セキュリティー・ポリシーSECURITY POLICY

Home > セキュリティー・ポリシー

学校法人 東京中華学校 情報セキュリティー基本方針

第1項(目的)

この基本方針は、学校法人東京中華学校(以下「当校」という。)が管理する情報資産の機密性、完全性及び可用性を確保するため、様々な脅威に対する抑止、予防、検知及び回復について、組織的かつ体系的に取り組むための統一的な方針並びに情報資産の安全管理対策を実施するに当たっての基本的な考え方及び方策を定めることを目的とする。

第2項(定義)

当校等の情報セキュリティ対策に関する定義事項を以下に定める。

  • ネットワーク
    • コンピュータ等を相互に接続するための通信網、その構成機器。
      (ハードウェア及びソフトウェアをいう。)
  • 情報システム
    • コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組み。
  • 情報セキュリティ
    • 情報資産の機密性、完全性及び可用性を適切に維持すること。
      (情報、電磁的記録媒体、情報システム及び情報システムに関する仕様書等関連文書をいう。)
  • 機密性
    • 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保すること。
  • 完全性
    • 情報が破壊、改ざん又は消去されていない状態を確保すること。
  • 可用性
    • 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保すること。
  • 校内ネットワークシステム
    • 教職員が児童生徒の成績処理や学校の事務等の校務を行う際に利用する教育ネットワークシステム。

第3項(対象とする脅威)

情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

  • サイバー攻撃をはじめとする部外者の侵入、不正アクセス、ウイルス攻撃、サービス不能攻撃等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等。
  • 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等。
  • 地震、落雷、火災等の災害によるサービス及び業務の停止等。
  • 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等。
  • 電力供給の途絶、通信の途絶等の提供サービスの障害からの波及等。

第4項(適用範囲)

この基本方針は、当校等の情報資産及び教職員及び職員(以下「教職員等」という。)に適用する。本基本方針が対象とする情報資産は、次のとおりとする。

  • ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体
  • ネットワーク及び情報システムで取り扱う情報

第5項(遵守義務)

教職員等は情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって学校情報セキュリティポリシー及び学校情報セキュリティ実施手順を遵守しなければならない。

第6項(情報セキュリティ対策)

教育情報セキュリティポリシーを策定する上で、教育情報資産に対する脅威から教育情報資産を保護するために、次の情報セキュリティ対策を講ずるものとする。

  • 組織体制
    • 学校等の情報資産について、情報セキュリティ対策を推進する学校等全体の組織体制を確立する。
    • 本ポリシーの管理に関しては、学校長・事務局長を承認者として実施する。
  • 情報資産の分類と管理
    • 学校等の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。
  • 物理的セキュリティ
    • サーバ・クラウド、通信回線及びサーバ・パソコン等の管理について、物理的な対策を講じる。
  • 人的セキュリティ
    • 情報セキュリティに関し、教職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。
  • 技術的セキュリティ
    • 情報セキュリティに関し、教職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。
  • 運用
    • 情報システムの監視、学校情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、学校情報セキュリティポリシーの運用面の対策を講じるものとする。
    • 情報資産への侵害が発生した場合等に迅速かつ適切に対応するため、緊急時対応計画を策定する。

第7項(学校情報セキュリティ監査及び自己点検の実施)

学校情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。

第8項(学校情報セキュリティポリシーの見直し)

学校情報セキュリティ監査及び自己点検の結果、学校情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合、学校情報セキュリティポリシーを見直す。

第9項(学校情報セキュリティ対策基準の策定)

第6項、第7項及び第8項に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める学校情報セキュリティ対策基準を策定する。

なお、学校情報セキュリティ対策基準は、公にすることにより学校等の運営に重大な支障を及ぼすおそれがあることから非公開とする。

第10項(学校情報セキュリティ実施手順の策定)

学校情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた学校情報セキュリティ実施手順を「校内ネットワークシステム用」を策定する。

なお、学校情報セキュリティ実施手順は、公にすることにより学校等の運営に重大な支障を及ぼすおそれがあることから非公開とする。

附 則

この基本方針は、令和5年4月1日から施行する。