情報セキュリティ基本方針

公益財団法人東京都教育支援機構情報セキュリティ基本方針

1. 目的

 本基本方針は、公益財団法人東京都教育支援機構(以下「機構」という。)が保有する情報資産の機密性、完全性及び可用性を維持するため、機構が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

2. 情報セキュリティ対策の体系

 機構は、当情報セキュリティ基本方針に基づき、機構情報セキュリティ対策基準及び情報セキュリティ実施手順を定める。

  • (1)機構情報セキュリティ対策基準

     機構情報セキュリティ基本方針に基づき、情報セキュリティ対策等を実施するために、各情報システム等共通の最低限必要な水準として、具体的な遵守事項及び判断基準等を定めたものである。

  • (2)情報セキュリティ実施手順

     情報セキュリティ対策基準に基づき、情報処理システムごとに情報セキュリティ対策を実施するための具体的な手順を定めたものである。

3. 定義

  • (1)ネットワーク

     コンピュータ等を相互に接続するための通信網、その構成機器(ハードウエア及びソフトウエア)をいう。

  • (2)情報処理システム

     コンピュータ、端末装置、通信回線等により、電子情報を処理するシステムをいう。

  • (3)情報資産

     以下のものをいう。

    • ア ネットワーク、情報処理システム及びこれらに関する設備、電磁的記録媒体(以下「情報システム等」という。)
    • イ 情報システム等で取り扱う電磁的な情報
    • ウ 情報システム等の仕様書及びネットワーク図等のシステム関連文書

  • (4)情報セキュリティ

     情報資産の機密性、完全性及び可用性を維持することをいう。

    • ア 機密性とは、情報にアクセスすることを認可された者だけが、情報にアクセスできる状態を確保することをいう。
    • イ 完全性とは、情報が破壊、改ざん又は消去されていない状態を確保することをいう。
    • ウ 可用性とは、情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。

  • (5)情報セキュリティポリシー

     本基本方針及び情報セキュリティ対策基準をいう。

4. 対象とする脅威

 情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

  • (1)不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等
  • (2)情報資産の無断持ち出し、無許可ソフトウエアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産漏えい・破壊・消去等
  • (3)地震、落雷、火災等の災害によるサービス及び業務の停止等
  • (4)大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
  • (5)電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等

5.職員の遵守義務

 職員は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシー及び情報セキュリティ実施手順等を遵守しなければならない。

6.外部委託事業者等への対策

 機構の業務を受託する事業者及び人材派遣職員に当該業務等を行わせる場合においては、セキュリティ対策上遵守させるべき事項を契約または協定等において明記するとともに、本基本方針及び対策基準と同様の水準での情報セキュリティを確保できるよう、機構が必要な措置をとるものとする。

7.情報セキュリティ対策

 上記4の脅威から情報資産を保護するために、以下の情報セキュリティ対策を実施する。

  • (1)組織体制

     財団の情報資産について、総合的な情報セキュリティ対策を推進するため、財団情報セキュリティ委員会を設置し、全体的な組織体制を確立する。また、情報セキュリティ対策に関し、各職層における管理者等の役割、権限及び責任を明確にする。

  • (2)情報資産の分類と管理

     財団の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報資産の管理及び取り扱い方法等について具体的に定め、実効的な情報セキュリティ対策を行う。

  • (3)物理的セキュリティ

     サーバ、情報システム室、通信回線等及びパソコン等の情報処理機器類の管理について、物理的な対策を講じる。

  • (4)人的セキュリティ

     情報セキュリティに関し、情報セキュリティ対策基準等に職員等が遵守すべき事項を明確かつ具体的に定めるとともに、十分な教育及び啓発を行うなどの人的な対策を講じる。

  • (5)技術的セキュリティ

     コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。

  • (6)情報セキュリティポリシーの運用

     情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託等を行う際のセキュリティ確保等、情報セキュリティポリシー運用上の対策を講じる。
     また、情報資産への侵害が発生した場合等に迅速かつ適切に対応するため、緊急時対応体制を整備する。

8.情報セキュリティ監査及び自己点検の実施

 情報セキュリティポリシーの遵守状況を検証するため、定期的及び必要に応じて情報セキュリティ監査及び自己点検を実施する。

9.情報セキュリティポリシーの見直し

 情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化への対応が必要となった場合には、情報セキュリティポリシーを見直す。

附則
この方針は、令和元年7月16日から施行する。

附則
この方針は、令和4年4月1日から施行する。

附則
この方針は、令和5年7月1日から施行する。

Topに戻る