17.3.9 情報資産の格付け

情報資産管理責任者は、情報の価値、機密性、完全性、可用性に基づいて以下の4つのいずれかの区分に情報資産を格付けするものとします。
異なる格付けの情報資産がグループ化されている場合、その中の最も高い格付けに分類されます。

情報資産の取り扱い方法については17.8.9情報の格付けとデバイスで詳述します。

17.3.9.1 公開
「公開(Public)」と格付けされた情報資産とは、公の記録である性質のもの、あるいは一般的に公開しても差し支えないと考えられるもの又はOISTの事業、評判、人事に好意的又は中立的であるもののいずれかを指します。

17.3.9.2 学内
「学内(Internal)」と格付けされる情報資産とは、開示することが適切でなく、OISTの事業、評判又は人事に多少の悪影響をもたらす可能性があるものをいいます。これらの資産は、OISTユーザーが知る必要がある場合にのみアクセスできるように管理する必要があります。未発表の研究データ又は論文は、一般的にこの分類に該当するとみなされます。

第三者には、正当な理由がある場合に限り「学内」区分の情報資産へのアクセスが許可されます。

この区分はOISTの情報資産におけるデフォルト(初期設定)とみなされなければなりません。

17.3.9.3 機密
「機密(Confidential)」と格付けされた情報資産とは、それが開示されることによりOISTの事業、評判又は人事に重大な悪影響を及ぼすものを指します。

この区分には、個人番号、クレジットカード、パスポート情報などの個人情報や、その他、法律又は政府規制のもとで保護される情報資産が含まれます。

これらの情報資産は、情報資産管理責任者によって許可された必要最低限のグループだけにアクセスが限定される必要があります。 情報資産へのアクセスは定期的に監査されます。

17.3.9.4 クリティカル
「クリティカル(Critical)」と格付けされた情報資産とは、それが開示されることによりOISTの事業、評判又は人事に深刻な悪影響をもたらすものを指します。「クリティカル」の情報資産へのアクセスは、許可されたユーザーからなる必要最低限に厳選されたグループにのみ限定されます。厳格なシステムアクセスとデータアクセスコントロールを適用し、アクセスは定期的に監査されます。

「クリティカル」の格付けはプロボスト又は事務局長のいずれかの承認を得た場合のみ割り当てることができます。

Table of Contents