○国立大学法人兵庫教育大学情報セキュリティ対策に関する規程
平成20年12月10日
規程第8号
第1章 総則
(目的)
第1条 この規程は,国立大学法人兵庫教育大学(以下「本学」という。)における情報セキュリティの確保を図るために必要な事項を定め,もって本学の情報セキュリティに対する侵害の阻止及び本学内外の情報セキュリティを損ねる加害行為の抑止等に資することを目的とする。
(1) 情報セキュリティ 情報資産の機密性(許可された者だけが情報にアクセスできる状態を確保することをいう。以下同じ。),完全性(情報が破壊,改ざん又は消去されていない状態を確保することをいう。以下同じ。)及び可用性(許可された者が必要なときに情報にアクセスできることを確保することをいう。以下同じ。)を維持することをいう。
(2) 情報資産 情報システム及び情報をいう。
(3) 情報システム 情報処理及び情報ネットワークにかかわるシステムで,次に掲げる機器等をいう。
ア 本学が所有又は管理しているもの
イ 本学との契約又は協定等に基づき提供されるもの
ウ 情報ネットワークに接続した本学支給以外のもの
(4) 情報ネットワーク 次に掲げるものをいう。
ア 本学が所有又は管理している情報ネットワーク
イ 本学との契約又は協定等に基づき提供される情報ネットワーク
(5) 情報 次に掲げるものをいう。
ア 情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び当該情報システムに入力された書面に記載された情報を含む。)
イ 情報システムの設計又は運用管理に関する情報
(6) 外部委託 本学の業務の一部又は全部について,契約をもって外部の者に実施させることをいう。委任,準委任,請負といった契約形態を問わず,すべて含むものとする。ただし,当該業務において本学の情報を取り扱わせる場合に限る。
(7) 外部サービス 外部の者が一般向けに情報システムの一部又は全部の機能を提供するものをいう。ただし,当該サービスにおいて本学の情報が取り扱われる場合に限る。
(8) 情報セキュリティインシデント 情報セキュリティを脅かす事件又は事故をいう。
(9) 部局 専攻,連合学校教育学研究科,附属図書館,先端教職課程カリキュラム開発センター,教員養成・研修高度化センター,発達心理臨床研究センター,情報処理センター,附属幼稚園,附属小学校,附属中学校,保健管理センター,グローバル教育センター及び事務局をいう。
(適用範囲)
第3条 この規程は,本学の役員,教職員,学生,生徒,児童,幼児,共同研究員その他本学の情報資産を管理,運用又は利用するすべての者に適用する。
第2章 組織・体制
第1節 全学の管理体制
(最高情報セキュリティ責任者)
第4条 本学に,情報セキュリティの最高責任者として,最高情報セキュリティ責任者(以下「CISO」という。)を置き,国立大学法人兵庫教育大学情報化統括責任者等の設置に関する規程(平成20年規程第9号)(以下「CIO等設置規程」という。)に規定する情報化統括責任者をもって充てる。
2 CISOは,次の各号に掲げる業務を行う。
(1) 本学における情報セキュリティ対策に関する業務を統括する。
(2) 本学における情報セキュリティ対策に必要な予算及び人員を確保し,適切に実施するための体制を整備するよう努める。
(大学情報委員会)
第5条 本学の情報セキュリティ対策に関する重要な事項の審議は,国立大学法人兵庫教育大学大学情報委員会が行う。
(情報セキュリティ監査責任者)
第6条 本学に,情報セキュリティ監査責任者を置き,国立大学法人兵庫教育大学監査室設置要項(平成18年8月18日学長裁定)第3(1)に規定する監査室長をもって充てる。
2 情報セキュリティ監査責任者は,情報セキュリティ監査に関する業務を統括する。
(情報処理センター長)
第7条 情報処理センター長は,情報処理センターシステム(基幹運用管理システム,情報教育実習システム及び全学共同利用システムをいい,基幹情報ネットワークを含む。以下同じ。)に係る情報セキュリティ対策に関する業務を統括する。
(基幹情報ネットワーク等管理担当者等)
第8条 情報処理センター長の下に,情報処理センターシステムを適切に管理するため,基幹情報ネットワーク等管理担当者,情報教育実習システム管理担当者及び全学共同利用システム管理担当者を置く。
第9条 基幹情報ネットワーク等管理担当者,情報教育実習システム管理担当者及び全学共同利用システム管理担当者は,兵庫教育大学情報処理センター規則(平成6年規則第1号)第5条に規定する兼務教員,同規則第6条に規定する協力教員並びに情報処理センターシステムの管理及び運用に携わる常勤職員のうちから,情報処理センター長が指名する。
第10条 基幹情報ネットワーク等管理担当者は,基幹運用管理システム及び基幹情報ネットワークに係る技術的実務を担当し,情報処理センター長の指示により,基幹情報ネットワークにおいて発生した問題について技術的な対処を行う。
2 情報教育実習システム管理担当者は,情報教育実習システムに係る技術的実務を担当し,利用者を監督・指導する。
3 全学共同利用システム管理担当者は,全学共同利用システムに係る技術的実務を担当し,利用者を監督・指導する。
(情報セキュリティアドバイザー)
第11条 本学に,情報セキュリティアドバイザーを置き,CIO等設置規程に規定する情報化統括責任者補佐をもって充てる。
2 情報セキュリティアドバイザーは,CISOに対し,情報セキュリティの保持と強化のために必要な助言を行う。
(情報セキュリティインシデント対応チーム)
第12条 本学に,情報セキュリティインシデント対応チーム(以下「CSIRT」という。)を置く。
2 CSIRTは,次の各号に掲げる者をもって組織する。
(1) CISO
(2) 情報セキュリティアドバイザー
(3) 基幹情報ネットワーク等管理担当者
(4) その他CISOが必要と認める者
3 CISOは,CSIRTの業務を統括する。
4 CSIRTは,次の各号に掲げる業務を行う。
(1) 情報セキュリティインシデントの発生に際し,情報を収集し,事象を正確に把握するとともに,必要に応じて,被害拡大の防止,復旧,再発の防止にかかる技術的支援又は助言を行う。
(2) 学内の情報セキュリティインシデントの発生状況を定期的に取りまとめ,CISOに報告するとともに,対策に関する意思決定を支援する。
(3) 情報セキュリティインシデントへの対処能力を向上させるため,必要に応じて,研修又は訓練等を実施する。
(非常時対策本部)
第13条 CISOは,情報セキュリティインシデントについて,CSIRTから報告を受け,学内外に対する影響が大きいと認められる場合は,非常時対策本部を置くことができる。
2 非常時対策本部は,次の各号に掲げる者をもって組織する。
(1) 第12条第2項各号に掲げる者
(2) 情報セキュリティインシデントが発生した部局の部局総括責任者
(3) その他CISOが必要と認める者
3 非常時対策本部に本部長を置き,CISOをもって充てる。
4 非常時対策本部は,情報処理センター長及び部局総括責任者等と連携し,情報セキュリティインシデントに対処する。
第2節 部局の管理体制
(部局総括責任者)
第14条 各部局に,部局総括責任者を置き,当該部局の長をもって充てる。
2 部局総括責任者は,当該部局における情報セキュリティ対策に関する業務を統括する。
(課室情報セキュリティ責任者)
第15条 各部局に,当該部局が管理する事務室,研究室等(以下「課室」という。)ごとに課室情報セキュリティ責任者を置き,国立大学法人兵庫教育大学固定資産等管理規程(平成16年規程第65号)第8条第1項に規定する固定資産補助監守者をもって充てる。
2 課室情報セキュリティ責任者は,課室における情報セキュリティ対策に関する業務を統括する。
(情報コンセント管理責任者・情報システム管理責任者等)
第16条 課室情報セキュリティ責任者は,所管する課室において,情報コンセントを使用する場合は情報コンセント管理責任者を置かなければならない。
2 部局総括責任者は,情報システムを設置・運用する場合は,当該情報システムの情報セキュリティ対策及び運用の責任者として,情報システム管理責任者を置かなければならない。この場合において,情報システムのライフサイクル全般にわたって適切に情報セキュリティ対策を実施するため,当該情報システムの企画に着手するまでに情報システム管理責任者を選出するものとする。
3 情報コンセント管理責任者は,所管する情報コンセントに接続されたすべての機器に係る情報セキュリティ対策に関する業務を統括する。
4 情報システム管理責任者は,所管する情報システムを構成する装置・機能ごとに,必要に応じて次の各号に掲げる管理担当者を置くことができる。
(1) サーバ装置,端末,複合機,特定用途機器,ルータ等(以下「サーバ等」という。) サーバ等管理担当者
(2) 外部サービス 外部サービス管理担当者
5 情報システム管理責任者は,所管する情報システムの情報セキュリティ対策に関する業務を統括し,サーバ等管理担当者,外部サービス管理担当者及び利用者を監督・指導する。
6 サーバ等管理担当者は,所管するサーバ等に係る技術的実務を担当し,利用者を監督・指導する。
7 外部サービス管理担当者は,所管する外部サービスに係る技術的実務を担当し,利用者を監督・指導する。
(部局情報セキュリティアドバイザー)
第17条 各部局に,部局情報セキュリティアドバイザーを置き,部局の長の推薦に基づき,学長が指名する。この場合において,連合学校教育学研究科,附属図書館,教員養成・研修高度化センター,発達心理臨床研究センター,保健管理センター及びグローバル教育センターの長は,関係する専攻又は事務局から,当該専攻長又は事務局長の同意を得て,適任者を推薦することができる。
2 部局情報セキュリティアドバイザーの任期は2年以内の学長の定める期間とし,再任されることができる。ただし,欠員を生じた場合の後任者の任期は,前任者の任期の残余の期間とする。
3 部局情報セキュリティアドバイザーは,部局総括責任者に対し,情報セキュリティの保持と強化のために必要な助言を行うとともに,部局総括責任者の指示により,当該部局における技術的支援等を行う。
(部局情報セキュリティ連絡会議)
第18条 各部局に,情報セキュリティに関係する事項の連絡調整等を行うため,部局情報セキュリティ連絡会議(以下「連絡会議」という。)を置く。
2 連絡会議は,次の各号に掲げる者をもって組織する。
(1) 部局総括責任者
(2) 課室情報セキュリティ責任者
(3) 部局情報セキュリティアドバイザー
(4) その他部局総括責任者が必要と認める者
3 部局総括責任者は,連絡会議を招集し,議長となる。
4 部局総括責任者は,必要に応じ,連絡会議に部会を置くことができる。
第3節 役割の分離
(役割の分離)
第19条 情報セキュリティ対策の運用において,以下の役割を同じ者が兼務してはならない。
(1) 承認又は許可事案の申請者とその承認又は許可を行う者
(2) 監査を受ける者とその監査を実施する者
第3章 情報セキュリティ対策基本計画
(情報セキュリティ対策基本計画)
第20条 CISOは,本学における情報セキュリティリスクを適切に評価し,中長期的な視点をもって,当該リスクを制御し,情報セキュリティ対策を総合的に推進するための計画(以下「情報セキュリティ対策基本計画」という。)を策定しなければならない。
(1) 情報セキュリティに関する教育
(2) 情報セキュリティ対策の自己点検
(3) 情報セキュリティ監査
(4) 情報システムに関する技術的な対策を推進するための取組
(5) 前各号に掲げるもののほか,情報セキュリティ対策に関する重要な取組
3 CISOは,情報セキュリティ対策基本計画の進捗状況を定期的に評価しなければならない。
第4章 リスク評価
(リスク評価)
第21条 CISOは,本学の目的等を踏まえ,自己点検の結果,情報セキュリティ監査の結果等を勘案した上で,保有する情報及び利用する情報システムに係る脅威の発生の可能性及び発生時の損失等を分析し,リスクを評価するものとする。
第5章 教育
(情報セキュリティ教育)
第22条 CISOは,情報セキュリティ対策基本計画に基づき,情報セキュリティ対策に係る教育実施計画を策定し,その実施体制を整備しなければならない。
2 CISOは,利用者等の役割に応じた教育内容を検討し,必要な情報セキュリティ教育を定期的に実施しなければならない。
3 CISOは,利用者等が毎年度最低1回は教育を受講できるように配慮するとともに,受講状況を把握し,未受講者に受講を促す仕組みを整備しなければならない。
(利用者等の受講義務)
第23条 利用者等は,CISOの実施する教育を受講しなければならない。
2 部局総括責任者は,当該部局の教職員に対し,CISOの実施する教育を受講する機会を付与する等の必要な措置を講ずるものとする。
第6章 情報セキュリティインシデントへの対処
(情報セキュリティインシデントの予防措置)
第24条 CISO,情報処理センター長及び部局総括責任者は,情報セキュリティインシデントの発生を未然に防止するために必要な措置を講ずるものとする。
(情報セキュリティインシデント発生時における対応手順の整備等)
第25条 CISOは,情報セキュリティインシデントが発生した場合における対応手順を整備し,利用者等に周知しなければならない。
(情報セキュリティインシデントの報告等)
第26条 利用者等は,情報セキュリティインシデントの発生を知った場合は,情報処理センター長又は情報システム管理責任者に報告するとともに,CSIRTに通報しなければならない。
2 情報処理センター長又は情報システム管理責任者は,情報セキュリティインシデントの発生を知った場合は,直ちにCSIRTに報告しなければならない。
(違反への対処)
第27条 情報処理センター長及び部局総括責任者は,情報セキュリティインシデントが違反行為によるものであることが判明した場合は,当該行為者に対し,必要に応じて,次の各号に掲げる措置を講ずるものとする。
(1) 当該行為者に対する当該行為の中止命令
(2) 当該行為に係る情報発信の遮断
(3) サーバ等の設置許可の取り消し
(4) 当該行為者のアカウント停止又は削除
(5) 本学の関係委員会への報告
(6) その他法令に基づく措置
3 情報処理センター長及び部局総括責任者は,第1項の措置を講じた場合には,CISOに報告しなければならない。
第7章 評価・見直し
第1節 情報セキュリティ対策の自己点検
(自己点検計画の策定等)
第28条 CISOは,情報セキュリティ対策基本計画に基づき,年度自己点検計画を策定し,自己点検票及び自己点検の実施手順を整備しなければならない。
(自己点検の実施・評価)
第29条 部局総括責任者は,CISOが定める年度自己点検計画に基づき,部局における自己点検を実施し,自己点検結果の評価を行い,その結果をCISOに報告しなければならない。
第2節 情報セキュリティ監査
(情報セキュリティ監査)
第30条 情報セキュリティ監査責任者は,情報セキュリティ対策がこの規程その他情報セキュリティ対策に関する学内規程等(以下「学内規程等」という。)に従って実施されていることを監査し,その結果をCISOに報告するものとする。
2 情報セキュリティ監査に関し必要な事項は,別に定める。
第3節 情報セキュリティ対策の見直し
第8章 情報の格付け等
(格付けと取扱制限)
第32条 役員及び教職員(派遣職員を含む。以下「教職員等」という。)は,情報を作成又は入手する場合は,その際に当該情報の機密性,完全性,可用性に応じた格付け及び取扱制限を指定しなければならない。
2 教職員等は,格付け又は取扱制限を指定された情報については,その指定に従って適切に取り扱わなければならない。
3 前2項に定めるもののほか,情報の格付け及び取扱制限等に関し必要な事項は,別に定める。
第9章 その他
(外部委託管理)
第33条 CISOは,外部委託において,委託先による情報セキュリティの確保が徹底されるよう必要な措置を講ずるものとする。
(本学外の情報セキュリティ水準の低下を招く行為の防止)
第34条 CISOは,本学外の情報セキュリティ水準の低下を招く行為を防止するために必要な措置を講ずるものとする。
(例外措置)
第35条 CISOは,学内規程等の適用が職務の適正な遂行を著しく妨げる等の理由により,学内規程等の規定と異なる代替方法を採用し又は規定を適用しないことを認めざるを得ない場合における例外措置を審査するための手続を整備しなければならない。
(雑則)
第36条 この規程に定めるもののほか,情報セキュリティ対策に関し必要な事項は,別に定める。
附則
1 この規程は,平成20年12月10日から施行する。
2 国立大学法人兵庫教育大学情報セキュリティポリシーに規定する管理・運用組織等に関する要項(平成16年5月13日学長裁定)は,廃止する。
附則(平成21年9月9日)
この規程は,平成21年10月1日から施行する。
附則(平成22年3月10日)
この規程は,平成22年4月1日から施行する。
附則(平成23年3月14日)
この規程は,平成23年4月1日から施行する。
附則(平成24年3月26日)
この規程は,平成24年4月1日から施行する。
附則(平成25年3月15日)
この規程は,平成25年4月1日から施行する。
附則(平成26年3月14日)
この規程は,平成26年4月1日から施行する。
附則(平成28年12月27日)
1 この規程は、平成28年12月27日から施行する。
2 国立大学法人兵庫教育大学情報システム運用リスク管理規程(平成22年規程第5号)は,廃止する。
附則(平成29年7月12日)
この規程は,平成29年7月12日から施行する。
附則(平成30年3月16日)
この規程は,平成30年4月1日から施行する。
附則(平成30年12月12日)
この規程は,平成30年12月12日から施行する。
附則(令和元年6月27日)
この規程は,令和元年6月27日から施行する。
附則(令和2年3月11日)
この規程は,令和2年4月1日から施行する。
附則(令和4年2月18日)
この規程は,令和4年4月1日から施行する。
附則(令和4年3月16日)
この規程は,令和4年4月1日から施行する。
附則(令和7年1月28日)
1 この規程は,令和7年1月28日から施行する。
2 この規程施行の際,現に改正前の第16条第1項に規定するサーバ等管理責任者である者は,改正後の第16条第2項に規定する情報システム管理責任者となるものとする。
3 この規程施行の際,現に改正前の第16条第3項に規定するサーバ等管理担当者である者は,改正後の第16条第4項第1号に規定するサーバ等管理担当者となるものとする。