○国立大学法人兵庫教育大学情報セキュリティ対策に関する規程
平成20年12月10日
規程第8号
第1章 総則
(目的)
第1条 この規程は,国立大学法人兵庫教育大学(以下「本学」という。)における情報セキュリティの確保を図るために必要な事項を定め,もって本学の情報セキュリティに対する侵害の阻止及び本学内外の情報セキュリティを損ねる加害行為の抑止等に資することを目的とする。
(1) 情報セキュリティ 情報資産の機密性(許可された者だけが情報にアクセスできる状態を確保することをいう。以下同じ。),完全性(情報が破壊,改ざん又は消去されていない状態を確保することをいう。以下同じ。)及び可用性(許可された者が必要なときに情報にアクセスできることを確保することをいう。以下同じ。)を維持することをいう。
(2) 情報資産 情報システム内部に記録された情報,情報システム外部の電磁的記録媒体に記録された情報及び情報システムを介して作成された書面に記載された情報(国立大学法人兵庫教育大学法人文書管理規程(平成23年規程第4号)第2条第1号に規定する法人文書の情報をいい,法人文書として作成中のものを含む。以下これらを総称して単に「情報」という。)並びに情報を管理する仕組み(情報システム並びに情報システム開発,運用及び保守のための資料等をいう。)をいう。
(3) 情報システム 情報処理及び情報ネットワークにかかわるシステム(情報ネットワークに接続する機器を含む。)で,本学が所有又は管理しているもの及び本学との契約又は協定等に基づき提供されるものをいう。
(4) 情報ネットワーク 本学が所有又は管理している情報ネットワーク及び本学との契約又は協定等に基づき提供される情報ネットワークをいう。
(5) 情報セキュリティインシデント 情報セキュリティを脅かす事件又は事故をいう。
(6) 部局 専攻,連合学校教育学研究科,附属図書館,先端教職課程カリキュラム開発センター,教員養成・研修高度化センター,発達心理臨床研究センター,情報処理センター,附属幼稚園,附属小学校,附属中学校,保健管理センター,グローバル教育センター及び事務局をいう。
(適用範囲)
第3条 この規程は,本学の役員,教職員,学生,生徒,児童,幼児,共同研究員その他本学の情報資産を管理,運用又は利用するすべての者に適用する。
第2章 組織・体制
第1節 全学の管理体制
(最高情報セキュリティ責任者)
第4条 本学に,情報セキュリティの最高責任者として,最高情報セキュリティ責任者(以下「CISO」という。)を置き,国立大学法人兵庫教育大学情報化統括責任者等の設置に関する規程(平成20年規程第9号)(以下「CIO等設置規程」という。)に規定する情報化統括責任者をもって充てる。
2 CISOは,次の各号に掲げる業務を行う。
(1) 本学における情報セキュリティ対策に関する事項を統括する。
(2) 本学における情報セキュリティ対策に必要な予算及び人員を確保し,適切に実施するための体制を整備するよう努める。
(大学情報委員会)
第5条 本学の情報セキュリティ対策に関する重要な事項の審議は,国立大学法人兵庫教育大学大学情報委員会が行う。
(情報セキュリティ監査責任者)
第6条 本学に,情報セキュリティ監査責任者を置き,国立大学法人兵庫教育大学監査室設置要項(平成18年8月18日学長裁定)第3(1)に規定する監査室長をもって充てる。
2 情報セキュリティ監査責任者は,情報セキュリティ監査に関する業務を統括する。
(情報処理センター長)
第7条 情報処理センター長は,情報処理センターシステム(基幹運用管理システム,情報教育実習システム及び全学共同利用システムをいい,基幹情報ネットワークを含む。以下同じ。)に係る情報セキュリティ対策に関する業務を統括する。
(基幹情報ネットワーク等管理担当者等)
第8条 情報処理センター長の下に,情報処理センターシステムを適切に管理するため,基幹情報ネットワーク等管理担当者,情報教育実習システム管理担当者及び全学共同利用システム管理担当者を置く。
第9条 基幹情報ネットワーク等管理担当者,情報教育実習システム管理担当者及び全学共同利用システム管理担当者は,兵庫教育大学情報処理センター規則(平成6年規則第1号)第5条に規定する兼務教員,同規則第6条に規定する協力教員並びに情報処理センターシステムの管理及び運用に携わる常勤職員のうちから,情報処理センター長が指名する。
第10条 基幹情報ネットワーク等管理担当者は,基幹運用管理システム及び基幹情報ネットワークに係る技術的実務を担当し,情報処理センター長の指示により,基幹情報ネットワークにおいて発生した問題について技術的な対処を行う。
2 情報教育実習システム管理担当者は,情報教育実習システムに係る技術的実務を担当し,利用者を監督・指導する。
3 全学共同利用システム管理担当者は,全学共同利用システムに係る技術的実務を担当し,利用者を監督・指導する。
(情報セキュリティアドバイザー)
第11条 本学に,情報セキュリティアドバイザーを置き,CIO等設置規程に規定する情報化統括責任者補佐をもって充てる。
2 情報セキュリティアドバイザーは,最高情報セキュリティ責任者に対し,情報セキュリティの保持と強化のために必要な助言を行う。
(情報セキュリティインシデント対応チーム)
第12条 本学に,情報セキュリティインシデント対応チーム(以下「CSIRT」という。)を置く。
2 CSIRTは,次の各号に掲げる者をもって組織する。
(1) CISO
(2) 情報セキュリティアドバイザー
(3) 基幹情報ネットワーク等管理担当者
(4) その他CISOが必要と認める者
3 CISOは,CSIRTの業務を統括する。
4 CSIRTは,次の各号に掲げる業務を行う。
(1) 情報セキュリティインシデントの発生に際し,情報を収集し,事象を正確に把握するとともに,必要に応じて,被害拡大の防止,復旧,再発の防止にかかる技術的支援又は助言を行う。
(2) 学内の情報セキュリティインシデントの発生状況を定期的に取りまとめ,CISOに報告するとともに,対策に関する意思決定を支援する。
(3) 情報セキュリティインシデントへの対処能力を向上させるため,必要に応じて,研修又は訓練等を実施する。
(非常時対策本部)
第13条 CISOは,情報セキュリティインシデントについて,CSIRTから報告を受け,学内外に対する影響が大きいと認められる場合は,非常時対策本部を置くことができる。
2 非常時対策本部は,次の各号に掲げる者をもって組織する。
(1) CISO
(2) 情報セキュリティアドバイザー
(3) 基幹情報ネットワーク等管理担当者
(4) 情報セキュリティインシデントが発生した部局の部局総括責任者
(5) その他CISOが必要と認める者
3 非常時対策本部に本部長を置き,CISOをもって充てる。
4 非常時対策本部は,情報処理センター長及び部局総括責任者等と連携し,情報セキュリティインシデントに対処する。
第2節 部局の管理体制
(部局総括責任者)
第14条 各部局に,部局総括責任者を置き,当該部局の長をもって充てる。
2 部局総括責任者は,当該部局における情報セキュリティ対策に関する業務を統括する。
(課室情報セキュリティ責任者)
第15条 各部局に,当該部局が管理する事務室,研究室等(以下「課室」という。)ごとに課室情報セキュリティ責任者を置き,国立大学法人兵庫教育大学固定資産等管理規程(平成16年規程第65号)第8条第1項に規定する固定資産補助監守者をもって充てる。
2 課室情報セキュリティ責任者は,課室における情報セキュリティ対策に関する業務を統括する。
(情報コンセント管理責任者・サーバ等管理責任者等)
第16条 課室情報セキュリティ責任者は,所管する課室において,情報コンセントを設置又は使用する場合は情報コンセント管理責任者を,サーバ装置,ルータ等(以下「サーバ等」という。)を設置又は使用する場合は当該サーバ等ごとにサーバ等管理責任者をそれぞれ置かなければならない。
2 情報コンセント管理責任者は,所管する情報コンセントに接続されたすべての機器に係る情報セキュリティ対策に関する業務を統括し,サーバ等管理責任者,サーバ等管理担当者及び利用者を監督・指導する。
3 サーバ等管理責任者は,必要に応じて,サーバ等管理担当者を置くことができる。
4 サーバ等管理責任者は,所管するサーバ等に係る情報セキュリティ対策に関する業務を統括し,サーバ等管理担当者及び利用者を監督・指導する。
5 サーバ等管理担当者は,サーバ等管理責任者の指示により,所管するサーバ等に係る情報セキュリティ対策に関する業務を担当し,利用者を監督・指導する。
(部局情報セキュリティアドバイザー)
第17条 各部局に,部局情報セキュリティアドバイザーを置き,部局の長の推薦に基づき,学長が指名する。この場合において,連合学校教育学研究科,附属図書館,教員養成・研修高度化センター,発達心理臨床研究センター,保健管理センター及びグローバル教育センターの長は,関係する専攻又は事務局から,当該専攻長又は事務局長の同意を得て,適任者を推薦することができる。
2 部局情報セキュリティアドバイザーの任期は2年以内の学長の定める期間とし,再任されることができる。ただし,欠員を生じた場合の後任者の任期は,前任者の任期の残余の期間とする。
3 部局情報セキュリティアドバイザーは,部局総括責任者に対し,情報セキュリティの保持と強化のために必要な助言を行うとともに,部局総括責任者の指示により,当該部局における技術的支援等を行う。
(部局情報セキュリティ連絡会議)
第18条 各部局に,情報セキュリティに関係する事項の連絡調整等を行うため,部局情報セキュリティ連絡会議(以下「連絡会議」という。)を置く。
2 連絡会議は,次の各号に掲げる者をもって組織する。
(1) 部局総括責任者
(2) 課室情報セキュリティ責任者
(3) 部局情報セキュリティアドバイザー
(4) その他部局総括責任者が必要と認める者
3 部局総括責任者は,連絡会議を招集し,議長となる。
4 部局総括責任者は,必要に応じ,連絡会議に部会を置くことができる。
第3節 役割の分離
(役割の分離)
第19条 情報セキュリティ対策の運用において,以下の役割を同じ者が兼務してはならない。
(1) 承認又は許可事案の申請者とその承認又は許可を行う者
(2) 監査を受ける者とその監査を実施する者
第3章 情報セキュリティ対策基本計画
(情報セキュリティ対策基本計画)
第20条 CISOは,本学における情報セキュリティリスクを適切に評価し,中長期的な視点をもって,当該リスクを制御し,情報セキュリティ対策を総合的に推進するための計画(以下「情報セキュリティ対策基本計画」という。)を策定しなければならない。
(1) 情報セキュリティに関する教育
(2) 情報セキュリティ対策の自己点検
(3) 情報セキュリティ監査
(4) 情報システムに関する技術的な対策を推進するための取組
(5) 前各号に掲げるもののほか,情報セキュリティ対策に関する重要な取組
3 CISOは,情報セキュリティ対策基本計画の進捗状況を定期的に評価しなければならない。
第4章 リスク評価
(リスク評価)
第21条 CISOは,情報資産の価値と脅威,脆弱性を評価するため,リスク評価の手順を定めるものとする。
2 部局総括責任者は,CISOが定めるリスク評価の手順に基づき,部局におけるリスクの評価を行い,その結果をCISOに報告しなければならない。
第5章 教育
(情報セキュリティ教育)
第22条 CISOは,情報セキュリティ対策基本計画に基づき,情報セキュリティ対策に係る教育実施計画を策定し,その実施体制を整備しなければならない。
2 CISOは,利用者等の役割に応じた教育内容を検討し,必要な情報セキュリティ教育を定期的に実施しなければならない。
3 CISOは,利用者等が毎年度最低1回は教育を受講できるように配慮するとともに,受講状況を把握し,未受講者に受講を促す仕組みを整備しなければならない。
(利用者等の受講義務)
第23条 利用者等は,CISOの実施する教育を受講しなければならない。
2 部局総括責任者は,当該部局の教職員に対し,CISOの実施する教育を受講する機会を付与する等の必要な措置を講ずるものとする。
第6章 情報セキュリティインシデントへの対処
(情報セキュリティインシデントの予防措置)
第24条 CISO,情報処理センター長及び部局総括責任者は,情報セキュリティインシデントの発生を未然に防止するために必要な措置を講ずるものとする。
(情報セキュリティインシデント発生時における対応手順の整備等)
第25条 CISOは,情報セキュリティインシデントが発生した場合における対応手順を整備し,利用者等に周知しなければならない。
(情報セキュリティインシデントの報告等)
第26条 利用者等は,情報セキュリティインシデントの発生を知った場合は,情報システムの責任者等に報告するとともに,CSIRTに通報しなければならない。
2 情報システムの責任者等は,情報セキュリティインシデントの発生を知った場合は,CSIRTに報告しなければならない。
(違反への対処)
第27条 情報処理センター長及び部局総括責任者は,情報セキュリティインシデントが違反行為によるものであることが判明した場合は,当該行為者に対し,必要に応じて,次の各号に掲げる措置を講ずるものとする。
(1) 当該行為者に対する当該行為の中止命令
(2) 当該行為に係る情報発信の遮断
(3) サーバ等の設置許可の取り消し
(4) 当該行為者のアカウント停止又は削除
(5) 本学の関係委員会への報告
(6) その他法令に基づく措置
3 情報処理センター長及び部局総括責任者は,第1項の措置を講じた場合には,CISOに報告しなければならない。
第7章 評価・見直し
第1節 情報セキュリティ対策の自己点検
(自己点検計画の策定等)
第28条 CISOは,情報セキュリティ対策基本計画に基づき,年度自己点検計画を策定し,自己点検票及び自己点検の実施手順を整備しなければならない。
(自己点検の実施・評価)
第29条 部局総括責任者は,CISOが定める年度自己点検計画に基づき,部局における自己点検を実施し,自己点検結果の評価を行い,その結果をCISOに報告しなければならない。
第2節 情報セキュリティ監査
(情報セキュリティ監査)
第30条 情報セキュリティ監査責任者は,情報セキュリティ対策がこの規程その他情報セキュリティ対策に関する学内規程等(以下「学内規程等」という。)に従って実施されていることを監査し,その結果をCISOに報告するものとする。
2 情報セキュリティ監査に関し必要な事項は,別に定める。
第3節 情報セキュリティ対策の見直し
第8章 情報の格付け等
(格付けと取扱制限)
第32条 教職員等は,情報を作成又は入手する場合は,その際に当該情報の機密性,完全性,可用性に応じた格付け及び取扱制限を指定しなければならない。
2 教職員等は,格付け又は取扱制限を指定された情報については,その指定に従って適切に取り扱わなければならない。
3 前2項に定めるもののほか,情報の格付け及び取扱制限等に関し必要な事項は,別に定める。
第9章 その他
(外部委託管理)
第33条 CISOは,本学情報システムの運用業務のすべて又はその一部を第三者に委託する場合は,当該第三者による情報セキュリティの確保が徹底されるよう必要な措置を講ずるものとする。
(本学外の情報セキュリティ水準の低下を招く行為の防止)
第34条 CISOは,本学外の情報セキュリティ水準の低下を招く行為を防止するために必要な措置を講ずるものとする。
(例外措置)
第35条 CISOは,学内規程等の適用が職務の適正な遂行を著しく妨げる等の理由により,学内規程等の規定と異なる代替方法を採用し又は規定を適用しないことを認めざるを得ない場合における例外措置を審査するための手続を整備しなければならない。
(雑則)
第36条 この規程に定めるもののほか,情報セキュリティ対策に関し必要な事項は,別に定める。
附則
1 この規程は,平成20年12月10日から施行する。
2 国立大学法人兵庫教育大学情報セキュリティポリシーに規定する管理・運用組織等に関する要項(平成16年5月13日学長裁定)は,廃止する。
附則(平成21年9月9日)
この規程は,平成21年10月1日から施行する。
附則(平成22年3月10日)
この規程は,平成22年4月1日から施行する。
附則(平成23年3月14日)
この規程は,平成23年4月1日から施行する。
附則(平成24年3月26日)
この規程は,平成24年4月1日から施行する。
附則(平成25年3月15日)
この規程は,平成25年4月1日から施行する。
附則(平成26年3月14日)
この規程は,平成26年4月1日から施行する。
附則(平成28年12月27日)
1 この規程は、平成28年12月27日から施行する。
2 国立大学法人兵庫教育大学情報システム運用リスク管理規程(平成22年規程第5号)は,廃止する。
附則(平成29年7月12日)
この規程は,平成29年7月12日から施行する。
附則(平成30年3月16日)
この規程は,平成30年4月1日から施行する。
附則(平成30年12月12日)
この規程は,平成30年12月12日から施行する。
附則(令和元年6月27日)
この規程は,令和元年6月27日から施行する。
附則(令和2年3月11日)
この規程は,令和2年4月1日から施行する。
附則(令和4年2月18日)
この規程は,令和4年4月1日から施行する。
附則(令和4年3月16日)
この規程は,令和4年4月1日から施行する。