○国立大学法人長岡技術科学大学情報セキュリティ管理基本規程
| (令和5年3月2日規程第19号) |
|
|
国立大学法人長岡技術科学大学情報セキュリティ管理基本規程(平成20年9月3日規程第9号)の全部を改正する。
(目的)
第1条 この規程は、国立大学法人長岡技術科学大学情報セキュリティ管理基本方針(以下「基本方針」という。)に則り、国立大学法人長岡技術科学大学(以下「本学」という。)における情報セキュリティ管理に関する事項について定めることを目的とする。
(定義)
第2条 この規程における用語の定義は、本条の各号又は基本方針第3条各号に定めるところによる。
(1) CISO(シーアイエスオー) 本学の情報セキュリティに関する事務を統括する最高情報セキュリティ責任者をいう。Chief Information Security Officerの略
(2) 要管理対策区域 本学の管理下にある区域(学外組織から借用している施設等における区域を含む。)であって、取り扱う情報を保護するために、施設及び執務環境に係る対策が必要な区域をいう。
(3) CSIRT(シーサート) 本学において発生した情報セキュリティインシデントに対応するため、本学に設置された体制をいう。Computer Security Incident Response Teamの略
(適用範囲)
第3条 この規程において適用対象とする者は、本学の情報資産を利用する者、管理・運用の業務に携わる者とする。
2 この規程において適用対象とする情報は、基本方針第2条第2項に定める情報とする。
3 この規程において適用対象とする情報システムは、この規程の適用対象となる情報を取扱うすべての情報システムとする。
(情報資産の利用目的の限定)
第4条 情報資産の利用は、教育・研究及び事務処理に関する目的に限られる。
(情報資産の利用に伴う責任)
第5条 本学の情報資産を利用する者は、与えられたアクセス権限を他者に利用させてはならない。
2 本学の情報資産を利用する者は、情報資産の紛失、盗難・盗用及び改ざんに対する細心の注意を払わなくてはならない。
(情報資産の不正利用の禁止)
第6条 本学の情報資産を利用する者は、情報資産の利用において、次の各号に掲げる行為をしてはならない。
(1) 他者の情報の不正な閲覧
(2) 情報の傍受・改ざん
(3) 学外の機関が管理する情報資産に対する攻撃・侵入・破損
(4) ウイルス等の作成・流布
(5) 迷惑メールの送付
(6) 職務上必要のない情報の閲覧及びダウンロード
(7) その他国立大学法人長岡技術科学大学情報統合管理会議(以下「情報統合管理会議」という。)が不適切と判断する行為
(情報発信の制限)
第7条 本学の情報資産を利用する者は、情報資産の利用において、次の各号に掲げる情報を発信してはならない。
(1) 知的財産権・肖像権を侵害する情報
(2) 差別・ひぼう中傷に当たる情報
(3) プライバシーを侵害する情報
(4) わいせつな情報
(5) 教育・研究を妨害する情報
(6) 他者の業務・作業を妨害する情報
(7) 虚偽情報
(8) 守秘義務のある情報
(9) その他情報統合管理会議が不適切と判断する情報
(防護策の徹底)
第8条 本学の情報資産を利用する者は、情報資産の利用において、基本的な防護策を実行しなければならない。また、次の各号に掲げる行為をしてはならない。
(1) ウイルスチェックなしでの利用(USBメモリ等の外部電磁的記録媒体を含む。)
(2) 不要なファイル共有
(3) Peer to Peer(P2P)を用いたネットワークの利用(ファイル共有ソフト利用等を含む。)
(4) セキュリティ関連のソフトウェアの更新を怠ること。
(5) 無許可での外部ネットワークとの直接・バイパス接続
(6) 不要なTCP/IPポートの開放
(具体的な管理方法)
第9条 情報セキュリティの具体的な管理については、別に定める情報セキュリティ管理運用の取扱い(以下「運用の取扱い」という。)により、第11条に定める最高情報セキュリティ責任者がこれを徹底させるものとする。
[第11条]
(情報統合管理会議の審議)
第10条 本学の情報セキュリティに関する事項については、情報統合管理会議がこれを審議する。
(最高情報セキュリティ責任者)
第11条 CISOを置き、情報統合管理会議の議長をもって充てる。
2 CISOは、次に掲げる事務を統括する。
(1) 情報セキュリティ対策推進のための組織・体制の整備
(2) 情報セキュリティポリシーの決定、見直し
(3) 情報セキュリティ対策推進計画の決定、見直し
(4) 情報セキュリティインシデントに対応するために必要な指示その他の措置
(5) 前各号に掲げるもののほか、情報セキュリティに関する重要事項
(情報セキュリティアドバイザー)
第12条 本学の情報セキュリティに関する技術的な助言を行う権限を有する者として、情報セキュリティアドバイザーを置き、総合情報センター長をもって充てる。
2 情報セキュリティアドバイザーは、必要に応じて、CISOに対し、以下の助言等を行う。
(1) 全学の情報セキュリティ対策の推進に係る助言
(2) 情報セキュリティ関係規程の整備に係る助言
(3) 情報セキュリティ対策推進計画の策定に係る助言
(4) 教育実施計画の立案に係る助言並びに教材開発及び教育実施の支援
(5) 情報システムに係る技術的事項に係る助言
(6) 情報システムの設計・開発を外部委託により行う場合に調達仕様に含めて提示する情報セキュリティに係る要求仕様の策定に係る助言
(7) 本学の情報資産を利用する者に対する日常的な相談対応
(8) 情報セキュリティインシデントへの対応の支援
(9) 前各号に掲げるもののほか、情報セキュリティ対策への助言又は支援
(組織責任者)
第13条 CISOは、各系、各センター及び共同研究等の事業における各プロジェクト、監査室、事務局及びその各課室に、情報セキュリティ対策に関する事務を統括する者として、組織責任者1人を置く。
2 組織責任者は、次の事務を統括する。
(1) 管理組織単位における情報の取扱いその他の情報セキュリティ対策に係る事務
(2) 要管理対策区域の決定並びに当該区域における施設及び環境に係る情報セキュリティ対策に関する事務
(3) 情報セキュリティ対策に関する実施手順の整備及び見直し並びに実施手順に関する事務の取りまとめ
(4) 前各号に掲げるもののほか、情報セキュリティ対策に係る事務
(情報の格付けの区分)
第14条 情報の格付けの区分は、機密性、完全性、可用性について、次の各号に示すとおりとする。各区分に応じた取扱いは、運用の取扱いに定める。
(1) 機密性についての格付けの定義は、以下に示すとおりとする。
| 格付けの区分 | 区分の基準 |
| 機密性3情報 | 本学で取り扱う情報のうち、行政文書の管理に関するガイドライン(平成23年4月1日内閣総理大臣決定)に定める秘密文書に相当する機密性を要する情報を含む情報 |
| 機密性2B情報 | 本学で取り扱う機密性3以外の情報のうち、独立行政法人の保有する情報の公開に関する法律(平成13年12月5日法律第140号。以下「独立行政法人等情報公開法」という。)第5条各号における不開示情報に該当すると判断される蓋然性の高い情報を含む情報であって、その漏えいにより本学の情報資産を利用する者のうち、学内外を含む多数の者の権利が侵害され、又は本学の活動の遂行に支障を及ぼすおそれがある情報 |
| 機密性2A情報 | 本学で取り扱う機密性3以外の情報のうち、独立行政法人等情報公開法第5条各号における不開示情報に該当すると判断される蓋然性の高い情報を含む情報であって、その漏えいにより本学の情報資産を利用する者のうち、特に学内の役職員等や学生の権利が侵害され、又は役職員等の活動の遂行に支障を及ぼすおそれがある情報 |
| 機密性1情報 | 機密性3情報、機密性2B情報又は機密性2A情報以外の情報 |
(2) 完全性についての格付けの定義は、以下に示すとおりとする。
| 格付けの区分 | 区分の基準 |
| 完全性2情報 | 本学で取扱う情報(書面を除く。)のうち、改ざん、誤びゅう又は破損により、本学の情報資産を利用する者の権利が侵害され又は本学活動の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報 |
| 完全性1情報 | 完全性2情報以外の情報(書面を除く。) |
(3) 可用性についての格付けの定義は、以下に示すとおりとする。
| 格付けの区分 | 区分の基準 |
| 可用性2情報 | 本学で取扱う情報(書面を除く。)のうち、その滅失、紛失又は当該情報が利用不可能であることにより、本学の情報資産を利用する者の権利が侵害され又は本学活動の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報をいう。 |
| 可用性1情報 | 可用性2情報以外の情報(書面を除く。) |
(情報セキュリティ管理責任)
第15条 情報資産を保有・管理・運用し、又は利用するすべての者は、情報システムのみならず、利用する情報について、セキュリティ管理責任(機密性、完全性及び可用性の確保)を負うものとする。
2 学外の機関との共同研究、受託研究等における情報セキュリティ管理については、当該事業のプロジェクトの長が、情報セキュリティ管理責任のすべてを負うものとし、その管理のために必要な措置を講ずるものとする。
(情報セキュリティ監査責任者)
第16条 本学に、情報セキュリティ監査責任者を1人置き学長が指名する理事をもって充てる。
2 情報セキュリティ監査責任者は、情報セキュリティの状況について監査する。
3 情報セキュリティ監査責任者は、監査を効率的に実施するため、担当者(監査実施者)を置くことができる。必要に応じて外部組織を活用し、外部組織の監査実施者を置くことや、外部組織に監査を委託するなど 、監査実施体制の整備を行う。
4 監査に関する取扱いは運用の取扱いに定める。
(兼務を禁止する役割)
第17条 役職員等は、情報セキュリティ対策の運用において、以下の役割を兼務してはならない。
(1) 承認又は許可(以下「承認等」という。)の申請者と当該承認又は許可を行う者(以下「承認権限者等」という。)
(2) 監査を受ける者とその監査を実施する者
2 役職員等は、承認等を申請する場合において、自らが承認権限者等であるときその他承認権限者等が承認等の可否の判断をすることが不適切と認められるときは、当該承認権限者等の上司又は適切な者に承認等を申請し、承認等を得ること。
(情報セキュリティインシデントに備えた体制の整備)
第18条 CISOは、実務担当者を含めた実効性のあるCSIRTを整備し、その役割を明確化する。
2 役職員等は、情報セキュリティインシデント又はそのおそれを発見した場合は、情報セキュリティ専門部会に報告するものとする。
(情報セキュリティに関する恒久的な対策の実施)
第19条 CISOは、情報セキュリティインシデントの解消後、再び同様に原因が発生しないように、必要に応じて、再発防止のための対策を検討及び計画し、実施すること。
2 CISOは、前項の実施にあたっては、必要に応じて、対策本部を設置し、CSIRTと連携して対応するように指示すること。
(教育研修)
第20条 情報統合管理会議は、役職員等及び学生に対し、情報資産の取扱いについて理解を深め情報セキュリティに関する意識の高揚を図るための啓発その他必要な教育研修を行わなければならない。
2 情報統合管理会議は、役職員等及び学生以外の本学の情報資産を利用する者に対しても、必要に応じて前項の施策を講ずるものとする。
(情報セキュリティ管理の評価)
第21条 情報統合管理会議は、第16条における監査の結果等も踏まえながら、情報セキュリティ管理のレベルを評価し、その高度化を図るものとする。
[第16条]
(雑則)
第22条 この規程に定めるもののほか、情報セキュリティ管理に関し必要な事項は、情報統合管理会議の議を経て、学長が別に定める。
附 則
この規程は、令和5年4月1日から施行する。