情報セキュリティ基本方針

公益財団法人東京都教育支援機構情報セキュリティ基本方針

1.目的

本基本方針は、公益財団法人東京都教育支援機構(以下「機構」という。)が保有する情報資産の機密性、完全性及び可用性を維持するため、機構が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

2.情報セキュリティ対策の体系

機構は、当情報セキュリティ基本方針に基づき、機構情報セキュリティ対策基準及び情報セキュリティ実施手順を定める。

  1. 機構情報セキュリティ対策基準

    機構情報セキュリティ基本方針に基づき、情報セキュリティ対策を実施するために、各情報システム等共通の最低限必要な水準として、具体的な遵守事項及び判断基準等を定めたものである。

  2. 情報セキュリティ実施手順

    情報セキュリティ対策基準に基づき、情報システムごとに情報セキュリティ対策を実施するための具体的な手順を定めたものである。

3.定義

  1. ネットワーク

    コンピュータ等を相互に接続するための通信網及びその構成機器(ハードウェア及びソフトウェア)をいう。

  2. 情報システム

    機構の運営に必要な情報の収集・蓄積・処理・伝達・利用に関わるコンピュータのハードウェア、ソフトウェア、データベース、ネットワーク、保管・蓄積装置、記録媒体等の仕組みをいう。

  3. 情報システム室

    ネットワークの基幹機器や重要な情報システムに係る機器等を設置し、専ら当該機器等の管理及び運用を行うための部屋をいう。

  4. 情報資産

    以下のものをいう。

    1. 情報システム
    2. 情報システムで取り扱うデータ
    3. 情報システムに関する設計書、ネットワーク図等のシステム関連文書
  5. 情報セキュリティ

    情報資産の機密性、完全性及び可用性を維持することをいう。

    1. 機密性とは、情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
    2. 完全性とは、情報が破壊、改ざん又は消去されていない状態を確保することをいう。
    3. 可用性とは、情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
  6. 情報セキュリティポリシー

    本基本方針及び情報セキュリティ対策基準をいう。

  7. 職員等

    常勤職員、非常勤職員、臨時職員及び派遣社員をいう。

  8. 業務用端末

    職員等に対し、業務上利用することが許可されたパソコン、モバイル端末等をいう。

  9. 業務用外部記録媒体

    職員等に対し、業務上利用することが許可されたUSBメモリや光ディスク等の外部記録媒体をいう。

  10. ソーシャルメディアサービス

    インターネット上で展開される情報メディアであって、組織や個人による情報発信や個人間のコミュニケーション、人の結びつきを利用した情報流通などといった社会的な要素を含んだメディアである、ブログ、ソーシャルネットワーキングサービス、動画共有サイト等のサービスをいう。

  11. クラウドサービス

    従来は手元のコンピュータに導入して利用していたソフトウェアやデータ、それらを提供するための技術基盤等を、インターネットなどのネットワークを通じて、利用できるサービスをいう。

4.対象とする脅威

情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施するほか、新たな脅威の発生に備え、最新の脅威動向を確認するなど、適切に対応する。

  1. 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による機構が保有する情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等
  2. 機構が保有する情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産漏えい・破壊・消去等
  3. 地震、落雷、火災等の災害によるサービス及び業務の停止等
  4. 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
  5. 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等

5.職員等の遵守義務

職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行にあたって情報セキュリティポリシー及び情報セキュリティ実施手順等を遵守しなければならない。

6.外部サービスの利用に係る対策

機構の業務を受託する事業者(当該事業者から派遣されている者を含む。)に当該業務等を行わせる場合には、セキュリティ対策上遵守させるべき事項を契約または協定等において明記するとともに、本基本方針及び対策基準と同様の水準での情報セキュリティを確保することを契約等事項に明記又は別途書面による提出を求める等の措置をとるものとする。
なお、約款による外部サービスを利用する場合には、当該利用に係る規程等を整備し、対策を講じる。
また、ソーシャルメディアサービスを利用する場合には、サービスに関する運用手順を定めるとともに、発信できる情報を規定し、利用するサービスごとの責任者を定める。
クラウドサービスの利用にあたっても、クラウドサービスの利用に関する手順等を定めるとともに、必要に応じて、当該利用の対象とする情報について定める等、規程を整備する。

7.情報セキュリティ対策

上記4の脅威から情報資産を保護するために、以下の情報セキュリティ対策を実施する。

  1. 組織体制

    機構の情報資産について、総合的な情報セキュリティ対策を推進するため、機構情報セキュリティ委員会を設置し、全体的な組織体制を確立する。また、情報セキュリティ対策に関し、各職層における管理者等の役割、権限及び責任を明確にする。

  2. 情報資産の分類と管理

    機構が保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報資産の管理及び取り扱い方法等について具体的に定め、実効的な情報セキュリティ対策を行う。

  3. 物理的セキュリティ

    サーバ、情報システム室、通信回線等及び業務用端末等の管理について、物理的な対策を講じる。

  4. 人的セキュリティ

    情報セキュリティに関し、情報セキュリティ対策基準等に職員等が遵守すべき事項を明確かつ具体的に定めるとともに、十分な教育及び啓発を行うなどの人的な対策を講じる。

  5. 技術的セキュリティ

    コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。

  6. 情報セキュリティポリシーの運用

    情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部サービスを利用する際のセキュリティ確保等、情報セキュリティポリシー運用上の対策を講じる。
    また、情報資産への侵害が発生した場合等に迅速かつ適切に対応するため、緊急時対応体制を整備する。

8.情報セキュリティ監査及び自己点検の実施

情報セキュリティポリシーの遵守状況を検証するため、定期的及び必要に応じて情報セキュリティ監査及び自己点検を実施する。

9.情報セキュリティポリシーの見直し

情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化への対応が必要となった場合には、情報セキュリティポリシーを見直す。

附則
この方針は、令和元年7月16日から施行する。

附則
この方針は、令和4年4月1日から施行する。

附則
この方針は、令和5年4月1日から施行する。

附則
この方針は、令和5年7月1日から施行する。

附則
この方針は、令和6年3月18日から施行する。