○奈良国立大学機構情報セキュリティ監査規程
(令和5年3月30日機構規程第136号)
(趣旨)
第1条
この規程は、奈良国立大学機構情報セキュリティポリシー(令和4年4月1日機構規程第23号、以下「ポリシー」という。)第18条に基づき情報セキュリティ監査に関し必要な事項を定める。
[
奈良国立大学機構情報セキュリティポリシー(令和4年4月1日機構規程第23号、以下「ポリシー」という。)第18条
]
(監査計画の策定)
第2条
情報セキュリティ監査責任者(以下「監査責任者」という。)は、情報セキュリティ監査計画(以下「監査計画」という。)を策定し、最高情報セキュリティ責任者(以下「CISO」という。)に提出する。
(情報セキュリティ監査の実施に関する指示)
第3条
CISOは、監査計画に従って、監査責任者に対して監査の実施を指示する。
2
CISOは、監査計画で計画された事案以外の監査の実施を必要と判断した場合、監査責任者に対して、当該監査の実施を指示することがある。
(監査実施計画の策定)
第4条
監査責任者は、監査の実施指示に基づき、監査実施計画を策定する。
(情報セキュリティ監査を実施する者の要件)
第5条
監査責任者は、監査を実施する場合には、監査対象の部局(以下「被監査部局」という。)から独立した情報セキュリティ監査を実施する者(以下「監査実施者」という。)に対して、監査の実施を依頼する。
2
監査責任者は、必要に応じて、機構外の者に監査の全部または一部を請け負わせることができる。
(情報セキュリティ監査の実施)
第6条
監査実施者は、監査責任者の指示に基づき、監査実施計画に従って監査を実施する。
2
監査実施者は、被監査部局において実施手順が作成されている場合には、それらがポリシー及び実施規程に準拠しているか否かを確認する。
3
監査実施者は、被監査部局における実際の運用がポリシー及び実施規程に基づく手順に準拠しているか否かを確認する。
4
監査実施者は、監査調書を作成し、監査責任者へ提出する。
5
監査責任者は、監査調書に基づき監査報告書を作成し、その結果をCISOへ提出するとともに、奈良国立大学機構法人文書管理規程(令和4年4月1日機構規程第32号)で定められた期間保存する。
[
奈良国立大学機構法人文書管理規程(令和4年4月1日機構規程第32号)
]
(情報セキュリティ監査結果に対する対応)
第7条
CISOは、監査報告書の内容を踏まえ、被監査部局の情報化責任者(以下「IO」という。)に対し、指摘事項に対する対応を指示する。
2
CISOは、監査報告書の内容を踏まえ、被監査部局以外においても同種の課題及び問題点がある可能性が高く、かつ緊急に確認する必要があると判断した場合には、他の部局のIOに対しても、同種の課題及び問題点の有無を確認するように指示するものとする。
3
被監査部局のIOは、監査報告書に基づいてCISOから改善を指示された事案について、対応計画を作成し、CISOへ提出する。
(見直し)
第8条
CISOは、監査の結果を踏まえ、ポリシー及び実施規程に基づく既存の手順の妥当性を評価し、必要に応じてその見直しを実施する。
附 則
この規程は、令和5年4月1日から施行する