国立大学法人 総合研究大学院大学 規程集(学外)

トップページに戻る
最上位 > 第11編 学術情報基盤センター
国立大学法人総合研究大学院大学情報セキュリティ基本規程
平成29年6月28日
法人規程第16号 
(目的)
第1条 この規程は、国立大学法人総合研究大学院大学(以下「法人」という)及び法人が設置する総合研究大学院大学(以下「大学」という。)における情報資産を内外の脅威から守るために、国立大学法人総合研究大学院大学情報セキュリティ基本方針(平成29年法人規則第10号。以下「基本方針」という。)に則り、法人情報基盤及び大学情報システムの運用、管理及び利用並びにセキュリティ対策に関する取り扱い等の基本的事項を定めるものとする。 
(定義) 
第2条 この規程において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。 
一 情報システム 
  ハードウェア及びソフトウェアから成るシステムであって、情報処理及び通信の用に供するものをいう。 
二 機器等 
  情報システムの構成要素(サーバ装置、端末、複合機、特定用途機器等、ソフトウェア等)、通信回線装置、外部電磁的記録媒体等の総称をいう。 
三 通信回線 
  複数の情報システム又は機器等の間で所定の方式に従って情報を送受信するための仕組みをいい、別の定めがない限り、法人又は大学の情報システムにおいて利用される通信回線を総称したものとする。また、通信回線には、法人又は大学が直接管理していないものも含み、その種類(有線又は無線、物理回線又は仮想回線等)は問わない。
四 通信回線装置 
  通信回線間若しくは通信回線と情報システム又は機器等の接続のために設置され、回線上を送受信される情報の制御等を行うための装置をいい、ハブやスイッチルータ等のほか、ファイアウォール等を含む。 
五 法人情報基盤 
  法人の情報処理及び通信の用に供する、情報システム、通信回線及び通信回線装置等で、次のものをいう。 
(1)法人により所有又は運用・管理されているもの 
(2)法人との契約又はその他の協定等に従って提供されるもの 
六 大学情報システム 
  大学の情報処理及び通信の用に供する、情報システム及び通信回線装置等で、大学により運用・管理されているものをいう。
七 情報 
  法人又は大学がその業務(教育・研究を含む。)で取り扱う情報で、次のものを含む。 
(1)情報システム内部に記録された情報 
(2)情報システム外部の電磁的記録媒体に記録された情報 
(3)情報システムに関係がある書面に記載された情報 
八 情報資産 
  情報システム並びに情報システム内部に記録された情報、情報システム外部の電磁的記録媒体に記録された情報及び情報システムに関係がある書面に記載された情報をいう。 
九 ポリシー 
   基本方針及びこの規程をいう。
十 実施規程等 
  ポリシーに基づいて策定される規程、基準及び計画等をいう。 
十一 手順等 
  実施規程等に基づいて策定される具体的な手順やマニュアル、ガイドライン等をいう。 
十二 教職員等 
  法人の役員及び職員(派遣職員を含む。)並びに大学の担当教員(大学の教育研究に従事するものとして機構等法人の長の申し出により学長に任命された教員をいう。)、その他統括情報責任者が承認した者をいう。
十三 学生等 
  大学の学生(科目等履修生、聴講生及び研究生を含む。以下同じ)、研究員等、その他統括情報責任者が承認した者をいう。
十四 利用者 
  教職員等、学生等及び修了生で、法人情報基盤又は大学情報システムを利用する許可を受けて利用するものをいう。 
十五 臨時利用者 
  教職員等、学生等及び修了生以外の者で、法人情報基盤又は大学情報システムを臨時に利用する許可を受けて利用するものをいう。 
十六 部局 
  先導科学研究科、学融合推進センター及び学術情報基盤センターで構成される「統合部局」及び事務局をいう。 
十七 基盤部局 
  研究科(先導科学研究科を除く。)及び専攻(先導科学研究科に置く専攻を除く。)をいう。 
十八 情報セキュリティ 
  情報資産の機密性、完全性及び可用性を維持することをいう。 
十九 電磁的記録 
  電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、コンピュータによる情報処理の用に供されるものをいう。
二十 情報セキュリティインシデント 
  情報セキュリティに関し、意図的又は偶発的に生じる、法令若しくは法人の規則に反する事故又は事件をいう。 
二十一 CSIRT(シーサート)
  法人情報基盤又は大学情報システムにおける情報セキュリティインシデントに備えた体制をいう。Computer Security Incident Response Team の略。 
二十二 明示等 
  情報を取り扱う全ての者が当該情報の格付について共通の認識となるようにする措置をいう。明示等には、情報ごとに格付を記載することによる明示のほか、当該情報の格付に係る認識が共通となるその他の措置(特定の情報システムに記録される情報について、その格付を実施規程等に明記するとともに、当該情報システムを利用する全ての者に周知すること等)を含む。
(適用範囲)
第3条 この規程は、法人情報基盤及び大学情報システムを運用・管理するすべての者並びに利用者及び臨時利用者に適用する。
2 法人又は大学が運用・管理していない機器等であっても、法人情報基盤又は大学情報システムに接続した場合はこの規程の対象とする。 
3 教職員等が大学業務を基盤機関の情報システムにおいて行う場合は、当該基盤機関又は当該基盤機関を設置する機構等法人の情報セキュリティポリシー及び情報セキュリティに関する規程(以下「基盤機関の情報セキュリティポリシー等」という。)を遵守しなければならない。また、大学の学生が基盤機関の情報システムを利用する場合は、当該基盤機関の情報セキュリティポリシー等を遵守しなければならない。 
4 法人又は大学が運用・管理する機器等であっても、基盤機関又は機構等法人の情報システム、通信回線又は通信回線装置に接続した場合は、当該基盤機関の情報セキュリティポリシー等を優先的に遵守しなければならない。 
(最高情報総括責任者) 
第4条 法人に、最高情報総括責任者を置き、学長が指名する理事をもって充てる。 
2 最高情報総括責任者は、最高情報責任者として法人情報基盤及び大学情報システムの整備及び運用・管理を統括する。 
3 最高情報総括責任者は、最高情報セキュリティ責任者として法人及び大学の情報セキュリティを統括する。 
4 最高情報総括責任者は、ポリシー及び実施規程等の整備を統括する。
5 最高情報総括責任者は、講習計画に従った情報セキュリティ教育を統括する。
6 最高情報総括責任者は、法人情報基盤及び大学情報システムの運用リスク評価等の調査を統括する。 
7 最高情報総括責任者に事故があるときは、最高情報総括責任者があらかじめ指名する者が、その職務を代行する。 
(統括情報責任者) 
第5条 法人に、統括情報責任者を置く。 
2 統括情報責任者は、最高情報総括責任者が候補者を推薦し、学長が任命する。 
3 統括情報責任者は、最高情報総括責任者の指示により、法人情報基盤及び大学情報システムの整備、管理及び運用に関し、ポリシー、実施規程等及び手順等が遵守されるよう指導監督する。 
4 統括情報責任者は、法人情報基盤及び大学情報システムの運用・管理に携わる者及び利用者に対して、情報システムの運用・管理及び利用並びに情報セキュリティに関する教育を企画し、ポリシー、実施規程等及び手順等の遵守を確実にするための教育を実施する。 
5 統括情報責任者は、情報セキュリティに関する連絡と通報において法人及び大学を代表する。 
(情報セキュリティ監査責任者) 
第6条 法人に、情報セキュリティ監査責任者を置き、学長が任命する。 
2 情報セキュリティ監査責任者は、情報セキュリティ監査に関する事務を統括する。 
(情報セキュリティアドバイザー) 
第7条 法人に、情報セキュリティアドバイザーを置く。 
2 情報セキュリティアドバイザーは、情報セキュリティについて専門的な知識及び経験を有する者とし、その業務内容は、最高情報総括責任者が別に定める。
(整備、管理及び運用) 
第8条 法人情報基盤及び大学情報システムの整備、管理及び運用は、最高情報総括責任者の総括の下、学術情報基盤センター情報基盤整備推進部が実施する。 
2 前項の規定にかかわらず、最高情報総括責任者が認めた場合は、部局又は基盤部局が法人情報基盤又は大学情報システムを整備、管理及び運用することができる。 
(整備、管理及び運用に伴う事務) 
第9条 学術情報基盤事務室は、最高情報総括責任者の総括の下、次の各号に定める事務を行う。 
一 法人情報基盤及び大学情報システムの運用・管理と利用におけるポリシーの実施状況の取りまとめ 
二 講習計画及びリスク評価の実施状況の取りまとめ 
三 法人情報基盤及び大学情報システムの情報セキュリティに関する連絡 
(部局総括責任者及び補佐) 
第10条 各部局に部局総括責任者を置き、部局長をもって充てる。ただし、統合部局の部局総括責任者は、学術情報基盤センター長をもって充てる。 
2 部局総括責任者は、部局が運用・管理する法人情報基盤及び大学情報システムの整備・管理・運用方針の決定並びに各種問題に対する処置を担当する。 
3 統合部局に、部局総括責任者補佐を置き、先導科学研究科長及び学融合推進センター長をもって充てる。 
4 部局総括責任者補佐は、部局総括責任者の業務を補佐する。 
(部局技術責任者) 
第11条 各部局に部局技術責任者を置き、部局総括責任者が任命する。 
2 部局技術責任者は、部局が整備、運用及び管理する法人情報基盤及び大学情報システムの技術的問題に対する処置を担当する。 
3 部局技術責任者は、部局技術担当者及び利用者に対して、ポリシー、実施規程等及び手順等の遵守を確実にするための教育を実施する。 
(部局技術担当者) 
第12条 部局における法人情報基盤及び大学情報システムの運用・管理業務において部局技術責任者が必要と認める単位ごとに、部局技術担当者を置く。 
2 部局技術担当者は、部局技術責任者が候補者を推薦し、部局総括責任者が任命する。なお、部局技術責任者は、自ら部局技術担当者を兼務することができる。 
3 部局技術担当者は、部局技術責任者の指示により、部局における法人情報基盤及び大学情報システムの運用・管理の技術的実務を担当し、利用者への教育を補佐する。 
(区域情報セキュリティ責任者) 
第13条 部局における施設及び環境に係る情報セキュリティ対策を行うために部局総括責任者が定める区域ごとに、区域情報セキュリティ責任者を置き、部局総括責任者が任命する。 
2 区域情報セキュリティ責任者は、定められた区域における施設及び環境に係る情報セキュリティ対策に関する事務を総括する。 
(課室情報責任者の設置) 
第14条 部局における研究室及び事務課室(国立大学法人総合研究大学院大学大学本部組織規程(平成16年法人規程第15号。)第2条第2項に規定する課及び室をいう。次項において同じ。)等の管理組織ごとに、課室情報責任者を置き、部局総括責任者が任命する。 
2 課室情報責任者は、研究室、事務課室等における情報の取扱いその他の情報セキュリティ対策に関する事務を総括する。 
(情報セキュリティ委員会) 
第15条 適切なセキュリティ対策の下、法人情報基盤及び大学情報システムを円滑に運用・管理するための審議機関として、役員会の下に、情報セキュリティ委員会を置く。 
2 情報セキュリティ委員会は、次に掲げる事項を審議する。 
一 ポリシーの改廃 
二 次に掲げる事項の制定及び改廃 
(1)法人情報基盤及び大学情報システムに係る実施規程等及び手順等 
(2)法人情報基盤及び大学情報システムに関する教育の講習計画 
(3)法人情報基盤及び大学情報システムの運用リスクの評価手順 
(4)情報セキュリティ監査規程 
(5)情報システム緊急時行動計画に関する規程 
(6)情報セキュリティインシデント対応手順 
三 法人情報基盤及び大学情報システムに関する教育の実施状況 
四 法人情報基盤及び大学情報システムの運用リスクの評価の実施状況 
五 情報セキュリティインシデントの再発防止策 
六 法人情報基盤及び大学情報システムの企画、整備及び運用・管理方針並びに情報セキュリティ対策 
七 前各号のほか、法人及び大学の情報セキュリティを確保するために必要な事項に関すること 
3 情報セキュリティ委員会の庶務は、学術情報基盤事務室において処理する。 
4 この規程に定めるもののほか、情報セキュリティ委員会に関して必要な事項は別に定める。 
(情報セキュリティ委員会の構成員) 
第16条 情報セキュリティ委員会は、次の各号に掲げる委員をもって組織する。 
一 最高情報総括責任者 
二 統括情報責任者 
三 部局総括責任者 
四 部局総括責任者補佐 
五 部局技術責任者 
六 基盤部局委員 
七 その他最高情報総括責任者が必要と認める者 
2 情報セキュリティ委員会に委員長を置き、最高情報総括責任者をもって充てる。 
3 基盤部局委員は、基盤部局を代表する委員として、研究科長が当該研究科の教員から原則として1名を指名する。なお、研究科長は、自ら基盤部局委員となることができる。 
4 委員長は、必要があると認めるときは、委員以外の者の出席を求め、その意見を聴くことができる。 
(専門委員会の設置) 
第17条 情報セキュリティ委員会の下に、法人情報基盤及び大学情報システムの整備、運用、管理又は情報セキュリティ対策の専門的事項を審議し処理するため、専門委員会を設置することができる。 
2 専門委員会の組織、運営については別に定める。 
(部局情報セキュリティ委員会) 
第18条 各部局に、部局情報セキュリティ委員会を置く。 
2 部局情報セキュリティ委員会は、次の各号に掲げる事項を審議する。 
一 部局におけるポリシーの遵守状況の調査と周知 
二 部局におけるリスク評価 
三 部局における緊急時行動計画の策定 
四 部局における情報セキュリティインシデントの再発防止策の策定 
五 部局における部局技術担当者向け情報セキュリティ教育の企画 
六 部局における法人情報基盤及び大学情報システムの整備に関する企画 
3 この規程に定めるもののほか、部局情報セキュリティ委員会に関して必要な事項は、部局総括責任者が別に定める。 
(部局情報セキュリティ委員会の構成員) 
第19条 部局情報セキュリティ委員会は、次の各号に掲げる委員をもって組織する。 
一 部局総括責任者 
二 部局技術責任者 
三 部局技術担当者 
四 その他部局総括責任者が必要と認める者 
2 部局情報セキュリティ委員会に委員長を置き、部局総括責任者をもって充てる。 
(CSIRTの整備) 
第20条 最高情報総括責任者は、CSIRTを整備する。 
2 最高情報総括責任者は、各部局総括責任者の推薦を受け、各部局に所属する教職員等からCSIRT担当者を選任する。 
3 最高情報総括責任者は、前項の規定により選任したCSIRT担当者のなかから、法人情報基盤及び大学情報システムにおける情報セキュリティインシデントに対処するための責任者としてCSIRT責任者を指名する。 
4 CSIRT責任者は、必要に応じ、学内外の関係機関と、情報セキュリティインシデントに関する情報共有を行う責任者(PoC (Point of Contact))を兼務する。 
5 CSIRT責任者はCSIRT担当者の中から1名のPoC補佐を指名することができる。 
6 PoC補佐は、PoCの業務を補佐する。 
7 この規程に定めるもののほか、CSIRTに関して必要な事項は別に定める。 
(CSIRTの役割) 
第21条 CSIRTの役割は、最高情報総括責任者が別に定める。 
2 前項の定めには、次の各号に掲げる事項を含めるものとする。 
一 情報セキュリティインシデントの通報の受付 
二 被害の拡大防止を図るための応急措置の指示又は勧告 
三 情報セキュリティインシデントの最高情報総括責任者等への報告 
四 対外的な連絡 
(役割の分離) 
第22条 情報セキュリティ対策の運用において、原則として次の各号に掲げる役割を同じ者が兼務してはならない。 
一 承認又は許可(以下、「承認等」という。)の申請者と当該承認等を行う者(以下、「承認権限者等」という。) 
二 監査を受ける者とその監査を実施する者 
2 前項の規定にかかわらず、教職員等は、承認権限者等が有する職務上の権限等から、当該承認権限者等が承認等の可否の判断を行うことが不適切と認められる場合には、当該承認権限者等の上司に承認等の申請をしなければならない。この場合において、当該承認権限者等の上司の承認等を得たときは、当該承認権限者等の承認等を得ることを要しない。 
3 教職員等は、前項の場合において承認等を与えたときは、承認権限者等に係る遵守事項に準じて、措置を講ずる。 
(情報の格付け) 
第23条 最高情報総括責任者は、情報について、電磁的記録については機密性、完全性及び可用性の観点から、書面については機密性の観点から当該情報の格付け及び取扱制限の指定並びに明示等の規定を整備する。
(法人及び大学以外の情報セキュリティ水準の低下を招く行為の防止) 
第24条 統括情報責任者は、法人及び大学以外の情報セキュリティ水準の低下を招く行為の防止に関する措置についての規定を整備する。 
2 法人情報基盤又は大学情報システムを運用・管理する者並びに利用者及び臨時利用者は、法人及び大学以外の情報セキュリティ水準の低下を招く行為の防止に関する措置を講ずる。 
(外部委託管理) 
第25条 最高情報総括責任者は、法人情報基盤又は大学情報システムの運用・管理業務のすべて又はその一部を第三者に委託する場合には、当該第三者による情報セキュリティの確保が徹底されるよう必要な措置を講じる。 
(情報セキュリティ監査) 
第26条 情報セキュリティ監査責任者は、別に定める情報セキュリティ監査規程に基づき、セキュリティ対策が実施規程等及び手順等に従って実施されていることを監査する。 
(見直し) 
第27条 情報セキュリティ委員会は、それぞれ見直しを行う必要性の有無を適時検討し、必要があると認めた場合にはその見直しを行う。 
2 法人情報基盤又は大学情報システムを運用・管理する者並びに利用者及び臨時利用者は、自らが実施した情報セキュリティ対策に関連する事項に課題及び問題点が認められる場合には、当該事項の見直しを行う。 
附 則 
1 この規程は、平成29年7月1日から施行する。 
2 国立大学法人総合研究大学院大学情報セキュリティー・計算機システム委員会規程(平成23年法人規程第20号)、国立大学法人総合研究大学院大学葉山情報ネットワークシステム運用規程(平成19年法人規程第8号)、国立大学法人総合研究大学院大学葉山情報ネットワークシステム利用規程(平成19年法人規程第9号)、国立大学法人総合研究大学院大学葉山本部業務・事務システム運用規程(平成19年法人規程第10号)及び国立大学法人総合研究大学院大学葉山本部教育研究用システム運用規程(平成19年法人規程第11号)は廃止する。ただし、この規程、実施規程等及び手順等に定めがないものは、なお従前の例による。