琉球大学規則集

○国立大学法人琉球大学情報システム運用基本規程

(令和6年3月27日制定)

国立大学法人琉球大学情報システム運用基本規程(平成20年4月30日制定)を全部改正する。

第1条　この規程は、国立大学法人琉球大学（以下「本法人」という。）における情報システムの運用及び管理について必要な事項を定め、もって本法人の情報の保護及び活用並びに適切な情報セキュリティ対策を図ることを目的とする。

(適用範囲)

第2条　この規程は、本法人情報システムを運用・管理する全ての者並びに利用者及び臨時利用者に適用する。

(定義)

第3条　この規程における用語の定義は、次のとおりとする。

(1)　「情報システム」とは、情報処理及び情報ネットワークに関わるシステム（本法人情報ネットワークに接続する機器を含む。）で、次の各号に掲げるものをいう。

ア　本法人により、所有又は管理されているもの

イ　本法人との契約、協定等に従って提供されるもの

(2)　「情報」とは、次の各号に掲げるものをいう。

ア　情報システム内部に記録された情報

イ　情報システム外部の電磁的記録媒体に記録された情報

ウ　情報システムに関係がある書面に記載された情報

(3)　「情報資産」とは、第1号の情報システム及び前号の情報をいう。

(4)　「事務情報」とは、国立大学法人琉球大学法人文書管理規程第2条第1号の法人文書に該当する情報をいう。

[国立大学法人琉球大学法人文書管理規程第2条第1号]

(5)　「事務情報システム」とは、事務情報を扱う情報システムをいう。

(6)　「情報セキュリティポリシー」とは、本法人が定める国立大学法人琉球大学情報システム運用基本方針及びこの規程をいう。

[国立大学法人琉球大学情報システム運用基本方針]

(7)　「関連規則等」とは、情報セキュリティポリシーに基づき制定された学内規則、ガイドライン、マニュアル、手順等をいう。

(8)　「部局等」とは、国立大学法人琉球大学組織規則第4章に規定する運営推進組織、第5章に規定する教育研究等組織、第8章に規定する事務組織及び第9章に規定する総合技術部の各組織をいう。

[国立大学法人琉球大学組織規則第4章]

(9)　「利用者」とは、教職員等及び学生等で、本法人情報システムを利用する許可を受けて利用する者をいう。

(10)　「教職員等」とは、本法人の役員及び本法人に勤務する常勤又は非常勤の教職員（派遣職員を含む。）その他、部局等総括責任者が認めた者をいう。

(11)　「学生等」とは、学則に定める学部学生、大学院学生、研究生、特別聴講学生、科目等履修生、その他、部局等総括責任者が認めた者をいう。

(12)　「臨時利用者」とは、教職員等及び学生等以外の者で、本法人情報システムを臨時に利用する許可を受けて利用する者をいう。

(13)　「情報セキュリティ」とは、情報資産の機密性、完全性及び可用性を維持することをいう。

(14)　「電磁的記録」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、コンピュータによる情報処理の用に供されるものをいう。

(15)　「情報セキュリティインシデント」とは、情報セキュリティに関し、意図的又は偶発的に生じる、法律又は本法人の規則等に反する事故又は事件をいう。

(16)　「CSIRT(シーサート。Computer Security Incident Response Team)」とは、本法人において発生した情報セキュリティインシデントに対処するため、本法人に設置された体制をいう。

(17)　「明示等」とは、情報を取り扱う全ての者が当該情報の格付けについて共通の認識となるように措置することをいう。

(情報化総括責任者)

第4条　本法人の情報資産の保護及び適切かつ円滑な運用を図り、本法人の情報システムの運用に責任を持つとともに本法人の情報資産を総括する者として、本法人に、情報化総括責任者（以下「CIO」という。）を置き、学長が指名する理事又は副理事をもって充てる。

2　CIOは、本法人における情報戦略を企画し、主要な情報システムの最適化を実現する。

3　CIOは、情報セキュリティポリシー及び関係規則等を整備し、情報システム上での各種問題（次条に規定する最高情報セキュリティ責任者が行う情報セキュリティに関する業務に属するものを除く。）に対する処置を行う。

4　CIOは、全学向け教育及び全学情報システムを担当する部局等技術担当者向け教育（次条に規定する最高情報セキュリティ責任者が行う情報セキュリティに関する教育を除く。）を総括する。

5　CIOに事故があるときは、CIOがあらかじめ指名する者が、その職務を代行する。

(最高情報セキュリティ責任者)

第5条　情報システムやネットワークの情報セキュリティ対策に責任を持つ者として、本法人に最高情報セキュリティ責任者（以下「CISO」という。）を置き、学長が指名する理事又は副理事をもって充てる。

2　CISOは、本法人の情報システムの整備と運用に関し、情報セキュリティポリシー及び関連規則等に基づき、情報セキュリティ対策を実施する。

3　CISOは、情報システムの運用・管理に携わる者並びに利用者及び臨時利用者に対して、情報システムの運用及び利用並びに情報システムのセキュリティに関する教育を企画し、情報セキュリティポリシー及び関連規則等の遵守を確実にするための教育を実施する。

4　CISOは、情報セキュリティに関する専門的な知識及び経験を有した本法人外の専門家を情報セキュリティアドバイザーとして置くことができる。

5　CISOは、本法人情報システムの運用業務の全て又はその一部を第三者に委託する場合には、当該第三者による情報セキュリティの確保が徹底されるよう必要な措置を講じる。

(情報化総括責任者補佐)

第6条　CIOを補佐するため、本法人に、情報化総括責任者補佐（以下「CIO補佐」という。）を置き、情報基盤統括センター長をもって充てる。

2　CIO補佐は、本法人の情報戦略の企画、情報システムに係る監査、最適化計画の策定及び情報システムの調達等において、その専門的知識を活用し情報化の専門的見地からCIOを補佐する。

(最高情報セキュリティ責任者補佐)

第7条　CISOを補佐するため、本法人に、最高情報セキュリティ責任者補佐（以下「CISO補佐」という。）を置き、情報基盤統括センター情報セキュリティ部門長をもって充てる。

2　CISO補佐は、CISOを補佐し、本法人における情報セキュリティインシデントの未然防止計画の策定及び情報セキュリティインシデントへの対応を行う。

(部局等総括責任者)

第8条　各部局等に部局等総括責任者を置き、部局等の長をもって充てる。

2　部局等総括責任者は、部局等における情報システムの運用方針の決定や情報システム上での各種問題に対する処置を担当するとともに、次に掲げる事項を実施する。

(1)　部局等における情報セキュリティポリシー及び関係規則等の遵守状況の調査及び部局内の周知徹底

(2)　部局等におけるリスク管理並びに非常時行動計画の策定及び実施

(3)　部局等におけるインシデントの再発防止策の策定及び実施

(4)　部局等における部局等技術担当者向け教育の計画及び企画

3　部局等総括責任者は、部局等において組織、運営等に関し必要な事項を定めることができる。

(部局等技術責任者)

第9条　部局等に部局等技術責任者を置き、部局等総括責任者が任命する。なお、部局等総括責任者自らが部局等技術責任者を兼務することができる。

2　部局等技術責任者は、部局等情報システムの構成の決定や技術的問題に対する処置を担当する。

3　部局等技術責任者は、部局等技術担当者に対して、情報セキュリティポリシー及び関係規則等の遵守を確実にするための教育を実施する。

(部局等技術担当者)

第10条　部局等技術責任者は、当該部局の情報システムの管理業務において必要な単位ごとに、部局等技術担当者を置く。部局等技術担当者は部局等技術責任者が推薦し、部局等総括責任者が任命する。なお、部局等技術責任者自ら部局等技術担当者を兼務することができる。

2　部局等技術担当者は、部局等技術責任者の指示により、部局等の情報システムの運用の技術的実務を担当し、利用者への教育補助を行う。

(情報セキュリティ監査責任者)

第11条　CISOは、情報セキュリティ監査責任者を置く。

2　情報セキュリティ監査責任者は、CISOの推薦により学長が任命する。

3　情報セキュリティ監査責任者は、CISOの指示に基づき、情報セキュリティ監査に関する事務を総括する。

(情報セキュリティ監査)

第12条　情報セキュリティ監査責任者は、情報システムが情報セキュリティポリシー及び関係規則等に従って実施されていることを監査し、その結果をCISOに報告する。

2　情報セキュリティ監査に関し必要な事項は、CISOが別に定める。

(情報セキュリティインシデント対応チーム)

第13条　CISOは、本法人において発生した情報セキュリティインシデントに対処するため、本法人に情報セキュリティインシデント対応チーム（以下「琉球大学CSIRT」という。）を置く。

2　琉球大学CSIRTに関し必要な事項は、CISOが別に定める。

(全学情報システム運用委員会)

第14条　本法人情報システムの円滑な運用に必要な事項を定めるため、本法人に全学情報システム運用委員会を置く。

2　全学情報システム運用委員会に関し必要な事項は、学長が別に定める。

(役割の分離)

第15条　情報セキュリティ対策の運用において、次の各号に掲げる役割を同じ者が兼務してはならない。

(1)　承認又は許可（以下「承認等」という。）が必要になる事案における申請者とその承認等を行う者（以下「承認等権限者」という。）

(2)　監査を受ける者とその監査を実施する者

2　承認等権限者が有する職務上の権限等から、当該承認等権限者が承認等の可否の判断を行うことが不適切と認められる場合には、当該承認等権限者の上司に承認等の申請をする。この場合において、当該承認等権限者の上司の承認等を得たときは、当該承認等権限者の承認等を得ることを要しない。

(情報の格付け)

第16条　全学情報システム運用委員会は、情報システムで取り扱う情報について、電磁的記録については機密性、完全性及び可用性の観点から、書面については機密性の観点から当該情報の格付け及び取扱制限の指定並びに明示等の規定を整備する。

2　情報の格付けに関し必要な事項は、CISOが別に定める。

(本法人外の情報セキュリティ水準の低下を招く行為の防止)

第17条　CISOは、本法人外の情報セキュリティ水準の低下を招く行為の防止に関する措置についての規定を整備する。

2　本法人情報システムを運用・管理する者、並びに利用者及び臨時利用者は、本法人外の情報セキュリティ水準の低下を招く行為の防止に関する措置を講ずる。

(雑則)

第18条　この規程に定めるもののほか、本法人の情報システムの運用及び管理に関し必要な事項は、CIOが別に定める。

(改廃)

第19条　この規程の改廃は、全学情報システム運用委員会の審議、教育研究評議会及び役員会の議を経て学長が行う。

附　則

この規程は、令和6年4月1日から施行する。