○国立大学法人琉球大学情報セキュリティ監査規程
| (平成25年2月7日制定) |
|
(目的)
第1条 この規程は、国立大学法人琉球大学(以下「本法人」という。)が定める国立大学法人琉球大学情報システム運用基本規程(以下「運用基本規程」という。)第12条第2項に基づき、情報セキュリティ監査の実施基準を定めることにより、運用基本規程第3条第1項第6号に定める情報セキュリティポリシー(以下「情報セキュリティポリシー」という。)や同規程第3条第1項第7号に定める関連規則等(以下「関連規則等」という。)が確実に遵守され、問題点が改善されることを目的とする。
(監査計画の策定)
第2条 情報セキュリティ監査責任者は、年度情報セキュリティ監査計画を策定し、最高情報セキュリティ責任者(以下「CISO」という。)の承認を得る。
(情報セキュリティ監査の実施に関する指示)
第3条 CISOは、年度情報セキュリティ監査計画に従って、情報セキュリティ監査責任者に対して監査の実施を指示する。
2 CISOは、情報セキュリティの状況の変化に応じて必要と判断した場合、情報セキュリティ監査責任者に対して、年度情報セキュリティ監査計画で計画された事案以外の監査の実施を指示する。
(個別の監査業務における監査実施計画の策定)
第4条 情報セキュリティ監査責任者は、年度情報セキュリティ監査計画及び情報セキュリティの状況の変化に応じた監査の実施指示に基づき、個別の監査業務ごとの監査実施計画を策定する。
(情報セキュリティ監査を実施する者の要件)
第5条 情報セキュリティ監査責任者は、監査を実施する場合には、被監査部門から独立した情報セキュリティ監査を実施する者に対して、監査の実施を依頼する。
2 情報セキュリティ監査責任者は、必要に応じて、本法人外の者に監査の一部を請け負わせる。
(情報セキュリティ監査の実施)
第6条 情報セキュリティ監査を実施する者は、情報セキュリティ監査責任者の指示に基づき、監査実施計画に従って監査を実施する。
2 情報セキュリティ監査を実施する者は、実施手順が作成されている場合には、それらが情報セキュリティポリシー及び関連規則等に準拠しているか否かを確認する。
3 情報セキュリティ監査を実施する者は、被監査部門における実際の運用が情報セキュリティポリシー及び関連規則等に準拠しているか否かを確認する。
4 情報セキュリティ監査を実施する者は、監査調書を作成し、あらかじめ定められた期間保存する。
5 情報セキュリティ監査責任者は、監査調書に基づき監査報告書を作成し、CISOへ提出する。
(情報セキュリティ監査結果に対する対応)
第7条 CISOは、監査報告書の内容を踏まえ、被監査部門の部局等総括責任者に対して、指摘事案に対する対応の実施を指示する。
2 CISOは、監査報告書の内容を踏まえ、監査を受けた部門以外の部門においても同種の課題及び問題点がある可能性が高く、かつ緊急に同種の課題及び問題点があることを確認する必要があると判断した場合には、他の部局の部局等総括責任者に対しても、同種の課題及び問題点の有無を確認するように指示する。
3 部局等総括責任者は、監査報告書に基づいてCISOから改善を指示された事案について、対応計画を作成し、報告する。
4 CISOは、監査の結果を踏まえ、情報セキュリティポリシー及び関連規則等の妥当性を評価し、必要に応じてその見直しを指示する。
(雑則)
第8条 この規程に定めるもののほか、情報セキュリティ監査に関し必要な事項は、全学情報システム運用委員会の議を経て、CISOが別に定める。
(改廃)
第9条 この規程の改廃は、全学情報システム運用委員会の議を経て、CISOが行う。
附 則
この規程は、平成25年4月1日から施行する。
附 則(平成30年3月30日)
|
|
この規程は、平成30年4月1日から施行する。
附 則(令和6年6月14日)
|
|
この規程は、令和6年6月14日から施行し、令和6年4月1日から適用する。