○岐阜大学情報システム運用基本規程
(平成29年3月24日規程第42号)
改正
平成30年4月1日
平成31年4月1日岐阜大学規程第41号
令和2年4月1日岐大規程第32号
令和3年3月19日岐大規程第145号
令和4年3月31日岐大規程第74号
令和6年3月29日岐大規程第63号
(目的)
第1条 この規程は,岐阜大学(以下「本学」という。)における情報システムの運用及び管理について必要な事項を定め,もって本学が運用管理する情報の保護及び活用並びに適切な情報セキュリティ対策を図ることを目的とする。
(適用範囲)
第2条 この規程は,本学の情報システムを運用・管理するすべての者並びに利用者及び臨時利用者に適用する。
(定義)
第3条 この規程において,次の各号に掲げる用語は,それぞれ当該各号の定めるところによる。
一 情報システム 情報処理及び情報ネットワークに係わるシステム(情報ネットワークに接続する機器を含む。)で,次に掲げるものをいう。
イ 本学が運用管理し,利活用しているもの
ロ 東海国立大学機構(以下「機構」という。)又は本学との契約あるいは他の協定に従って提供されるもの
ハ 機構が運用管理し,本学が利活用しているもの
二 全学情報システム 本学の情報システムのうち,情報セキュリティが侵害された場合の影響が特に大きいと評価され,次条に規定する最高情報責任者が指定する情報システムをいう。
三 情報 次に掲げるものをいう。
イ 情報システム内部に記録された情報
ロ 情報システム外部の電磁的記録媒体に記録された情報
ハ 情報システムに関係がある書面に記載された情報
四 情報資産 第1号の情報システム及び前号の情報をいう。
五 情報セキュリティポリシー 本学が定める「岐阜大学情報システム運用基本方針(平成29年3月16日学長裁定)」及びこの規程をいう。
[岐阜大学情報システム運用基本方針(平成29年3月16日学長裁定)]
六 実施規程等 前号の情報セキュリティポリシーに基づいて策定される規程,細則,基準及び計画をいう。
七 手順等 実施規程等に基づいて策定される具体的な手順,マニュアル及びガイドラインをいう。
八 利用者 教職員等及び学生等で,本学情報システムを利用する許可を受けて利用するものをいう。
九 教職員等 本学に勤務する東海国立大学機構の役員,常勤又は非常勤の教職員(派遣職員を含む。)その他部局等の長が認めた者をいう。
十 学生等 岐阜大学学則(平成19年岐阜大学規則第50号)及び岐阜大学大学院学則(平成19年岐阜大学規則第51号)に定める学部学生,大学院学生,研究生等並びに研究員,その他,部局等の長が認めた者をいう。
[岐阜大学学則(平成19年岐阜大学規則第50号)] [岐阜大学大学院学則(平成19年岐阜大学規則第51号)]
十一 臨時利用者 教職員等及び学生等以外の者で,本学情報システムを臨時に利用する許可を受けて利用するものをいう。
十二 情報セキュリティ 情報資産の機密性,完全性及び可用性を維持することをいう。
十三 情報セキュリティインシデント 情報セキュリティに関し,意図的又は偶発的に生じる,機構及び本学の規程等又は法律に反する事故若しくは事件(その疑い又は可能性が高い場合を含む。)をいう。
十四 CSIRT(シーサート。Computer Security Incident Response Team) 前号の情報セキュリティインシデントのうち,本学において発生したものに対処するために設置された体制をいう。
十五 部局等 学部,学環,研究科,高等研究院,糖鎖生命コア研究所,地域協学センター,保健管理センター,医学部附属病院,教育学部附属小中学校,図書館,教育推進・学生支援機構,学術研究・産学官連携推進本部,グローカル推進機構,情報連携推進本部及び事務局(名大病院事務部及び名古屋大学教学事務部門を除く。)をいう。
(最高情報責任者)
第4条 本学の情報資産の保護及び適切かつ円滑な運用を図り,本学の情報システムの運用に責任を持つとともに本学の情報資産を統括する者として,本学に最高情報責任者(以下「CIO」という。)を置き,情報担当副学長をもって充てる。
2 CIOは,情報セキュリティポリシー(以下「ポリシー」という)及び実施規程等を整備し,情報システム上での各種問題に対する処置を行う。
3 CIOは,全学向け教育及び全学情報システムを担当する部局等の技術担当者向け教育を統括する。
4 CIOに事故があるときは,CIOがあらかじめ指名する者が,その職務を代行する。
5 その他,CIOに関し必要な事項は,別に定める。
(情報セキュリティ最高責任者)
第5条 本学の個人情報を含む情報資産の適切な管理を図り,本学の情報セキュリティ対策に責任を持つ者として,情報セキュリティ最高責任者(以下「CISO」という。)を置く。
2 CISOは,情報担当副学長の推薦に基づき,学長が選考する。
3 CISOは,CIOの指示により,本学の情報システムの整備と運用に関し,ポリシー,実施規程等及び手順等に基づき,情報セキュリティ対策を実施する。
4 CISOは,情報システムの運用・管理に携わる者並びに利用者及び臨時利用者に対して,情報システムの運用及び利用並びに情報システムのセキュリティに関する教育を企画し,ポリシー,実施規程等及び手順等の遵守を確実にするための教育を実施する。
5 その他,CISOに関し必要な事項は,別に定める。
(CIO補佐及びCISO補佐)
第6条 CIO及びCISOの下に,その所掌する業務を円滑に遂行するため,CIO補佐及びCISO補佐を置くことができる。
2 CIO補佐及びCISO補佐は,情報資産の管理及び運用並びに情報セキュリティに関する専門的識見を有する者のうちから情報担当副学長が委嘱する。
(情報セキュリティ監査責任者)
第7条 本学に情報セキュリティ監査責任者を置き,機構の監査室長をもって充てる。
2 情報セキュリティ監査責任者は,内部監査の一環として情報セキュリティ監査を実施する。
(部局等責任者)
第8条 各部局等に部局等責任者を置き,部局等の長をもって充てる。
2 部局等責任者は,部局等における情報システムの運用方針の決定や情報システム上での各種問題に対する処置を担当するとともに,次に掲げる事項を実施する。
一 部局等におけるポリシーの遵守状況の調査及び部局等内の周知
二 部局等における情報セキュリティインシデントの再発防止策の策定及び実施
三 部局等における情報セキュリティ教育の実施
(情報セキュリティインシデントに備えた体制の整備)
第9条 本学におけるCSIRTは,次の各号に掲げる者をもって組織する。
一 CISO
二 情報連携推進本部情報管理対策室員
三 その他CIOがCSIRTに属する職員として専門的な知識又は適性を有すると認めた教職員等
2 CSIRTに属する職員のうちから,本学における情報セキュリティインシデントの対処責任者としてCSIRT責任者を置き,CISOをもって充てる。
(CSIRTの役割)
第10条 CIOは,次に掲げる事項を含むCSIRTの役割を規定する。
一 情報セキュリティインシデントに関する学内外からの通報等の受付
二 情報セキュリティインシデントのCIO等への報告
三 対外的な連絡
四 被害の拡大防止を図るための応急措置の実施,指示又は勧告
(役割の分離)
第11条 本学における情報セキュリティ対策の運用において,次に掲げる役割を同じ者が兼務してはならない。
一 承認又は許可(以下「承認等」という。)事案の申請者とその承認等を行う者(以下「承認等権限者」という。)
二 監査を受ける者とその監査を実施する者
2 前項の規定にかかわらず,教職員等は,承認等権限者が有する職務上の権限等から,当該承認等権限者が承認等の可否の判断を行うことが不適切と認められる場合には,当該承認等権限者の上司に承認等の申請をする。この場合において,当該承認等権限者の上司の承認等を得たときは,当該承認等権限者の承認等を得ることを要しない。
3 教職員等は,前項の場合において承認等を与えたときは,承認等権限者に係る遵守事項に準じて,措置を講ずる。
(情報システム運用の外部委託管理)
第12条 CIOは,本学情報システムの運用業務のすべて又はその一部を第三者に委託する場合には,当該第三者による情報セキュリティの確保が徹底されるよう必要な措置を講じるものとする。
(情報セキュリティ監査)
第13条 情報セキュリティ監査責任者は,情報システムのセキュリティ対策がポリシーに基づいて実施されているかについて,定期及び必要に応じ随時監査を実施する。
(見直し)
第14条 本学におけるポリシー,実施規程等及び手順等を整備した者は,各規定の見直しを行う必要性の有無を適時検討し,必要があると認めた場合にはその見直しを行う。
2 本学の情報システムを運用・管理する者並びに利用者及び臨時利用者は,自らが実施した情報セキュリティ対策に関連する事項に課題及び問題点が認められる場合には,当該事項の見直しを行うものとする。
附 則
この規程は,平成29年4月1日から施行する。
附 則(平成30年4月1日)
この規程は,平成30年4月1日から施行する。
附 則(平成31年4月1日岐阜大学規程第41号)
この規程は,平成31年4月1日から施行する。
附 則(令和2年4月1日岐大規程第32号)
この規程は,令和2年4月1日から施行する。
附 則(令和3年3月19日岐大規程第145号)
この規程は,令和3年4月1日から施行する。
附 則(令和4年3月31日岐大規程第74号)
この規程は,令和4年4月1日から施行する。
附 則(令和6年3月29日岐大規程第63号)
1 この規程は,令和6年4月1日から施行する。
2 前項の規定にかかわらず,改正後の第3条第1号の規定は令和2年4月1日から,改正後の同条第13号及び14号の規定は令和5年8月1日から適用する。