「情報セキュリティに関する責任者, 権限, 範囲の明確化,『基本方針』等情報セキュリティポリシーの 周知のための教育及び啓発活動の実施. 」に対する取り組みでは次の活動を行った.
• 初任者研修の中で情報セキュリティに関する講義を行なった(4 月, 9月)
• 情報セキュリティポリシー実施手順書策定,見直しのための講習会を開催した(7月)
• 幹部職員向け情報セキュリティ説明会を開催した(12月)
• 職員向け京都大学パソコン研修において情報セキュリティについて講義した(1月, 2月に計8回,受 講者計約180名)
• 情報セキュリティ講習会「政府機関統一基準対応のための情報セキュリティポリシーの見直しについ て」及び「これからのアイデンティティ管理環境」を開催した(3月)
また,構成員に対する情報セキュリティ教育が不十分とされたことに対し,全構成員がオンラインで情報 セキュリティ,情報倫理について学習できるe-learningシステムを総長裁量経費により導入し,平成18年度 中に試験運用を開始する予定である.
「外部からの不正なアクセス等による本学の情報資産を保護するため,ネットワーク管理,アクセス制御 等技術的なセキュリティ対策を講じる. 」に対する取り組みは,高機能な不正アクセス検知システムへの更 新を行い運用を開始した. また, 脆弱性診断システムも高機能なものにバージョンアップし, 利用者が管理 する機器の脆弱性診断が行ないやすくなった. さらに, spamメール削減システムを導入し,テスト運用を開 始した.
「学内の情報資産侵害における連絡等緊急時対応計画の策定. 」に対する取り組みは,情報セキュリティ ポリシー実施手順の実施による連絡体制の確立により対応する. また,全学情報セキュリティ委員会の下の 全学情報セキュリティ幹事会において,情報ネットワーク危機管理員会要項及びコンピュータ不正アクセス 対応連絡要領の改訂案を検討している.
「各部局等における情報セキュリティの実施状況に関する監査体制を整備するとともに,管理担当者の育 成と適正な配置に努め, 大学全体としての情報セキュリティレベルの向上を図る. 」に対する取り組みでは, 全学情報セキュリティ幹事会において監査班の設置を検討中である. 試行的に,一部局の情報システム担当 に対して政府統一基準による情報セキュリティポリシーを適用した監査を行った. 管理担当者の育成に関し て, 実施手順書の策定,見直しについて情報セキュリティ講習会を開催した. また,幹部職員を対象に, 大学 運営には情報セキュリティが重要であることを理解してもらうための説明会を開催した.
「毎年『情報セキュリティ対策基準』及び各部局の『実施手順書』の見直し,情報セキュリティレベルの 向上を図る. 」に対する取り組みは,各部局策定の情報セキュリティポリシー実施手順書の見直しを行なう よう,部局情報セキュリティ責任者に要請している. また,政府省庁統一基準による情報セキュリティポリ シーの見直しについて,情報セキュリティ講習会で解説し,実施手順の改定の参考情報を提供した.
1.9.5 今後の業務改善の計画について
「情報システムの情報資産保護のため管理区域を指定する等,物理的セキュリティ対策を講じる. 」に対 する改善計画として,全学情報セキュリティ委員会で政府省庁統一基準を睨んだ情報セキュリティポリシー の見直しを行なうとともに,物理的セキュリティ対策の強化を部局に要請する.
「学内者による外部への不正なアクセスを防止するための技術的対策を講じるとともに,罰則規定を定め る. 」に対する改善策として, 情報倫理委員会(仮称)の設置及び情報倫理規則の制定・実施を推進する.
また,運用中の不正アクセス検知システムの監視体制を再検討する.
「情報セキュリティに関する責任者, 権限, 範囲の明確化,『基本方針』等情報セキュリティポリシーの 周知のための教育及び啓発活動の実施. 」に対する改善策として, 政府省庁統一基準を睨んだ情報セキュ リティポリシーの見直し及び全学情報セキュリティ委員会と情報環境機構の関係を含む全学情報セキュリ ティ体制の見直しを進めることにより,責任体制を明確にする. また,情報セキュリティ,情報倫理に関する
e-learningシステムの運用体制を整備し,情報セキュリティ啓発活動の一つとして活用する.
「外部からの不正なアクセス等による本学の情報資産を保護するため, ネットワーク管理,アクセス制御 等技術的なセキュリティ対策を講じる. 」に対する改善策として,不正アクセス検知装置及び脆弱性診断シ ステムの維持管理経費を基盤強化経費として要求し,システムの長期的安定運用を図る. spamメール削減 システムは, KUINSのメール中継サーバと連携した運用体制として,本格的な運用を行なう.
「学内の情報資産侵害における連絡等緊急時対応計画の策定. 」に対する改善策として, 情報セキュリ ティポリシー実施手順の見直し及びコンピュータ不正アクセス対応連絡要領の見直しを行なう.
「各部局等における情報セキュリティの実施状況に関する監査体制を整備するとともに,管理担当者の育 成と適正な配置に努め, 大学全体としての情報セキュリティレベルの向上を図る. 」に対する改善策として, 情報セキュリティ監査を業者に委託することに関して問題点等の洗い出しを行なうため,試行的に複数部局 に対して業者による監査を行う経費を要求する. 問題点の解析を行い,多数部局の監査が可能となれば, 次 年度に多数部局の監査を行う予算確保と監査体制の強化を行なう. また,部局の情報セキュリティ担当者の 育成のため,情報セキュリティ講習会を開催する.
「毎年全学版の『情報セキュリティの対策基準』及び各部局でとりまとめた『実施手順』の見直しを行 い, 情報セキュリティレベルの向上を段階的に図る. 」に対する改善策として, 政府省庁統一基準を睨んだ 情報セキュリティポリシーの改定を検討する. この情報セキュリティポリシー改定に伴い,部局の実施手順 も改定することになる.