○公立大学法人長岡造形大学情報セキュリティ対策基本規程
(目的)
第1条 この規程は、公立大学法人長岡造形大学(以下「法人」という。)における情報及び情報システムの情報セキュリティ対策について基本的な事項を定め、もって法人の保有する情報の保護と活用及び情報セキュリティ水準の適切な維持向上を図ることを目的とする。
(適用範囲)
第2条 この規程において適用対象とする者は、全ての教職員、並びに法人の情報システムの利用者及び臨時利用者(以下「利用者等」という。)とする。
2 この規程において適用対象とする情報は、以下とする。
(1) 教職員等が職務上使用することを目的として法人が調達し、又は開発した情報処理若しくは通信の用に供するシステム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)
(2) その他の情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)であって、教職員等が職務上取り扱う情報
(3) 前2号のほか、法人が調達し、又は開発した情報システムの設計又は運用管理に関する情報
3 この規程において適用対象とする情報システムは、この規程の適用対象となる情報を取り扱う全ての情報システムとする。
(定義)
第3条 この規程における用語は、次の各号に定めるところによる。
(1) この規程において「外部サービス」とは、学外の者が一般向けに情報システムの一部又は全部の機能を提供するものをいう。ただし、当該機能において法人の情報が取り扱われる場合に限る。
(2) この規程において「外部サービス管理者」とは、外部サービスの利用における利用申請の許可権限者から利用承認時に指名された当該外部サービスに係る管理を行う者をいう。
(3) この規程において「外部サービス提供者」とは、外部サービスを提供する事業者をいう。外部サービスを利用して法人に向けて独自のサービスを提供する事業者は含まれない。
(4) この規程において「外部サービス利用者」とは、外部サービスを利用する法人の利用者等又は業務委託した委託先において外部サービスを利用する場合の委託先の従業員をいう。
(6) この規程において「機器等」とは、情報システムの構成要素(サーバ装置、端末、通信回線装置、複合機、特定用途機器等、ソフトウェア等)、外部電磁的記録媒体等の総称をいう。
(7) この規程において「教職員等」とは、法人の役員及び、長岡造形大学に勤務する常勤又は非常勤の教職員(派遣職員を含む)その他、部局総括責任者が認めた者をいう。教職員等には、個々の勤務条件にもよるが、例えば、派遣労働者、一時的に受け入れる研修生等も含まれている。
(8) この規程において「業務委託」とは、法人の業務の一部又は全部について、契約をもって外部の者に実施させることをいう。「委任」「準委任」「請負」といった契約形態を問わず、全て含むものとする。ただし、当該業務において法人の情報を取り扱わせる場合に限る。
(9) この規程において「記録媒体」とは、情報が記録され、又は記載される有体物をいう。記録媒体には、文字、図形等人の知覚によって認識することができる情報が記載された紙その他の有体物(以下「書面」という。)と、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、情報システムによる情報処理の用に供されるもの(以下「電磁的記録」という。)に係る記録媒体(以下「電磁的記録媒体」という。)がある。また、電磁的記録媒体には、サーバ装置、端末、通信回線装置等に内蔵される内蔵電磁的記録媒体と、USBメモリ、外付けハードディスクドライブ、DVD―R等の外部電磁的記録媒体がある。
(10) この規程において「サーバ装置」とは、情報システムの構成要素である機器のうち、通信回線等を経由して接続してきた端末等に対して、自らが保持しているサービスを提供するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、特に断りがない限り、法人が調達又は開発するものをいう。
(11) この規程において「Computer Security Incident Response Team(以下「CSIRT(シーサート)」という。)」とは、法人において発生した情報セキュリティインシデントに対処するため、法人に設置された体制をいう。
(12) この規程において「実施手順」とは、対策基準に定められた対策内容を個別の情報システムや業務において実施するため、あらかじめ定める必要のある具体的な手順をいう。
(13) この規程において「情報」とは、本規程第2条第2項に定めるものをいう。
(14) この規程において「情報システム」とは、ハードウェア及びソフトウェアから成るシステムであって、情報処理又は通信の用に供するものをいい、特に断りのない限り、法人が調達又は開発するもの(管理を外部委託しているシステムを含む。)をいう。
(15) この規程において「情報セキュリティインシデント」とは、JIS Q 27000:2019における情報セキュリティインシデントをいう。
(16) この規程において「情報セキュリティ関連規程」とは、対策基準及び実施手順を総称したものをいう。
(17) この規程において「情報セキュリティ対策推進体制」とは、法人の情報セキュリティ対策の推進に係る事務を遂行するため、学内に設置された体制をいう。
(18) この規程において「対策基準」とは、法人における情報及び情報システムの情報セキュリティを確保するための対策の基準として定める「情報セキュリティ対策基準」をいう。
(19) この規程において「端末」とは、情報システムの構成要素である機器のうち、利用者等が情報処理を行うために直接操作するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、特に断りがない限り、法人が調達又は開発するものをいう。端末には、モバイル端末も含まれる。特に断りを入れた例としては、法人が調達又は開発するもの以外を指す「法人支給以外の端末」がある。また、法人が調達又は開発した端末と法人支給以外の端末の双方を合わせて「端末(支給外端末を含む)」という。
(20) この規程において「通信回線」とは、複数の情報システム又は機器等(法人が調達等を行うもの以外のものを含む。)の間で所定の方式に従って情報を送受信するための仕組みをいい、特に断りのない限り、法人の情報システムにおいて利用される通信回線を総称したものをいう。通信回線には、法人が直接管理していないものも含まれ、その種類(有線又は無線、物理回線又は仮想回線等)は問わない。
(21) この規程において「通信回線装置」とは、通信回線間又は通信回線と情報システムの接続のために設置され、回線上を送受信される情報の制御等を行うための装置をいう。通信回線装置には、いわゆるハブやスイッチ、ルータ等のほか、ファイアウォール等も含まれる。
(22) この規程において「ポリシー」とは、法人が定める「公立大学法人長岡造形大学情報セキュリティ対策基本方針」及びこの規程をいう。
(23) この規程において「モバイル端末」とは、端末のうち、必要に応じて移動させて使用することを目的としたものをいい、端末の形態は問わない。
(24) この規程において「要管理対策区域」とは、法人の管理下にある区域(学外組織から借用している施設等における区域を含む。)であって、取り扱う情報を保護するために、施設及び執務環境に係る対策が必要な区域をいう。
(25) この規程において「利用者」とは、教職員等及び学生等で、法人の情報システムを利用する許可を受けて利用するものをいう。
(26) この規程において「臨時利用者」とは、教職員等及び学生等以外の者で、法人の情報システムを臨時に利用する許可を受けて利用するものをいう。
(全学総括責任者)
第4条 理事長を法人における情報セキュリティに関する事務を統括する全学総括責任者とする。
2 全学総括責任者を助けて法人における情報セキュリティに関する事務を整理し、全学総括責任者の命を受けて法人の情報セキュリティに関する事務を統括する全学総括副責任者1人を必要に応じて置く。
3 全学総括責任者は、次に掲げる事務を統括する。
(1) 情報セキュリティ対策推進のための組織・体制の整備
(2) 情報セキュリティ対策基準の決定、見直し
(3) 対策推進計画の決定、見直し
(4) 情報セキュリティインシデントに対処するために必要な指示その他の措置
(5) 前各号に掲げるもののほか、情報セキュリティに関する重要事項
(委員会)
第5条 全学総括責任者は、対策基準等の審議を行う機能を持つ組織として、情報セキュリティ対策推進体制及びその他業務を審議する場を総務委員会に置く。
2 総務委員会は、次に掲げる事項を審議する。
(1) 情報セキュリティ対策基準
(2) 対策推進計画
(3) 前各号に掲げるもののほか、情報セキュリティに関し必要な事項
(情報セキュリティ監査責任者)
第6条 副理事長を、全学総括責任者の指示に基づき実施する監査に関する事務を統括する情報セキュリティ監査責任者とする。
2 情報セキュリティ監査責任者は、次の事務を統括する。
(1) 監査実施計画の策定
(2) 監査実施体制の整備
(3) 監査の実施指示及び監査結果の全学総括責任者への報告
(4) 前各号に掲げるもののほか、情報セキュリティの監査に関する事項
(全学実施責任者・部局総括責任者の設置)
第7条 事務局長を、法人全体の情報セキュリティ対策に関する事務を統括する全学実施責任者とする。
2 全学実施責任者は、情報セキュリティ対策を推進するため、次の事務を統括する。
(1) 要管理対策区域の決定並びに当該区域における施設及び環境に係る対策の決定
(2) 情報セキュリティ対策に関する実施手順の整備及び見直し並びに実施手順に関する事務の取りまとめ
(3) 情報セキュリティ対策に係る教育実施計画の策定及び当該実施体制の整備
(4) 例外措置の適用審査記録の台帳整備等
(5) 情報セキュリティインシデントに対処するための緊急連絡窓口の整備等
(6) 前各号に掲げるもののほか、情報セキュリティ対策に係る事務
3 事務局長、学部長、研究科長を、業務の特性等から同質の情報セキュリティ対策の運用が可能な組織のまとまりごとに、情報セキュリティ対策に関する事務を統括する部局総括責任者とする。
4 部局総括責任者は、管理を行う組織のまとまりにおける情報セキュリティ対策を推進するため、次の事務を統括する。
(1) 定められた区域ごとの区域部局総括責任者の設置
(2) 部局の職場情報セキュリティ責任者の設置
(3) 情報システムごとの部局技術責任者の設置
(4) 情報セキュリティインシデントの原因調査、再発防止策等の実施
(5) 情報セキュリティに係る自己点検計画の策定及び実施手順の整備
(6) 前各号に掲げるもののほか、管理を行う組織のまとまりの情報セキュリティ対策に関する事務
(事務)
第8条 施設・業務管理課は、全学実施責任者の指示により、以下の各号に定める事務を行う。
(1) 法人の情報システムの運用と利用におけるポリシーの実施状況の取りまとめ
(2) 講習計画、リスク管理及び非常時行動計画等の実施状況の取りまとめ
(3) 法人の情報システムのセキュリティに関する連絡と通報
(4) 全学総括責任者及び全学実施責任者の支援
(区域情報セキュリティ責任者の設置)
第9条 施設・業務管理課長を、別に定める区域ごとに、当該区域における情報セキュリティ対策の事務を統括する区域情報セキュリティ責任者とする。
2 区域情報セキュリティ責任者は、定められた区域における施設及び環境に係る情報セキュリティ対策に関する事務を統括する。
(1) 部局 課長、学科長、研究科長
(2) センター センター長
(3) 図書館 附属図書館長
(4) 委員会 委員長
(5) 事務組織 事務局長
(6) 研究室 管理する教育職員
2 職場情報セキュリティ責任者は、教室、研究室、事務室等の管理組織単位における情報の取扱いその他の情報セキュリティ対策に関する事務を統括する。
(部局情報セキュリティ委員会)
第11条 必要に応じて事務局、学部、大学院に部局情報セキュリティ委員会を置く。
2 部局情報セキュリティ委員会は以下の各号に掲げる事項を実施する。
(1) 部局におけるポリシーの遵守状況の調査と周知徹底
(2) 部局におけるリスク管理及び非常時行動計画の策定及び実施
(3) 部局における情報セキュリティインシデントの再発防止策の策定及び実施
(4) 部局における部局技術担当者向け教育の計画と企画
(部局情報セキュリティ委員会の構成員)
第12条 部局情報セキュリティ委員会は、次の各号に掲げる者をもって構成する。
(1) 部局技術責任者
(2) 部局技術担当者
(3) その他部局総括責任者が必要と認める者
(部局情報セキュリティ委員会の委員長)
第13条 部局情報セキュリティ委員会に委員長を置き、部局技術責任者をもって充てる。
(部局技術責任者の設置)
第14条 事務局長、学部長、研究科長を、所管する情報システムに対する情報セキュリティ対策に関する事務の責任者である部局技術責任者とする。
2 部局技術責任者は、情報システムにおける情報セキュリティ対策に関する事務を担う。
3 施設・業務管理課長を、部局技術担当者とする。
(全学情報セキュリティアドバイザーの設置)
第15条 全学総括責任者は、情報セキュリティについて専門的な知識及び経験を有する者として全学情報セキュリティアドバイザーを置く。
2 全学総括責任者は、以下を例とする全学情報セキュリティアドバイザーの業務内容を定める。
(1) 全学の情報セキュリティ対策の推進に係る全学総括責任者及び全学総括副責任者への助言
(2) 情報セキュリティ関係規程の整備に係る助言
(3) 対策推進計画の策定に係る助言
(4) 教育実施計画の立案に係る助言並びに教材開発及び教育実施の支援
(5) 情報システムに係る技術的事項に係る助言
(6) 情報システムの設計・開発を外部委託により行う場合に調達仕様に含めて提示する情報セキュリティに係る要求仕様の策定に係る助言
(7) 利用者に対する日常的な相談対応
(8) 情報セキュリティインシデントへの対処の支援
(9) 前各号に掲げるもののほか、情報セキュリティ対策への助言又は支援
(情報セキュリティ対策推進体制の整備)
第16条 全学総括責任者は、以下を含む情報セキュリティ対策推進体制を整備し、その役割を規定する。
(1) 情報セキュリティ関係規程及び対策推進計画の策定に係る事務
(2) 情報セキュリティ関係規程の運用に係る事務
(3) 例外措置に係る事務
(4) 情報セキュリティ対策の教育の実施に係る事務
(5) 情報セキュリティ対策の自己点検に係る事務
(6) 情報セキュリティ関係規程及び対策推進計画の見直しに係る事務
2 全学総括責任者は、情報セキュリティ対策推進体制の責任者を定める。
(情報セキュリティインシデントに備えた体制の整備)
第17条 全学総括責任者は、CSIRTを整備し、その役割を明確化する。
2 全学総括責任者は、教職員等のうちからCSIRTに属する職員として専門的な知識又は適性を有すると認められる者を選任する。そのうち、法人における情報セキュリティインシデントに対処するための責任者としてCSIRT責任者を置く。また、CSIRT内の業務統括及び外部との連携等を行う教職員等を定める。
3 全学総括責任者は、情報セキュリティインシデントが発生した際、直ちに自らへの報告が行われる体制を整備する。
4 全学総括責任者は、以下を含むCSIRTの役割を規定する。
(1) 法人に関わる情報セキュリティインシデント発生時の対処の一元管理
ア 全学における情報セキュリティインシデント対処の管理
イ 情報セキュリティインシデントの可能性の報告受付
ウ 法人における情報セキュリティインシデントに関する情報の集約
エ 情報セキュリティインシデントの全学総括責任者等への報告
オ 情報セキュリティインシデントへの対処に関する指示系統の一本化
(2) 情報セキュリティインシデントへの迅速かつ的確な対処
ア 情報セキュリティインシデントであるかの評価
イ 被害の拡大防止を図るための応急措置の指示又は勧告を含む情報セキュリティインシデントへの対処全般に関する指示、勧告又は助言
ウ 文部科学省への連絡
エ 外部専門機関等からの情報セキュリティインシデントに係る情報の収集
オ 他の機関等への情報セキュリティインシデントに係る情報の共有
カ 情報セキュリティインシデントへの対処に係る専門的知見の提供、対処作業の実施
5 全学総括責任者は、実務担当者を含めた実効性のあるCSIRT体制を構築する。
6 全学総括責任者は、情報セキュリティインシデントが発生した際に、情報セキュリティインシデント対処に関する知見を有する外部の専門家等による必要な支援を速やかに得られる体制を構築する。
7 全学総括責任者は、全学における情報セキュリティインシデント対処について、CSIRT、情報セキュリティインシデントの当事者部局及びその他関連部局の役割分担を規定する。
(事業継続計画)
第18条 全学実施責任者は、非常時等でも法人の事業が継続できるよう、対策基準に記載されている情報セキュリティ対策を実施する。
(兼務を禁止する役割)
第19条 教職員等は、情報セキュリティ対策の運用において、以下の役割を兼務しない。
(1) 承認又は許可(以下本条において「承認等」という。)の申請者と当該承認を行う者(以下、本条において「承認権限者等」という。)
(2) 監査を受ける者とその監査を実施する者
2 教職員等は、承認等を申請する場合において、自らが承認権限者等であるときその他承認権限者等が承認等の可否の判断をすることが不適切と認められるときは、当該承認権限者等の上司又は適切な者に承認等を申請し、承認等を得る。
(対策基準)
第20条 法人における対策基準は、サイバーセキュリティ戦略本部決定「政府機関等のサイバーセキュリティ対策のための統一基準群」に準拠する。
附則
この規程は、令和6年4月1日から施行する。