奈良国立大学機構情報システム運用・管理規程

○奈良国立大学機構情報システム運用・管理規程

(令和4年4月1日機構規程第25号)

第1条　この規程は、奈良国立大学機構(以下「機構」という。)における情報システムを適切に運用・管理するため、奈良国立大学機構情報セキュリティポリシー(令和4年度機構規程第23号。以下「ポリシー」という。)に基づき、必要な事項を定める。

第2条　この規程は、情報システムを運用・管理するすべての者に適用する。

第3条　この規程及び情報システムの運用において使用される用語の定義は、本規程及びポリシーの定めるところによる。

(1)　情報機器　情報ネットワークの接続のために設置され、電子計算機により情報ネットワーク上を送受信される情報の制御を行うための装置(ファイアウォール、ルータ、ハブ、情報コンセント又は無線ネットワークアクセスポイントを含む。)をいう。

(2)　電子計算機　コンピュータ全般のことを指し、オペレーティングシステム及び接続される周辺機器を含むサーバ装置及び端末をいう。

(3)　利用者等　ポリシーにおいて定める利用者のほか、機構情報資産及び情報システムを取扱う者をいう。

(情報資産の分類・管理)

第4条　情報資産の分類・管理に当たっては、次の各号に定めるもののほか機構が定める規程によるものとする。

(1)　機密性　情報に関して、認められた者だけがこれにアクセスできる状態を確保することをいう。機密性についての区分は、次に掲げるとおりとする。

区分	分類の基準
機密性3情報	機構で取り扱う情報のうち、秘密文書に相当する機密性を要する情報
機密性2情報	機構で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、利用者等の権利が侵害され、又は機構の教育研究事務の遂行に支障を及ぼすおそれがある情報
機密性1情報	機密性2情報又は機密性3情報以外の情報

(2)　完全性　情報が破壊、改ざん又は消去されていない状態を確保することをいう。完全性についての区分は、次に掲げるとおりとする。

区分	分類の基準
完全性2情報	機構で取り扱う情報(書面を除く。)のうち、改ざん、誤びゅう又は破損により、利用者等の権利が侵害され、又は機構の教育研究事務の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報
完全性1情報	完全性2情報以外の情報(書面を除く。)

(3)　可用性　情報及び関連資産へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保することをいう。可用性についての区分は、次に掲げるとおりとする。

区分	分類の基準
可用性2情報	機構で取り扱う情報(書面を除く。)のうち、その滅失、紛失又は当該情報が利用不可能であることにより、利用者等の権利が侵害され、又は機構の教育研究事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報
可用性1情報	可用性2情報以外の情報(書面を除く。)

2　前項第一号に規定する区分のうち、機密性2情報及び機密性3情報を要機密情報という。

3　前項第二号に規定する区分のうち、完全性2情報を要保全情報という。

4　前項第三号に規定する区分のうち、可用性2情報を要安定情報という。

(情報資産の保護及び取り扱い)

第5条　前条第2項、第3項及び第4項に規定する、要機密情報、要保全情報及び要安定情報を要保護情報という。

2　利用者等は、前項に定める要保護情報を取り扱うにあたり、複製禁止、持出禁止、再配付禁止、暗号化必須、読後廃棄その他情報の適正な取扱いを確実にするための手段を取らなければならない。

3　利用者等は、ポリシー並びにそれに基づく規程及び手順等を遵守することが困難な状況で、教育・研究・事務の適正な遂行を継続するための合理的理由がある場合には、その旨申請し許可を得ることにより、遵守事項とは異なる代替の方法を採用し、又は遵守事項を実施しないことを認める場合がある。

(組織・体制)

第6条　情報システムの運用・管理は、情報システム委員会が執り行うものとする。

2　情報システム委員会に関し必要な事項は、別に定める。

第7条　機構が管理する情報システムを運用・管理するすべての者は、次に掲げる事項を行ってはならない。

(1)　情報資産の目的外利用

(2)　守秘義務に違反する情報の開示

(3)　法令又は学内規則に違反する情報の発信

(4)　管理者権限を濫用する行為

(5)　上記の行為を助長する行為

(違反に対する措置)

第8条　情報化統括責任者(以下「CIO」という。)は、ポリシー又は実施規定への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合には、速やかに調査を行い、事実を確認しなければならない。事実の確認にあたっては、可能な限り当該行為を行った者の意見を聴取すること。

2　CIOは、調査によって違反行為が判明したときには、次に掲げる措置を講ずることができる。

(1)　当該行為者に対する当該行為の中止命令

(2)　当該行為者に対する当該行為に係る情報発信の遮断命令

(3)　当該行為者に対する当該行為者のアカウント停止命令、又は削除命令

(4)　役員会への報告

(5)　その他法令に基づく措置

3　CIOは、必要に応じてその権限を奈良国立大学機構情報セキュリティインシデント対応チーム(CSIRT)規程(令和4年度機構規程第27号)第2条第2項に規定するCSIRTのチームリーダーに委譲することができる。

(インシデント対応等)

第9条　CIO、副情報化統括責任者、情報化統括責任者補佐及び情報化責任者は、インシデントが発生し、又はその発生のおそれのある場合には、別に定める奈良国立大学機構情報セキュリティインシデント対応手順又は奈良国立大学機構情報システム非常時行動計画（令和4年度機構規程第28号）に基づき、必要な措置を講じなければならない。

(情報システム運用の外部委託管理)

第10条　機構が管理する情報システムの運用・管理を外部委託により行う場合は、奈良国立大学機構外部委託における情報セキュリティ対策基準に従うものとする。

(法令の遵守)

第11条　情報システムの運用・管理業務に携わる者は、関係法令及び関係する機構規則を遵守しなければならない。

(大学における取扱い)

第12条　大学の情報システムの運用・管理に当たっては、本規程に定めるもののほか、大学が別に定める規定により取り扱うものとする。

第13条　この規程に定めるもののほか、情報システムの利用に関し必要な事項は、CIOが別に定める。

この規程は、令和4年4月1日から施行する。