情報セキュリティの取り組み
2009年1月28日更新
概要
本学は、財団法人日本情報処理開発協会(JIPDEC)の発行する情報セキュリティマネジメントシステム(ISMS)適合性評価制度ならびに英国の認定機関であるUKASの発行するISO/IEC27001:2005を平成18年1月30日付けで同時に認証取得しました。また、平成19年1月16日と平成20年1月18日にはISO/IEC27001:2005及びJIS Q 27001:2006による継続審査と拡大審査の認証を受けました。平成21年1月13日には、認証取得から3年が経過したことによる同規格の更新審査と、拡大審査の認証を受けました。なお、ISO/IEC27001:2005の認定機関が英国のUKASから米国のANABに移行されております。同規格の認証取得は、国内の教育機関を通じて先端的な取り組みとして注目されています。
※ISMS
Information Security Management Systemの略称で、情報セキュリティマネジメントシステムと呼びます。組織のポリシーに基づき、機密性、完全性、可用性の観点で、組織が保有する情報資産を取り扱うための適切な対策を導入し、継続的に運用と改善を行う仕組みです。経営層から担当者の活動を包括した仕組みであり、人の意識の維持と向上を図るため、定期的な実施状況の監視、教育・研修の実施が重要です。
※ISO/IEC 27001:2005
組織が有効な情報セキュリティマネジメントシステムを確立し、運営管理していくためのモデルを提供する国際規格です。英国規格協会(BSI:British Standard Institute)によって制定された、英国規格BS7799-2:2002をベースに、セキュリティの要求事項がより明確化かつ強化され、平成17年10月14日に国際規格として採用されたものです。
※JIS Q 27001:2006
ISO/IEC27001発行に伴い平成18年5月20日に発行された国内規格です。JIPDECが認証していたISMS認証基準(Ver2.0)がJIS Q 27001へ移行されました。
|
ISO/IEC27001:2005 認証取得概要 | |
|
認証範囲 |
渋谷キャンパスにおける学修・学生支援、入試・学生募集、広報活動、卒業生・保護者との協力支援、生涯学習、コンピュータシステム管理、資料・情報の収集管理、研究開発の運営・研究支援及び管理部門の業務 |
|
認証取得規格 |
ISO/IEC27001:2005 |
|
登録番号 |
IS501343 |
|
登録日 |
平成18年1月30日 |
|
有効期限 |
平成24年1月12日 |
|
審査機関 |
ビーエスアイジャパン株式会社 |
|
認証機関 |
ANAB (The American National Standards Institute(ANSI)- American Society for Quality (ASQ) National Accreditation Board; 米国規格協会―米国品質協会による認定機関) |
|
認証マーク |
|
| JIS Q 27001:2006 認証取得概要 | |
| 認証範囲 | 渋谷キャンパスにおける学修・学生支援、入試・学生募集、広報活動、卒業生・保護者との協力支援、生涯学習、コンピュータシステム管理、資料・情報の収集管理、研究開発の運営・研究支援及び管理部門の業務 |
| 認証取得規格 | JIS Q 27001:2006 |
| 登録番号 | IS501343 |
| 登録日 | 平成18年1月30日 |
| 有効期限 | 平成24年1月12日 |
| 審査機関 | ビーエスアイジャパン株式会社 |
| 認証機関 | (財)日本情報処理開発協会(JIPDEC) |
| 認証マーク |  |
背景
平成17年度4月に個人情報保護に関する法律が全面施行され、個人情報取扱事業者である本学も学生等の多くの個人情報を保護する仕組みを見直しました。しかし、大学は個人情報だけでなく多くの重要な情報を保有しているため、個人情報に限定した安全管理措置ではなく、全ての情報資産を保護するためのシステム、組織、人、仕組みが必要です。
大学は教育機関という公共的な性格上、物理的にオープンな環境を提供しています。また、インターネットによる学修支援、コミュニケーションツールは大学と学生やご父母、卒業生等を繋ぐ重要な役割を担っており、特に本学では情報戦略マスタープランの下、今後さらに情報システムサービスを展開していく予定です。このように、物理的、人的、技術的にオープン性を重視する環境の中で情報セキュリティを確保する難しさは大学特有のものといえます。
情報セキュリティマネジメントシステム(ISMS)は、個人情報だけでなく全ての重要な情報資産を組織的・人的・物理的・技術的に保護する仕組みであり、現場の業務担当者だけでなく経営層まで統合的な仕組みで継続的に運用します。また、保護という観点だけではなく、正確であるか、適切に利用されているか、すみやかに回復できるか、利用しやすくなっているかなど、事業活動そのものを保障するという大きな視点に立っています。
本学は、このような社会的な要請、大学をとりまく事情、セキュリティ面の考察、大学としての情報戦略から情報セキュリティの取り組みを検討し、ISO27001認証取得を目標に、ISMSを導入することになりました。
取り組み
(1) 体制
情報セキュリティ委員会のもとにISMS事務局とISMS推進ワーキンググループを設置し、ISMSの構築を行いました。ISMS推進ワーキンググループのメンバーは、適用課員で構成し、運用後も情報セキュリティ管理者として各部署でISMSを推進しています。ISMS事務局はマネジメントレビュー、内部監査、情報セキュリティ管理者の教育研修等、委員会や適用範囲全体のマネジメントシステムの運用を行っております。
(2) 構築
各適用課は、業務及びプロセス毎の情報資産が抱えるリスクの大きさを測り、リスク対策を決定し導入する作業を行います。業務フロー、情報資産台帳を作成し、重要な業務、情報資産価値(機密性、完全性、可用性)を特定したうえで、リスク分析表で各プロセス毎のリスクの大きさを測定します。本学の受容リスクレベルを超えるプロセスについては、ISO27001の詳細管理策に準じた本学独自のISMSマニュアルから適切なリスク対策を選択し、導入しています。
(3) 計画・運用・監視・改善/PDCAの実施
・情報セキュリティ基本方針及びセキュリティ目標を基に情報セキュリティ活動を行っております。
・適用課の職員は、本学が独自に作成したISMSマニュアルを行動基準として日々の業務で情報資産を適切に取り扱っています。
・課員の実施状況は各情報セキュリティ管理者がセルフチェックシートをチェックし、ISMS事務局が課単位で定期的なチェックを行い、経営層に報告することで、組織的かつ継続的に情報セキュリティが維持されております。
・内部監査結果、監視した事象の分析、是正処置、予防処置及びマネジメントレビューを通じて、ISMSの有効性を継続的に改善しています。
今後
本学では、ISMSの導入だけで効果を永続的に得られるものではなく完全なる情報セキュリティはない、という認識を共有することが必要と考えております。認証取得自体はISMSの構築・運用という過程の副産物でありゴールではなく、継続的な改善を繰り返すことでセキュリティレベルを高めるのだという意識を、全学的・組織的に共通認識として浸透するよう努力してまいります。
このページに対するお問い合せ先: 國學院大學ISMS推進事務局
ページトップへ
