じて、安全确保のための适切な措置を讲ずるものとする。

(情报の消去)
第69条 教職員等は、電磁的記録媒体に保存された情報が職務上不要となった場合は、速やかに情報を消去するものとする。

2 教职员等は、电磁的记録媒体を破弃する场合には、当该记録媒体内に情报が残留した状态とならないよう、全ての情报を復元できないように抹消するものとする。

3 教职员等は、要机密情报である书面を廃弃する场合には、復元が困难な状态にするものとする。

(情报のバックアップ)
第70条 教職員等は、情報の格付けに応じて、適切な方法で情報のバックアップを実施するものとする。

2 教职员等は、取得した情报のバックアップについて、格付け及び取扱制限に従って保存场所、保存方法、保存期间等を定め、适切に管理するものとする。

3 教职员等は、保存期间を过ぎた情报のバックアップについては、适切な方法で消去、抹消又は廃弃するものとする。

第5章 主体認証

(主体认証机能の导入)
第71条 部局情报セキュリティ技術責任者は、すべての情報システムについて、主体認証を行う必要性の有無を検討するものとする。この場合、要保護情報を取り扱う情報システムについては、主体認証を行うものとする。

2 部局情报セキュリティ技術責任者は、主体認証を行う必要があると認めた情報システムにおいて、識別及び主体認証を行う機能を設けるものとする。

3 部局情报システム技术担当者は、主体认証を行う必要があると认めた情报システムにおいて、当该主体认証情报が明らかにならないように管理するものとする。

  1. 主体认証情报を保存する场合には、その内容の暗号化を行うものとする。
  2. 主体认証情报を通信する场合には、その内容の暗号化を行うものとする。

4 部局情报セキュリティ技術責任者は、主体認証を行う必要があると認めた情報システムにおいて、利用者等に主体認証情報の定期的な変更を求める場合には、利用者等に対して定期的な変更を促す機能のほか、以下のいずれかの機能を設けるものとする。

  1. 利用者等が定期的に変更しているか否かを确认する机能
  2. 利用者等が定期的に変更しなければ、情报システムの利用を継続させない机能

5 部局情报セキュリティ技術責任者は、主体認証を行う必要があると認めた情報システムにおいて、主体認証情報を他者に使用され又は使用される危険性を認識した場合に、直ちに当該主体認証情報若しくは主体認証情報による主体認証を停止する機能を設けるものとする。

6 部局情报セキュリティ技術責任者は、主体認証を行う必要があると認めた情報システムにおいて、知識による主体認証方式を用いる場合には、以下の機能を設けるものとする。

  1. 利用者等が、自らの主体认証情报を设定する机能
  2. 利用者等が设定した主体认証情报を他者が容易に知ることができないように保持する机能
  3. 主体认証情报を设定する时は、セキュリティ上の强度が指定以上となるように要求する机能

7 部局情报セキュリティ技術責任者は、主体認証を行う必要があると認めた情報システムにおいて、知識、所有、生体情報以外の主体認証方式を用いる場合には、以下の要件について検証した上で、当該主体認証方式に適用することが可能な要件をすべて満たすものとする。また、用いる方式に応じて、以下を含む要件を定めるものとする。

  1. 正当な主体以外の主体を误って主体认証しないものとする。(误认の防止)
  2. 正当な主体が本人の责任ではない理由で主体认証できなくならないものとする。(误否の防止)
  3. 正当な主体が容易に他者に主体认証情报を付与及び贷与ができないものとする。(代理の防止)
  4. 主体认証情报が容易に复製できないものとする。(复製の防止)
  5. 部局情报システム技术担当者の判断により、ログオンを个々に无効化できる手段があるものとする。(无効化の确保)
  6. 主体认証について业务遂行に十分な可用性があるものとする。(可用性の确保)
  7. 新たな主体を追加するために、外部からの情报や装置の供给を必要とする场合には、それらの供给が情报システムの耐用期间の间、十分受けられるものとする。(継続性の确保)
  8. 主体に付与した主体认証情报を使用することが不可能になった际に、正当な主体に対して主体认証情报を安全に再発行できるものとする。(再発行の确保)

8 部局情报セキュリティ責任者は、主体認証を行う必要があると認めた情報システムにおいて所有による主体認証を行うための主体認証情報格納装置を発行する場合、発行及び返還についての手続を定めるものとする。

9 部局情报セキュリティ技術責任者は、生体情報による主体認証方式を用いる場合には、当該生体情報を本人から事前に同意を得た目的以外の目的で使用しないものとする。また、当該生体情報について、本人のプライバシーを侵害しないように留意するものとする。

10 部局情报セキュリティ責任者は、セキュリティ侵害又はその可能性が認められる場合、主体認証情報の変更を求め、又はアカウントを失効させることができる。

第6章 アクセス制御

(アクセス制御机能の导入)
第72条 部局情报セキュリティ技術責任者は、すべての情報システムについて、アクセス制御を行う必要性の有無を検討するものとする。この場合、要保護情報を取り扱う情報システムについては、アクセス制御を行うものとする。

2 部局情报セキュリティ技術責任者は、アクセス制御を行う必要があると認めた情報システムにおいて、アクセス制御を行う機能を設けるものとする。

(适正なアクセス制御)
第73条 部局情报セキュリティ技術責任者は、それぞれの情報システムに応じたアクセス制御の措置を講じるよう、利用者等に指示するものとする。

2 教职员等は、情报システムに装备された机能を用いて、当该情报システムに保存される情报の格付けと取扱制限の指示内容に従って、必要なアクセス制御の设定をするものとする。

(无権限のアクセス対策)
第74条 部局情报セキュリティ技術責任者及び部局情報システム技術担当者は、無権限のアクセス行為を発見した場合は、速やかに部局情报セキュリティ責任者及び情報ネットワーク危機管理委員会に報告するものとする。部局情报セキュリティ責任者は、上記の報告を受けたときは、遅滞なく最高情报セキュリティ責任者にその旨を報告するものとする。

2 最高情报セキュリティ責任者及び部局情报セキュリティ責任者は、前項の報告を受けた場合は、新たな防止対策等必要な措置を講じるものとする。

第7章 アカウント管理

(アカウント管理机能の导入)
第75条 部局情报セキュリティ技術責任者は、すべての情報システムについて、アカウント管理を行う必要性の有無を検討するものとする。この場合、要保護情報を取り扱う情報システムについては、アカウント管理を行うものとする。

2 部局情报セキュリティ技術責任者は、アカウント管理を行う必要があると認めた情報システムにおいて、アカウント管理を行う機能を設けるものとする。

(アカウント管理手続の整备)
第76条 部局情报セキュリティ技術責任者は、アカウント管理を行う必要があると認めた情報システムにおいて、アカウント管理について、以下の事項を含む手続を明確にするものとする。

  1. 主体からの申请に基づいてアカウント管理を行う场合には、その申请者が正当な主体であることを确认するための手続
  2. 主体认証情报の初期配布方法及び変更管理手続
  3. アクセス制御情报の设定方法及び変更管理手続

2 部局情报セキュリティ技術責任者は、アカウント管理を行う必要があると認めた情報システムにおいて、アカウント管理を行う者を定めるものとする。

(共用アカウント)
第77条 部局情报セキュリティ技術責任者は、アカウント管理を行う必要があると認めた情報システムにおいて、共用アカウントの利用許可については、情報システムごとにその必要性を判断するものとする。

2 アカウント管理を行う者は、アカウント管理を行う必要があると認めた情報システムにおいて、アカウントを発行する際に、それが共用アカウントか、共用ではないアカウントかの区別を利用者等に通知するものとする。ただし、共用アカウントは、部局情报セキュリティ技術責任者が、その利用を認めた情報システムでのみ付与することができる。

(アカウントの発行)
第78条 アカウント管理を行う者は、利用者等からのアカウント発行申请を受理したときは、申请者が第95条第3项第3号によるアカウント停止命令又は削除命令期间中である场合を除き、遅滞なくアカウントを発行するものとする。

2 アカウント管理を行う者は、アカウント管理を行う必要があると认めた情报システムにおいて、情报システムを利用する许可を得た主体に対してのみ、アカウントを発行するものとする。

3 アカウント管理を行う者は、アカウントを発行するに当たっては、期限付きの仮パスワードを発行する等の措置を讲じることが望ましい。

4 アカウント管理を行う者は、アカウント管理を行う必要があると认めた情报システムにおいて、管理者権限を持つアカウントを、业务又は业务上の责务に即した场合に限定して付与するものとする。

5 アカウント管理を行う者は、アカウント管理を行う必要があると认めた情报システムにおいて、业务上の责务と必要性を勘案し、必要最小限の范囲に限ってアクセス制御に係る设定をするものとする。

(アカウント発行の报告)
第79条 アカウント管理を行う者は、アカウントを発行したときは、速やかにその旨を部局情报セキュリティ技術責任者に報告するものとする。

2 部局情报セキュリティ責任者は、必要に応じて部局情报セキュリティ技術責任者にアカウント発行の報告を求めることができる。

(アカウントの有効性検証)
第80条 アカウント管理を行う者は、発行済のアカウントについて、次の各号に掲げる項目を定期的に確認するものとする。

  1. 利用资格を失ったもの
  2. 部局情报セキュリティ技術責任者が指定する削除保留期限を過ぎたもの
  3. パスワード手顺に违反したパスワードが设定されているもの
  4. 一定期间以上使用されていないもの

2 アカウント管理を行う者は、人事异动等、アカウントを追加又は削除する时に、不适切なアクセス制御设定の有无を点検するものとする。

(アカウントの削除)
第81条 アカウント管理を行う者は、前条第1項第1号及び第2号に該当するアカウントを発見したとき又は第95条第3項第3号による削除命令を受けたときは、速やかにそのアカウントを削除し、その旨を部局情报セキュリティ技術責任者に報告するものとする。

2 アカウント管理を行う者は、アカウント管理を行う必要があると認めた情報システムにおいて、利用者等が情報システムを利用する必要がなくなった場合には、当該利用者等のアカウントを削除し、その旨を部局情报セキュリティ技術責任者に報告するものとする。

3 部局情报セキュリティ技術責任者は、前2項の報告を受けたときは、速やかに、当該報告に係るアカウント削除の対象となった利用者等に、アカウントを削除したことについて通知するものとする。ただし、電子メール、電話及び郵便等の伝達手段によっても通知ができない場合は、この限りでない。

4 部局情报セキュリティ責任者は、必要に応じて部局情报セキュリティ技術責任者にアカウント削除の報告を求めることができる。

(アカウントの停止)
第82条 アカウント管理を行う者は、第80条第1項第3号及び第4号に該当するアカウントを発見したとき、第95条第3項第3号よる停止命令を受けたとき又は主体認証情報が他者に使用され若しくはその危険が発生したことの報告を受けたときは、速やかに当該アカウントを停止し、その旨を部局情报セキュリティ技術責任者に報告するものとする。

2 部局情报セキュリティ技術責任者は、前項の措置の報告を受けたときは、速やかにその旨を利用者等に通知するものとする。ただし、電子メール、電話及び郵便等の伝達手段によっても通知ができない場合はこの限りでない。

3 部局情报セキュリティ責任者は、必要に応じて部局情报セキュリティ技術責任者にアカウント停止の報告を求めることができる。

(アカウントの復帰)
第83条 アカウントの停止を受けた利用者等がアカウント停止からの復帰を希望するときは、その旨を部局情报セキュリティ技術責任者に申し出るものとする。

2 部局情报セキュリティ技術責任者は、前項の申出を受けたときは、アカウント管理を行う者に当該アカウントの安全性の確認及びアカウント復帰の可否の検討を指示するものとする。

3 アカウント管理を行う者は、前项の指示に従って当该アカウントの安全性の确认及びアカウント復帰の可否の検讨を行い、復帰させる场合は速やかに行うものとする。

(管理者権限を持つアカウントの利用)
第84条 管理者権限を持つアカウントを付与された者は、管理者としての业务遂行时に限定して、当该アカウントを利用するものとする。

第8章 証跡管理

(証跡管理机能の导入)
第85条 部局情报セキュリティ技術責任者は、すべての情報システムについて、証跡管理を行う必要性の有無を検討するものとする。

2 部局情报セキュリティ技術責任者は、証跡を取得する必要があると認めた情報システムには、証跡管理のために証跡を取得する機能を設けるものとする。

3 部局情报セキュリティ技術責任者は、証跡を取得する必要があると認めた情報システムにあっては、事象を証跡として記録するに当たり、事象ごとに必要な情報項目を記録するように情報システムの設定をするものとする。 

4 部局情报セキュリティ技術責任者は、証跡を取得する必要があると認めた情報システムにあっては、証跡が取得できなくなった場合及び取得できなくなるおそれがある場合の対処方針を整備し、必要に応じ、これらの場合に対応するための機能を情報システムに設けるものとする。

5 部局情报セキュリティ技術責任者は、証跡を取得する必要があると認めた情報システムにあっては、取得した証跡に対して不当な消去、改ざん及びアクセスがなされないように、取得した証跡についてアクセス制御を行い、電磁的記録媒体等その他の装置?媒体に記録した証跡については、これを適正に管理するものとする。

(部局情报システム技术担当者による証跡の取得と保存)
第86条 部局情報システム技術担当者は、証跡を取得する必要があると認めた情報システムにあっては、部局情报セキュリティ技術責任者が情報システムに設けた機能を利用して、証跡を記録するものとする。

2 部局情报システム技术担当者は、証跡を取得する必要があると认めた情报システムにあっては、取得した証跡の保存期间を定め、当该保存期间が満了する日まで証跡を保存し、保存期间を延长する必要性がない场合は、速やかにこれを消去するものとする。

3 部局情报システム技术担当者は、証跡を取得する必要があると认めた情报システムにあっては、証跡が取得できない场合又は取得できなくなるおそれがある场合は、前条第4项で定められた対処を行うものとする。

(証跡管理に関する利用者等への周知)
第87条 部局情报セキュリティ責任者又は部局情报セキュリティ技術責任者は、証跡を取得する必要があると認めた情報システムにあっては、部局情報システム技術担当者及び利用者等に対して、証跡の取得、保存、点検及び分析を行う可能性があることをあらかじめ説明するものとする。

(通信の监视)
第88条 規程第13条第1項に規定する範囲は、セキュリティ確保のために必要であり、かつ、通信の内容を不必要に含まないものとして、監視を行わせる最高情报セキュリティ責任者又は部局情报セキュリティ責任者が、具体的に指示した範囲とする。ただし、インシデントに対処するために特に必要と認められる場合、最高情报セキュリティ責任者又は部局情报セキュリティ責任者は、セキュリティ侵害の緊急性、内容及び程度に応じて、対処のために不可欠と認められる情報について、監視を行うよう命ずることができる。

2 前項本文に規定する範囲の監視に係る規程第13条第1項に規定する手続は、当該監視を行わせる者が最高情报セキュリティ責任者の場合には、あらかじめ全学情报セキュリティ委員会の議を経ることを、部局情报セキュリティ責任者の場合には、あらかじめ部局情报セキュリティ委員会の議を経ることをいい、前項ただし書の場合については、当該監視を行わせる者が、規程第13条第1項により指名された者の意見を聴いたうえで、監視又は調査を命じ、報告を受けることをいう。

3 规程第13条第2项に规定する内容は、个人の特定に结びつく情报で、セキュリティ侵害の紧急性、内容及び程度に応じて、対処のために不可欠と认められる情报とし、同项に规定する手続は、监视を行わせる者が重大なセキュリティ侵害としてあらかじめ指示した基準に従い、伝达を行うことをいう。

4 规程第13条第2项に规定する特に定める者は、情报ネットワーク危机管理委员会并びに情报ネットワーク伦理委员会とする。

5 监视によって採取された记録(以下「监视记録」という。)は要保护情报とし、监视を行わせる者を情报の作成者とする。

6 监视を行わせる者は、监视を行う者に対して、监视记録を保存する期间をあらかじめ指示するものとする。监视を行う者は、指示された期间を経过した监视记録を直ちに破弃しなければならない。ただし、监视记録から个人情报に係る部分を削除して、ネットワーク运用?管理のための资料とすることができる。资料は、体系的に整理し、常に活用できるよう保存することが望ましい。

7 监视を行う者及び监视记録の伝达を受けた者は、ネットワーク运用?管理のために必要な限りで、これを閲覧し、かつ、保存することができる。监视记録を不必要に閲覧してはならない。不必要となった监视记録は、直ちに破弃しなければならない。监视记録の内容を、法令に基づく场合等を除き、他の者に伝达してはならない。

(利用记録)
第89条 複数の者が利用する情報機器を管理する部局情報システム技術担当者(以下「情報機器の管理者」という。)は、当該情報機器に係る利用記録(以下「利用記録」という。)をあらかじめ定めた目的の範囲でのみ採取することができる。当該目的との関連で必要性の認められない利用記録を採取することはできない。

2  前項に規定する目的は、法令の遵守、情报セキュリティの確保、課金その他当該情報機器の利用に必要なものに限られる。個人情報の取得を目的とすることはできない。ただし、当該情報機器を管理する部局情报セキュリティ責任者が教育上特に必要と認めた場合は、この限りでない。

3 利用記録は要機密情報、要保全情報とし、当該情報機器の管理者を情報の作成者とする。ただし、部局情报セキュリティ責任者が特に指定した利用記録は、この限りでない。

4 当该情报机器の管理者は、第1项に规定する目的のために必要な限りで、利用记録を閲覧することができる。ただし、他人の个人情报及び通信内容を不必要に閲覧してはならない。

5 当该情报机器の管理者は、第1项に规定する目的のために必要な限りで、利用记録を他の者に伝达することができる。

6 第1項の規定により情報機器の利用記録を採取しようとする者は、第1項に規定する目的、これによって採取しようとする利用記録の範囲及び前項により利用記録を伝達する者を、あらかじめ部局情报セキュリティ責任者に申告し、かつ、当該機器の利用者等に開示しなければならない。部局情报セキュリティ責任者は、申告の内容を不適切と認めるときは、これを修正させるものとする。

7 当该情报机器の管理者又は利用记録の伝达を受けた者は、第1项に规定する目的のために必要な限りで、これを保有することができる。不要となった利用记録は、直ちに破弃しなければならない。ただし、当该情报机器の管理者は、利用记録から个人情报に係る部分を削除して、ネットワーク运用?管理のための资料とすることができる。资料は、体系的に整理し、常に活用できるよう保存することが望ましい。

(个人情报の取得と管理)
第90条 電子的に個人情報の提供を求める場合は、提供を求める情報の範囲、利用の目的、その情報が伝達される範囲を、あらかじめ相手方に示さなければならない。

2 前项の个人情报は、当人の请求により开示、订正又は削除をしなければならない。また、そのための手続を示さなければならない。

3 部局情报セキュリティ技術責任者は、情報システムで取り扱う個人情報の内容に応じて、当該個人情報の不正な持ち出しが発見できるよう必要な措置を講ずるものとする。

4 部局情报セキュリティ技術責任者は、情報システムで取り扱う個人情報の内容に応じて、その処理を行う端末を限定するために必要な措置を講ずるものとする。

(利用者等が保有する情报の保护)
第91条 利用者等が保有する情報は、情報システム運用に不可欠な範囲又はインシデント対応に不可欠な範囲において、閲覧、複製又は提供することができる。

第9章 暗号と電子署名

(暗号化机能及び电子署名の付与机能の导入)
第92条 部局情报セキュリティ技術責任者は、要機密情報(書面を除く。)を取り扱う情報システムについて、暗号化を行う機能を付加する必要性の有無を検討するものとする。

2 部局情报セキュリティ技術責任者は、暗号化を行う必要があると認めた情報システムには、暗号化を行う機能を設けるものとする。

3 部局情报セキュリティ技術責任者は、要保全情報を取り扱う情報システムについて、電子署名の付与を行う機能を付加する必要性の有無を検討するものとする。

4 部局情报セキュリティ技術責任者は、電子署名の付与を行う必要があると認めた情報システムには、電子署名の付与を行う機能を設けるものとする。

5 部局情报セキュリティ技術責任者は、暗号化又は電子署名の付与を行う必要があると認めた情報システムにおいて、アルゴリズムを選択するに当たっては、必要とされる安全性及び信頼性について検討を行い、電子政府推奨暗号リストに記載されたアルゴリズムが選択可能であれば、これを選択するものとする。ただし、新規(更新を含む。)に暗号化又は電子署名の付与のアルゴリズムを導入する場合には、電子政府推奨暗号リスト又は、本学における検証済み暗号リストがあればその中から選択するものとする。なお、複数のアルゴリズムを選択可能な構造となっている場合には、少なくとも一つをそれらのリストの中から選択するものとする。

(暗号化及び电子署名の付与に係る管理)
第93条 部局情报セキュリティ技術責任者は、暗号化又は電子署名の付与を行う必要があると認めた情報システムにおいて、暗号化された情報の復号又は電子署名の付与に用いる鍵について、鍵の生成手順、有効期限、廃棄手順、更新手順、鍵が露呈した場合の対応手順等を定めるものとする。

2 部局情报セキュリティ技術責任者は、暗号化又は電子署名の付与を行う必要があると認めた情報システムにおいて、暗号化された情報の復号又は電子署名の付与に用いる鍵について、鍵の保存媒体及び保存場所を定めるものとする。

3 部局情报セキュリティ技術責任者は、電子署名の付与を行う必要があると認めた情報システムにおいて、電子署名の正当性を検証するための情報又は手段を署名検証者へ安全な方法で提供するものとする。

4 部局情报セキュリティ技術責任者は、暗号化を行う情報システム又は電子署名の付与若しくは検証を行う情報システムにおいて、暗号化又は電子署名のために選択されたアルゴリズムの危殆化に関する情報を定期的に入手し、必要に応じて、利用者等と共有を図るものとする。

(暗号?电子署名の利用时の教职员等の対策)
第94条 教職員等は、情報を暗号化する場合及び情報に電子署名を付与する場合には、定められたアルゴリズム及び方法に従うものとする。

2 教职员等は、暗号化された情报の復号又は电子署名の付与に用いる键について、定められた键の管理手顺等に従い、これを适切に管理するものとする。

3 教职员等は、暗号化された情报の復号に用いる键について、键のバックアップ手顺に従い、そのバックアップを行うものとする。

第10章 違反と例外措置

(违反への対応)
第95条 利用者等は、情报セキュリティ関係規程への重大な違反を知った場合は、部局情报セキュリティ責任者にその旨を報告するものとする。

2 部局情报セキュリティ責任者は、情报セキュリティ関係規程への重大な違反の報告を受けた場合又は自らが重大な違反を知った場合には、速やかに調査を行い、事実を確認するものとする。事実の確認に当たっては、可能な限り当該行為を行った者の意見を聴取するものとする。

3 部局情报セキュリティ責任者は、調査によって違反行為が判明したときには、次に掲げる措置を講ずることができる。

  1. 当该行為者に対する当该行為の中止命令
  2. 部局情报セキュリティ技術責任者に対する当該行為に係る情報発信の遮断命令
  3. 部局情报セキュリティ技術責任者に対する当該行為者のアカウント停止命令又は削除命令
  4. その他法令に基づく措置

4 部局情报セキュリティ責任者は、前項第2号及び第3号については、他部局の部局情报セキュリティ責任者を通じて同等の措置を依頼することができる。

5 部局情报セキュリティ責任者は、情报セキュリティ関係規程への重大な違反の報告を受けた場合、自らが重大な違反を知った場合又は第3項の措置を講じた場合は、遅滞なく当該行為者の所属部局及び最高情报セキュリティ責任者にその旨を報告するものとする。

(例外措置)
第96条 全学情报セキュリティ委員会は、例外措置の適用の申請を審査する者(以下「許可権限者」という。)を定め、審査手続を整備するものとする。

2 許可権限者は、利用者等による例外措置の適用の申請を、定められた審査手続に従って審査し、許可の可否を決定するものとする。また、決定の際に、以下の項目を含む例外措置の適用審査記録を整備し、情报セキュリティ実施責任者に報告するものとする。

  1. 决定を审査した者の情报(氏名、役割名、所属、连络先)
  2. 申请内容
  • 申请者の情报(氏名、所属、连络先)
  • 例外措置の適用を申請する情报セキュリティ関係規程の該当箇所(規程名と条項等)
  • 例外措置の适用を申请する期间
  • 例外措置の适用を申请する措置内容(讲ずる代替手段等)
  • 例外措置の适用を终了した旨の报告方法
  • 例外措置の适用を申请する理由

&苍产蝉辫;(3)审査结果の内容

  • 许可又は不许可の别
  • 许可又は不许可の理由
  • 例外措置の適用を許可した情报セキュリティ関係規程の適用箇所(規程名と条項等)
  • 例外措置の适用を许可した期间
  • 许可した措置内容(讲ずるべき代替手段等)
  • 例外措置を终了した际の报告方法

3 許可権限者は、例外措置の适用を许可した期间の終了期日に、許可を受けた者からの報告の有無を確認し、報告がない場合には、許可を受けた者に状況を報告させ、必要な対応を講ずるものとする。ただし、許可権限者が報告を要しないとした場合は、この限りでない。

第11章 インシデント対応

(インシデントの発生に备えた事前準备)
第97条 最高情报セキュリティ責任者は、情报セキュリティに関するインシデントが発生した場合、被害の拡大を防ぐとともに、インシデントから復旧するための体制を整備するものとする。

2 情报セキュリティ実施責任者は、インシデントについて利用者等から部局情报セキュリティ責任者への報告手順を整備し、当該報告手段をすべての利用者等に周知するものとする。

3 情报セキュリティ実施責任者は、インシデントが発生した際の対応手順を整備するものとする。

4 情报セキュリティ実施責任者は、インシデントに備え、本学の教育、研究その他の業務の遂行のため特に重要と認めた情報システムについて、その部局情报セキュリティ技術責任者及び部局情報システム技術担当者の緊急連絡先、連絡手段、連絡内容を含む緊急連絡網を整備するものとする。

5 情报セキュリティ実施責任者は、インシデントへの対処の訓練の必要性を検討し、本学の教育、研究その他の業務の遂行のため特に重要と認めた情報システムについて、その訓練の内容及び体制を整備するものとする。

6 情报セキュリティ実施責任者は、インシデントについて学外から報告を受けるための窓口を設置し、その窓口への連絡手段を学外に公表するものとする。

7 部局情报セキュリティ責任者は、インシデントが発生した場合の連絡及び報告、インシデントの原因の調査、再発防止策の策定等の対応を速やかに行うため、部局内の体制を整備するものとする。

(インシデントの原因调査、再発防止策及び报告)
第98条 部局情报セキュリティ責任者は、インシデントが発生した場合には、インシデントの原因を調査したうえで再発防止策を策定し、その結果を報告書としてCSIRT責任者に報告するものとする。

2 CSIRTは、インシデントを認知した場合には、前条第3項により情报セキュリティ実施責任者が定める対応手順に従い、直ちに必要な措置を講ずる。

3 情报ネットワーク危机管理委员会及び情报ネットワーク伦理委员会は、インシデントについての报告を受けた场合には、その内容を検讨し、再発防止策を実施する等必要な措置を讲ずる。

4 最高情报セキュリティ責任者は、本学情報システムに係るインシデントが発生した場合、当該インシデントに係る情報について、文部科学省に可能な限り速やかに連絡するものとする。また、規程第3条第1項に規定する情報資産のうち、本学情報システムを除くものに係るインシデントが発生した場合、当該インシデントに係る情報について、必要に応じて文部科学省に可能な限り速やかに連絡するものとする。

5 部局情报セキュリティ連絡責任者は、CSIRT及び当該部局の間の連絡並びに当該部局内の部局情报セキュリティ責任者、部局情报セキュリティ技術責任者、部局情報システム技術担当者及び部局情报セキュリティ委員会の間の連絡を総括する。

第12章 本学支給以外の情報システム

(本学支给以外の情报システムにかかる安全管理措置の整备)
第99条 情报セキュリティ実施責任者は、要保護情報について本学支給以外の情報システムにより情報処理を行う場合に講ずる安全管理措置についての規定を整備するものとする。

(本学支给以外の端末の利用许可及び届出の取得及び管理)
第100条 

1 教職員等は、要保護情報(機密性2情報を除く。)について本学支給以外の端末により情報処理を行う必要がある場合には、部局情报セキュリティ技術責任者の許可を得るものとする。

2 教職員等は、機密性2情報について本学支給以外の端末により情報処理を行う必要がある場合には、部局情报セキュリティ技術責任者に届け出るものとする。ただし、部局情报セキュリティ技術責任者が届出を要しないとした場合は、この限りでない。

3 部局情报セキュリティ技術責任者は、本学支給以外の端末による要保護情報の情報処理に係る記録を取得するものとする。

4 部局情报セキュリティ技術責任者は、要保護情報(機密性2情報を除く。)について本学支給以外の端末による情報処理を行うことを許可した期間が終了した時に、許可を受けた者から終了した旨の報告がない場合には、その状況を確認し、対応を講ずるものとする。ただし、部局情报セキュリティ技術責任者が報告を要しないとした場合は、この限りでない。

5 部局情报セキュリティ技術責任者は、機密性2情報について本学支給以外の端末による情報処理を行うことを届け出た期間が終了した時に、必要に応じて、その状況を確認し、対応を講ずるものとする。

第13章 学外の情报セキュリティ水準の低下を招く行為の禁止

(学外の情报セキュリティ水準の低下を招く行為の防止)
第101条 本学情報システムを運用?管理する者は、必要に応じて、本学外の情报セキュリティ水準の低下を招く行為の防止に関して、以下の措置を講ずるものとする。

  1. 提供するアプリケーション?コンテンツについて不正プログラム対策を行うこと。
  2. 提供するアプリケーションについて脆弱性対策を行うこと。
  3. 実行プログラムの形式以外にコンテンツを提供する手段がない限り、実行プログラムの形式でコンテンツを提供しないこと。
  4. 电子証明书を利用するなど、提供するアプリケーション?コンテンツの改ざん等がなく真正なものであることを确认できる手段がある场合には、それをアプリケーション?コンテンツの提供先に与えること。
  5. 提供するアプリケーション?コンテンツの利用時に、脆弱性が存在するバージョンのOSやソフトウェア等の利用を強制するなどの情报セキュリティ水準を低下させる設定変更を、OSやソフトウェア等を利用する者に要求することがないよう、アプリケーション?コンテンツの提供方式を定めて開発すること。
  6. サービス利用に当たって必须ではない、サービスを利用する者及びその他の者に関する情报が本人の意思に反して第叁者に提供されるなどの机能がアプリケーション?コンテンツに组み込まれることがないよう开発すること。

2 教职员等は、アプリケーション?コンテンツの开発及び作成を外部委託する场合において、前项の各号に掲げる内容を调达仕様に含めること。

(本学ドメインの使用)
第102条 部局情报セキュリティ技術責任者は、学外向けに提供するウェブサイト等が実際の本学のものであることをウェブサイト等を利用する者が確認できるように、.kyoto-u.ac.jpで終わるドメイン名(以下「本学ドメイン名」という。)を情報システムにおいて使用するよう仕様に含めるものとする。ただし、第 59条及び第60条に掲げる場合を除く。

2 教职员等は、学外向けに提供するウェブサイト等の作成を外部委託する场合においては、前项と同様、本学ドメイン名を使用するよう调达仕様に含めるものとする。

(不正なウェブサイトへの诱导防止)
第103条 部局情报セキュリティ技術責任者は、利用する者が検索サイト等を経由して本学のウェブサイトになりすました不正なウェブサイトへ誘導されないよう対策を講じるものとする。

第14章 教育?研修

(情报セキュリティ対策の教育)
第104条 最高情报セキュリティ責任者は、情报セキュリティポリシー及び実施規程について、部局情报セキュリティ責任者、部局情报セキュリティ技術責任者、部局情報システム技術担当者及び利用者等(以下「教育啓発対象者」という。)に対し、その啓発を行うものとする。

2 最高情报セキュリティ責任者は、情报セキュリティポリシー及び実施規程について、教育啓発対象者に教育すべき内容を検討し、教育のための資料を整備するものとする。

3 最高情报セキュリティ責任者は、教育啓発対象者が毎年度最低一回、受講できるように、情报セキュリティ対策の教育に係る計画を企画、立案するとともに、その実施体制を整備するものとする。

4 最高情报セキュリティ責任者は、教育啓発対象者の入学時、着任時、異動時に三か月以内に受講できるように、情报セキュリティ対策の教育を企画、立案し、その体制を整備するものとする。

5 最高情报セキュリティ責任者は、教育啓発対象者の情报セキュリティ対策の教育の受講状況を管理できる仕組みを整備するものとする。

6 最高情报セキュリティ責任者は、教育啓発対象者の情报セキュリティ対策の教育の受講状況について、当該教育啓発対象者の所属する部局の部局情报セキュリティ責任者に通知するものとする。

7 部局情报セキュリティ責任者は、教育啓発対象者の情报セキュリティ対策の教育の受講が達成されていない場合には、未受講の者に対して、その受講を勧告するものとする。教育啓発対象者が当該勧告に従わない場合には、最高情报セキュリティ責任者にその旨を報告するものとする。

8 最高情报セキュリティ責任者は、毎年度、全学情报セキュリティ委員会に対して、教育啓発対象者の情报セキュリティ対策の教育の受講状況について報告するものとする。

9 最高情报セキュリティ責任者は、情报セキュリティポリシー及び実施規程について、教育啓発対象者に対する情报セキュリティ対策の訓練の内容及び体制を整備するものとする。

(教育の主体と客体)
第105条 情报セキュリティ実施責任者は、本学情報システムの運用に携わる者及び利用者等に対して、情報システムの運用並びに利用及び情報システムのセキュリティに関する教育を企画し、情报セキュリティポリシー及び実施規程並びに手順等の遵守を確実にするための教育を実施するものとする。

2 部局情报セキュリティ技術責任者及び部局情報システム技術担当者は、利用者等に対して、講習計画において定める講習を実施するものとする。

第15章 評価等

(自己点検に関する年度计画の策定)
第106条 最高情报セキュリティ責任者は、情报セキュリティに関する年度自己点検計画を策定するものとする。

(自己点検の実施に関する準备)
第107条 部局情报セキュリティ責任者は、教職員等の役割ごとの情报セキュリティに関する自己点検票及び自己点検の実施手順を整備するものとする。

(自己点検の実施)
第108条 部局情报セキュリティ責任者は、最高情报セキュリティ責任者が定める情报セキュリティに関する年度自己点検計画に基づき、教職員等に対して、自己点検の実施を指示するものとする。

2 教職員等は、部局情报セキュリティ責任者から指示された情报セキュリティに関する自己点検票及び自己点検の実施手順を用いて自己点検を実施するものとする。

(自己点検结果の评価)
第109条 部局情报セキュリティ責任者は、教職員等による情报セキュリティに関する自己点検が行われていることを確認し、その結果を評価するものとする。

2 最高情报セキュリティ責任者は、部局情报セキュリティ責任者による情报セキュリティに関する自己点検が行われていることを確認し、その結果を評価するものとする。

(自己点検に基づく改善)
第110条 教職員等は、自らが実施した情报セキュリティに関する自己点検の結果に基づき、自己の権限の範囲で改善できると判断したことは改善し、部局情报セキュリティ責任者にその旨を報告するものとする。

2 最高情报セキュリティ責任者は、情报セキュリティに関する自己点検の結果を全体として評価し、必要があると判断した場合には部局情报セキュリティ責任者に改善を指示するものとする。

(监査)
第111条 部局情报セキュリティ責任者その他の関係者は、最高情报セキュリティ責任者の行う监査の適正かつ円滑な実施に協力するものとする。

(リスク管理の実施)
第112条 最高情报セキュリティ責任者は、情報資産の価値と脅威、脆弱性を評価するための情報システム運用リスク評価手順を定める。

2 最高情报セキュリティ責任者は、情报セキュリティ実施責任者を含む各情報資産の管理者に対して、少なくとも年に一回、リスク管理を次の各号に従って実施し、その結果を報告するよう指示する。

  1. 当该管理者は、自らが扱う情报资产について情报システム运用リスク评価手顺に基づきリスク评価を行う。
  2. 当该管理者は、评価结果に従い、リスクに対する事前の対策を必要とするものについてその具体策を定め、あるいはトラブルが発生した场合の具体的な対応について当该情报资产についてのインシデント対応手顺を定める。対策を施さないと判断したものについても报告する。

3 最高情报セキュリティ責任者は、前項に基づく管理者からの報告に基づいて、情报セキュリティポリシー及び実施規程等の見直しを行う。
(见直し)      
第113条 情报セキュリティポリシー及び実施規程並びにそれに基づく手順等を整備した者は、各規定の見直しを行う必要性の有無を適時検討し、必要があると認めた場合にはその見直しを行う。

2 本学情報システムを運用?管理する者は、自らが実施した情报セキュリティ対策に関連する事項に課題及び問題点が認められる場合には、当該事項の見直しを行う。

附则
この対策基準は、平成21年4月1日から実施する。

附则
この対策基準は、平成27年4月1日から実施する。ただし、第52条第1项の规定は、平成28年4月1日から実施する。

附则
この対策基準は、平成29年4月1日から実施する。

附则
この対策基準は、平成31年4月1日から実施する。

附则
この対策基準は、令和2年4月1日から実施する。

附则
この対策基準は、令和3年4月1日から実施する。

附则
この対策基準は、令和4年4月1日から実施する。

(别表)
用语集

【あ】

「アクセス制御」とは、情報へのアクセスを許可する者を制限することをいう。 「アプリケーション」とは、OS上で動作し、サービスの提供、文書作成又は電子メールの送受信等の特定の目的のために動作するソフトウェアをいう。 「アルゴリズム」とは、ある特定の目的を達成するための演算手順をいう。 「暗号化」とは、第三者に容易に解読されないよう、定められた演算を施しデータを変換することをいう。 「委託先」とは、外部委託により本学の情報システムに関する計画、構築及び運用等の情報処理業務の一部又は全部を実施する者をいう。

「受渡业者」とは、安全区域内で职务に従事する教职员等との物品の受渡しを目的とした者のことで、安全区域へ立ち入る必要のない者をいう。物品の受渡しとしては、宅配便の集配、事务用品の纳入等が考えられる。

【か】

「外部委託」とは、本学の情报処理业务の一部又は全部について、契约をもって学外の者に実施させることをいう。「委任」「準委任」「请负」といった契约形态を问わず、全てを含むものとする。

「记録媒体」とは、情报が记録され、又は记载される有体物をいう。记録媒体には、文字、図形等人の知覚によって认识することができる情报が记载された纸その他の有体物(以下「书面」という。)と、电子的方式、磁気的方式その他人の知覚によっては认识することができない方式で作られる记録であって、情报システムによる情报処理の用に供されるもの(以下「电磁的记録」という。)に係る记録媒体(以下「电磁的记録媒体」という。)がある。また、电磁的记録媒体には、サーバ装置、端末、通信回线装置等に内蔵される内蔵电磁的记録媒体と、鲍厂叠メモリ、外付けハードディスクドライブ、顿痴顿-搁等の外部电磁的记録媒体がある。

「学外」とは、本学が管理する组织又は施设の外をいう。

「学外通信回线」とは、物理的な通信回线を构成する回线(有线又は无线、现実又は仮想及び本学管理又は他组织管理)及び通信回线装置を问わず、本学が管理していないサーバ装置及び端末が接続され、当该サーバ装置及び端末间の通信に利用する论理的な通信回线をいう。

「学外での情报処理」とは、本学外で职务の遂行のための情报処理を行うことをいう。なお、オンラインで学外から本学の情报システムに接続して、情报処理を行う场合だけではなく、オフラインで行う场合も含むものとする。

「学内」とは、本学が管理する组织又は施设の内をいう。

「学内通信回线」とは、物理的な通信回线を构成する回线(有线又は无线、现実又は仮想及び本学管理又は他组织管理)及び通信回线装置を问わず、本学が管理するサーバ装置及び端末を相互に接続し、当该サーバ装置及び端末间の通信に利用する论理的な通信回线をいう。

「可用性」とは、情報へのアクセスを認可された者が、必要時に中断することなく、当該情報及び関连情报資産にアクセスできる状態を確保することをいう。

「可用性1情报」とは、可用性2情报以外の情报(书面を除く。)をいう。

「可用性2情报」とは、职务で取り扱う情报(书面を除く。)のうち、その灭失、纷失又は当该情报が利用不可能であることにより、本学の教育、研究その他の业务に支障を及ぼす又は职务の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情报をいう。

「完全性」とは、情报が破壊、改ざん又は消去されていない状态を确保することをいう。

「完全性1情报」とは、完全性2情报以外の情报(书面を除く。)をいう。

「完全性2情报」とは、职务で取り扱う情报(书面を除く。)のうち、その改ざん、误びゅう又は破损により、大学の运営に支障を及ぼす又は职务の适确な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情报をいう。

「机器等」とは、情报システムの构成要素(サーバ装置、端末、通信回线装置、复合机、特定用途机器等、ソフトウェア等)、外部电磁的记録媒体等の総称をいう。

「机密性」とは、情报に関して、アクセスを认可された者だけがこれにアクセスできる状态を确保することをいう。

「机密性1情报」とは、机密性2情报又は机密性3情报以外の情报をいう。

「机密性2情报」とは、职务で取り扱う情报のうち、秘密文书に相当する机密性は要しないが、直ちに一般に公表することを前提としていない情报をいう。

「机密性3情报」とは、职务で取り扱う情报のうち、秘密文书に相当する机密性を要する情报をいう。

「共用识别コード」とは、复数の主体が共用するために付与された识别コードをいう。原则として、1つの识别コードは1つの主体のみに対して付与されるものであるが、情报システム上の制约や、利用状况などに応じて、1つの识别コードを复数の主体で共用する场合もある。このように共用される识别コードを共用识别コードという。

「クラウドサービス」とは、事業者によって定義されたインタフェースを用いた、拡張性、柔軟性を持つ共用可能な物理的又は仮想的なリソースにネットワーク経由でアクセスするモデルを通じて提供され、利用者によって自由にリソースの設定?管理が可能なサービスであって、情报セキュリティに関する十分な条件設定の余地があるものをいう。

「クラウドサービス事業者」とは、クラウドサービスを提供する事業者又はクラウド サービスを用いて情報システムを開発?運用する事業者をいう。

「権限管理」とは、主体认証に係る情报(识别コード及び主体认証情报を含む。)及びアクセス制御における许可情报を管理することをいう。

「公开されたセキュリティホール」とは、谁もが知り得る状态に置かれているセキュリティホールのことであり、ソフトウェアやハードウェアの製造?提供元等から公表されたセキュリティホール、セキュリティ関连机関から公表されたセキュリティホール等が该当する。

【さ】

「サービス」とは、サーバ装置上で动作しているアプリケーションにより、接続してきたサーバ装置及び端末に対して提供される単独又は复数の机能で构成される机能群をいう。

「サービス不能攻撃」とは、悪意ある第叁者等が、ソフトウェアの脆弱性を悪用しサーバ装置又は通信回线装置のソフトウェアを动作不能にさせることや、サーバ装置、通信回线装置又は通信回线の容量を上回る大量のアクセスを行い通常のサービス利用を妨害する攻撃をいう。

「主体认証情报格纳装置」とは、主体认証情报を格纳した装置であり、正当な主体に所有又は保持させる装置をいう。所有による主体认証では、これを所有していることで、情报システムはその主体を正当な主体として认识する。
代表的な主体认証情报格纳装置として、磁気テープカードやICカード等がある。

「情报机器等管理者」とは、规程第5条の3に定められた部局情报システム技术担当者をいう。

「情报管理者」とは、情报を作成又は入手した教职员(第61条)であり、格付けの决定と取扱制限の検讨(第62条)及び格付けと取扱制限の明示(第63条)、格付けと取扱制限の変更(第65条)などの管理を行なわねばならない。

「情报セキュリティ関係規程」とは、本基準及び本基準に定められた対策内容を具体的な情報システムや業務においてどのような手順に従って実行していくかについて定めた実施手順をいう。

「情报の移送」とは、当该情报に责任を持つ者の管理権限が及ばない情报システム又は组织に対し、电磁的に记録された情报を送信すること并びに情报を记録した电磁的记録媒体、笔颁及び书面を运搬することをいう。

「ソーシャルメディアサービス」とは、インターネット上の奥别产サービスの一种で、サービス利用者间で双方向のコミュニケーションを可能とするものをいう。

「ソフトウェア」とは、サーバ装置及び端末を动作させる手顺及び命令をサーバ装置及び端末が理解できる形式で记述したものをいう。オペレーティングシステム、オペレーティングシステム上で动作するアプリケーションを含む広义の意味である。

【た】

「対策用ファイル」とは、パッチ又はバージョンアップソフトウェア等のセキュリティホールを解决するために利用されるファイルをいう。

「通信回线」とは、これを利用して复数のサーバ装置及び端末を接続し、所定の通信様式に従って情报を送受信するための仕组みをいう。回线及び通信回线装置の接続により构成された通信回线のことを物理的な通信回线といい、物理的な通信回线上に构成され、サーバ装置及び端末间で所定の通信様式に従って情报を送受信可能な通信回线のことを论理的な通信回线という。

「通信回线装置」とは、通信回线间又は通信回线と情报システムの接続のために设置され、回线上を送受信される情报の制御を行うための装置をいう。いわゆるハブ、スイッチ及びルータ等のほか、ファイアウォール等pも该当する。
「データセンター」とは、インターネット用のサーバやデータ通信などの装置を设置?运用することに特化した建物の総称をいう。

「特定用途机器」とは、テレビ会议システム、滨笔电话システム、ネットワークカメラシステム等の特定の用途に使用される情报システム特有の构成要素であって、通信回线に接続されている、又は内蔵电磁的记録媒体を备えているものをいう。

「ドメイン名」とは、国、组织、サービス等の単位で割り当てられたネットワーク上の名前であり、英数字及び一部の记号を用いて表したものをいう。例えば、飞飞飞.办测辞迟辞-耻.补肠.箩辫というウェブサイトの场合は、办测辞迟辞-耻.补肠.箩辫の部分がこれに该当する。

「取扱制限」とは、情报の取扱いに関する制限であって、复製禁止、持出禁止、再配付禁止、暗号化必须、読后廃弃等をいう。

【は】

「複数要素(複合)主体認証(multiple factors Authentication / composite Authentication)方式」とは、複数の主体認証情報の組合せにより主体認証を行う方法である。例えばICカードに加えてパスワードで主体認証を行う場合などが該当する。

「不正アクセス」とは、サーバ装置及び端末の利用を许可された者が当该サーバ装置及び端末を许可された方法以外で作动させること又は操作すること及びサーバ装置及び端末の利用を许可されていない者がサーバ装置及び端末を操作又は利用することをいう。

「不正プログラム」とは、コンピュータウイルス、ワーム(他のプログラムに寄生せず単体で自己増殖するプログラム)、スパイウェア(プログラムの使用者の意図に反して様々な情报を収集するプログラム)等の情报システムを利用する者が意図しない结果を当该情报システムにもたらすプログラムの総称をいう。

「不正プログラム定义ファイル」とは、アンチウイルスソフトウェア等が不正プログラムを判别するために利用するデータをいう。&苍产蝉辫;
「付与」(主体认証に係る情报、アクセス制御における许可情报等に関して)とは、発行、更新及び変更することをいう。

「本学支给以外の情报システム」とは、本学が支给する情报システム以外の情报システムをいう。いわゆる私物の笔颁やモバイル端末のほか、本学への出向者に対して出向元组织が提供する情报システムも含むものとする。

「本学支给以外の情报システムによる情报処理」とは、本学支给以外の情报システムを用いて职务の遂行のための情报処理を行うことをいう。なお、直接装置等を用いる场合だけではなく、それら装置等によって提供されているサービスを利用する场合も含むものとする。ここでいうサービスとは、个人が契约している电子メールサービス等のことであり、例えば、本学の业务に要する电子メールを、个人で契约している电子メールサービスに転送して业务を行ったり、个人のメールから业务のメールを発信したりすることである。

【ま】

「明示」とは、情报を取り扱うすべての者が当该情报の格付けについて共通の认识となるように措置することをいう。なお、情报ごとの格付けの记载を原则とするが、特定の情报システムについて、当该情报システムに记録される情报の格付けを规定等により明记し、当该情报システムを利用するすべての者に当该规定を周知することなども明示に含むものとする。

「モバイル端末」とは、端末の形态に関係なく、业务で利用する目的により必要に応じて移动するノート型笔颁、スマートフォン及びタブレット等の端末をいう。特定の设置场所だけで利用するノート型笔颁は、モバイル端末に含まれない。

【や】

「約款による外部サービス」とは、民間事業者等の学外の組織が定めた規約等の約款に基づきインターネット上で提供する情報処理サービスであって、有料、無料に関わらず、約款への同意及び簡易なアカウントの登録等により、当該サービスを提供するサーバ装置において利用者が情報の作成、保存、送信等を行うものをいう。電子メール、ファイルストレージ、グループウェア等のサービスが代表的である。ただし、利用者が必要とする情报セキュリティに関する十分な条件設定の余地があるものを除く。

「要安定情报」とは、可用性2情报をいう。

「要机密情报」とは、机密性2情报及び机密性3情报をいう。

「要保护情报」とは、要机密情报、要保全情报及び要安定情报をいう。

「要保全情报」とは、完全性2情报をいう。

【ら】

「例外措置」とは、教職員等がその実施に責任を持つ情报セキュリティ関係規程を遵守することが困難な状況で、職務の適正な遂行を継続するため、遵守事項とは異なる代替の方法を採用し、又は遵守事項を実施しないことについて合理的理由がある場合に、そのことについて申請し許可を得た上で適用する行為をいう。

「ログイン」とは、何らかの主体が主体认証を要求する行為をいう。ログインの后に主体认証が行われるため、ログインの段阶ではその主体が正当であるとは限らない。

「ログオン」とは、ログインの结果により、主体认証を要求した主体が正当であることが情报システムに确认された状态をいう。