Purpose
収集、分析、保管、通信、報告される情報は、盗難、誤用、損失、汚職に遭うことがある。
教育や訓練の不備、セキュリティ管理の違反により情報が危険にさらされることがある。
情報セキュリティ事故は、恥ずかしさ、経済的損失、基準や法律への不適合、また大学に対する裁定の可能性を生じさせる。
このハイレベル情報セキュリティポリシーは、情報リスク管理ポリシーおよびデータ保護ポリシーと共に、本学のリスクベースの情報セキュリティ管理のハイレベルな概要と正当性を提供するものである。
- 情報リスク管理方針
- データ保護方針
目的
本学のセキュリティ目標は、次のとおりである。
- 本学の情報リスクは、合意されたリスク許容度に従って識別、管理、対処される
- 権限を与えられたユーザーは、それぞれの役割を果たすために安全に情報にアクセスし共有できる
- 本学の物理、手続き、技術管理はユーザー体験とセキュリティのバランスをとる
- 情報セキュリティに関する契約および法的義務は満たされる
- 本学の教育、および、情報セキュリティに関する法的義務は、本学が提供する情報の保護にある。
- 私たちの情報にアクセスする個人は、情報セキュリティの責任を認識している
- 私たちの情報資産に影響を与える事故は解決し、そこから学んで私たちの管理を改善する。
Scope
情報セキュリティポリシーとそれを支える管理、プロセス、手続きは、本学で使用する全ての情報に、全ての形式で適用されます。 これには、他組織が本学との取引において処理する情報も含まれます。
情報セキュリティ・ポリシーとそれを支える管理、プロセスおよび手続きは、本学に情報処理サービスを提供する外部団体を含め、本学の情報および技術にアクセスするすべての個人に適用されます。
ユーザー、情報資産、情報処理システムの内訳を含む詳細な範囲は、情報セキュリティ管理システム(ISMS)フレームワーク文書に含まれています。
コンプライアンス
本ポリシーの統制の遵守状況は情報セキュリティチームにより監視され、情報ガバナンス委員会に報告されます。
Review
本方針の見直しは情報セキュリティチームが毎年、あるいは必要に応じてより頻繁に行い、情報ガバナンス委員会と大学執行グループにより承認されなければならない。
Policy Statement
情報が損失から保護されることを保証するのが本学の方針である。
- 機密性 – 情報は権限を与えられた個人のみがアクセス可能
- 完全性 – 情報の正確性と完全性が維持される
- 可用性 – 必要に応じて権限を与えられたユーザとプロセスが情報にアクセスできる
当大学は情報セキュリティに関するISO 27001国際標準に基づき情報セキュリティ管理システムを実装しています。 また、研究パートナーを含むステークホルダーが採用するアプローチに留意し、必要に応じて他の規格も参照します。
本学は、管理の適用にリスクベースのアプローチを採用する。
- 情報セキュリティポリシー
- 情報セキュリティの組織化
- 人的資源セキュリティ
- 資産管理
- アクセス 制御
- 暗号
- 物理的および環境的セキュリティ
- 運用セキュリティ
- 通信セキュリティ
- システム取得, 開発・保守<870><3407>サプライヤーとの関係<870><3407>情報セキュリティ・インシデント管理<870><3407>事業継続管理の情報セキュリティ面<870><3407>コンプライアンス<870><5169><9137><9707>1. 情報セキュリティ方針
高レベルの情報セキュリティ方針とその目的を支えるために、情報セキュリティのための一連の低レベルの管理、プロセス及び手続が定義される。 この一連の裏付け文書は情報セキュリティ理事会により承認され、公表され、本学の利用者及び関連する外部関係者に伝達されます。 情報セキュリティの組織化
本学は情報セキュリティの管理について、適切なガバナンスの仕組みを定義し、実施する。 これには、本学における情報セキュリティの実施及び運用を開始し、管理するためのセキュリティ責任の特定及び配分を含む。
本学は、少なくとも以下の者を任命する。
- 情報ガバナンス委員会の議長を務め、情報リスクに対する説明責任を負う経営陣
- 大学情報の効果的な管理に影響を与え、監督し、促進する情報ガバナンス委員会
- 日々の情報セキュリティ機能を管理する情報セキュリティ専門家
- 情報管理に対する現地責任を負う情報資産所有者 (IAOs) 情報ガバナンス委員会は、情報ガバナンス委員会の議長を務め、リスクに対する説明責任を負う経営陣。 および日常的な情報管理に責任を持つ情報資産管理者(IAM)
3. 人事セキュリティ
本学のセキュリティポリシー及び許容される使用に関する期待事項は、全ユーザーに伝達され、各自の責任を確実に理解させる。 情報セキュリティの教育及び訓練は全ての職員に提供され、不良で不適切な行動には対処されます。
実際的であれば、セキュリティ責任は役割説明、人物仕様及び個人開発計画に含まれます。 資産管理
すべての資産(情報、ソフトウェア、電子情報処理機器、サービスユーティリティ及び人)は、文書化され、説明されなければならない。
すべての情報資産は、法的要件、ビジネス価値、重要性、機密性に応じて分類され、分類によって適切な処理要件が示される。 すべての情報資産は、保管と廃棄のスケジュールが定義されている。 アクセス制御
すべての情報へのアクセスは制御され、ビジネス要件によって推進される。 アクセスは、職務を遂行できるレベルまで、ユーザーの役割と情報の分類に従って許可されるか、または手配される。
すべての情報システム及びサービスへのアクセスについて、正式なユーザー登録と登録解除の手順が維持される。 これには、アクセスする情報の機密性に基づいた強制的な認証方法が含まれ、必要に応じて複数の要素を考慮する。
過失または故意のシステム誤用のリスクを減らすため、高い権限を持つユーザーには特別な管理を実施する。 実用的であれば、職務の分離を実施する
6. 暗号技術
情報及びシステムの機密性、真正性及び完全性を保護するために、暗号技術を適切かつ効果的に使用するためのガイダンス及びツールを提供する。 物理的及び環境的セキュリティ
情報処理施設は安全区域に置かれ、定義済みのセキュリティ境界により無権限アクセス、損害及び干渉から物理的に保護されている。 無許可のアクセスを抑止または防止し、特に重要または機密の資産を強制的または密かな攻撃から保護するために、内部および外部の重層的なセキュリティ管理が実施される
8. 運用セキュリティ
本学は、情報処理システムの正確かつ安全な運用を確保します。
これには、
- 文書化された操作手順
- 正式な変更及び容量管理の使用
- マルウェアに対する管理
- ログの明確な使用
- 脆弱性の管理
9. 通信セキュリティ
本学は、ネットワーク内の情報保護を確実にするため、ネットワークセキュリティ管理を維持し、その情報に関連する分類と取り扱い要件に沿って、ネットワーク内及び外部組織との情報伝達を確実にするツールとガイダンスを提供します
10. システムの取得、開発及び維持管理
情報セキュリティ要件は、新しい情報システム又は既存の情報システムへの変更のためのビジネス要件の開発中に定義される。
特定されたリスクを軽減するためのコントロールは、必要に応じて実施される。
システム開発は、変更コントロール及びテスト、開発及び運用環境の分離の対象となる。 サプライヤーとの関係
サプライヤーとの関係を構築する際、本学の情報セキュリティ要件を考慮し、サプライヤーがアクセスできる資産が確実に保護されるようにします。
サプライヤーの活動は、資産の価値及び関連するリスクに応じて監視及び監査されます。
情報セキュリティの実際の違反や疑いのある違反は報告されなければならず、調査される。
適切な是正措置が取られ、その学習は統制に組み込まれる。 事業継続管理の情報セキュリティの側面
本学は、情報システムの重大な障害や災害の影響から重要な業務プロセスを保護し、文書化されたビジネスニーズに沿って適時に復旧させるための体制を整備しています。
これには適切なバックアップルーチンと内蔵の回復力が含まれます。
事業継続計画はこの方針を支援するために維持されテストされなければなりません。
災害、セキュリティ障害、サービスの損失、サービスの利用可能性の欠如の影響について事業インパクト分析が実施されなければなりません。 コンプライアンス
情報システムの設計、運用、使用、管理は、すべての法定、規制、契約上のセキュリティ要件に準拠しなければなりません。
現在、これにはデータ保護法、決済カード業界標準(PCI-DSS)、政府の予防ガイダンス、大学の契約上のコミットメントが含まれます。
大学は内部監査と外部監査を組み合わせて、内部方針および手順を含め、選択した基準およびベストプラクティスに対するコンプライアンスを証明します。
これにはITヘルスチェック、文書化された基準に対するギャップ分析、職員のコンプライアンスに対する内部チェック、情報資産所有者からの報告書などがあります。