○国立大学法人福島大学情報システム運用基本規則
平成24年3月6日
(目的)
第1条 この規則は、国立大学法人福島大学(以下「本学」という。)における情報システムの運用及び管理について必要な事項を定め、もって本学が保有する情報の保護及び活用並びに適切な情報セキュリティ対策を図ることを目的とする。
(適用範囲)
第2条 この規則は、本学情報システムを運用及び管理する者並びに利用者及び臨時利用者に適用する。
一 情報システム
情報処理及び情報ネットワークに係わるシステムで、次のものをいう。
イ 本学により、所有又は管理されているもの
ロ 本学との契約あるいは他の協定に従って提供されるもの
ハ 本学情報ネットワークに接続されるもの
二 情報
情報とは、次のものをいう。
イ 情報システム内部に記録された情報
ロ 情報システム外部の電磁的記録媒体に記録された情報
ハ 情報システムに関係がある書面に記載された情報
三 情報資産
情報システム及び前号に規定する情報をいう。
四 ポリシー
本学が定める国立大学法人福島大学情報システム運用基本方針及びこの規則をいう。
五 実施規程
ポリシーに基づいて策定される規程、基準及び計画をいう。
六 手順
実施規程に基づいて策定される具体的な手順、マニュアル及びガイドラインをいう。
七 利用者
教職員等及び学生等で、本学情報システムを利用する許可を受けて利用する者をいう。
八 教職員等
本学の役員、本学に勤務する常勤又は非常勤の教職員(派遣職員を含む。)その他全学実施責任者が認めた者をいう。
九 学生等
本学の学生(附属学校園における幼児、児童及び生徒を含む。)、科目等履修生、研究生及び聴講生等をいう。
十 臨時利用者
教職員等及び学生等以外の者で、本学情報システムを臨時に利用する許可を受けて利用する者をいう。
十一 情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
十二 電磁的記録
電子的方式、磁気的方式その他の人の知覚によっては認識することができない方式で作られる記録であって、コンピュータによる情報処理の用に供されるものをいう。
十三 情報セキュリティインシデント
情報セキュリティに関し、意図的又は偶発的に生じる、本学の規則等又は法令に反する事故又は事件をいう。
十四 CSIRT
本学において発生した情報セキュリティインシデントに対処するため、本学に設置された体制をいう。Computer Security Incident Response Teamの略。
十五 明示等
情報を取り扱うすべての者が当該情報の格付けについて共通の認識となるように措置することをいう。
十六 部局
十七 部局長
前号に規定する部局の長をいう。
(全学総括責任者)
第4条 本学情報システムの運用に責任を持つ者として、本学に全学総括責任者を置き、副学長のうち学長が指名した者をもって充てる。
2 全学総括責任者は、ポリシー、実施規程及び手順の決定並びに情報システム上での各種問題に対する処置を行う。
3 全学総括責任者は、全学の情報基盤として供される本学情報システムのうち情報セキュリティが侵害された場合の影響が特に大きいと評価される情報システムを指定することができる。この指定された情報システムを全学情報システムという。
4 全学総括責任者は、全学向け教育及び全学情報システムの担当者向け教育を統括する。
5 全学総括責任者に事故があるときは、あらかじめ全学総括責任者が指名した者が、その職務を代行する。
6 全学総括責任者は、情報セキュリティに関する専門的な知識及び経験を有する情報セキュリティアドバイザーを置くことができる。
(情報システム運用委員会)
第5条 全学総括責任者は、本学の情報セキュリティ対策に関する事項を審議するため、情報システム運用委員会を置く。
2 前項に規定する委員会に関し必要な事項は、別に定める。
(全学実施責任者)
第6条 本学に全学実施責任者を置き、全学総括責任者が指名する。
2 全学実施責任者は、全学総括責任者が兼ねることができる。
3 全学実施責任者は、全学総括責任者の指示により、本学情報システムの整備及び運用に関し、ポリシー、実施規程及び手順の実施を行う。
4 全学実施責任者は、情報システムの運用に携わる者及び利用者に対して、情報システムの運用及び利用並びに情報システムのセキュリティに関する教育を企画し、ポリシー、実施規程及び手順の遵守を確実にするための教育を実施する。
5 全学実施責任者は、本学情報システムのセキュリティに関する連絡及び通報において本学情報システムを代表する。
(管理運営部局)
第7条 本学に情報システムの管理運営部局を置き、情報基盤センター(支援する事務組織を含む。)をもって充てる。
2 管理運営部局は、全学実施責任者の指示により、次の各号に掲げる事項を行う。
一 情報システム運用委員会の運営に関する事務
二 本学情報システムの運用及び利用におけるポリシーの実施状況の取りまとめ
三 講習計画、リスク管理及び非常時行動計画等の実施状況の取りまとめ
四 本学情報システムのセキュリティに関する連絡及び通報
五 部局への技術的支援
(部局総括責任者)
第8条 各部局に部局総括責任者を置き、部局長をもって充てる。
2 部局総括責任者は、部局における運用方針の決定及び情報システム上での各種問題に対する処置を担当する。
3 部局総括責任者は、管理運営部局の技術的支援の下、次の各号に掲げる事項を実施する。
一 部局におけるポリシーの遵守状況の調査及び周知徹底
二 部局におけるリスク管理並びに非常時行動計画の策定及び実施
三 部局における情報セキュリティインシデントの再発防止策の策定及び実施
四 部局における部局情報システムの構成の決定又は問題に対する処置
(部局情報システム運用委員会)
第9条 部局総括責任者は、部局に前条第3項に規定する事項を実施するための委員会を置くことができる。
2 前項に規定する委員会の構成員は、部局総括責任者が指名する。
(部局情報システム担当者)
第10条 部局に、情報システムの管理業務において必要な単位ごとに部局情報システム担当者を置く。
2 部局情報システム担当者は、部局総括責任者が指名する。
3 部局情報システム担当者は、管理運営部局の技術的支援の下、部局における情報システムの運用及び管理を担当する。
(情報セキュリティインシデントに備えた体制)
第10条の2 全学総括責任者は、本学におけるインシデントに対応する組織として国立大学法人福島大学情報セキュリティインシデント対応チーム(以下「福島大学CSIRT」という。)を置く。
2 福島大学CSIRTに関し必要な事項は、別に定める。
(役割の分離)
第11条 情報セキュリティ対策の運用において、承認又は許可事案の申請者とその承認又は許可を行う者(以下「承認権限者等」という。)は同じ者が兼務してはならない。
2 前項の規定にかかわらず、教職員等は、承認権限者等が有する職務上の権限等から、当該承認権限者等が承認又は許可(以下「承認等」という。)の可否の判断を行うことが不適切と認められる場合には、当該承認権限者等の上司に承認等の申請をするものとする。この場合において、当該承認権限者等の上司の承認等を得たときは、当該承認権限者等の承認等を得ることを要しない。
3 教職員等は、前項の場合において承認等を与えたときは、承認権限者等に係る遵守事項に準じて、措置を講ずる。
(情報の格付け)
第12条 情報システム運用委員会は、情報システムで取り扱う情報について、電磁的記録については機密性、完全性及び可用性の観点から、書面については機密性の観点から当該情報の格付け及び取扱制限の指定並びに明示等の規定を整備する。
(本学外の情報セキュリティ水準の低下を招く行為の防止)
第13条 全学実施責任者は、本学外の情報セキュリティ水準の低下を招く行為を防止する措置に関する規定を整備する。
2 本学情報システムを運用及び管理する者並びに利用者及び臨時利用者は、本学外の情報セキュリティ水準の低下を招く行為の防止に関する措置を講じなければならない。
(情報システム運用の外部委託管理)
第14条 全学総括責任者は、本学情報システムの運用業務のすべて又はその一部を第三者に委託する場合には、当該第三者による情報セキュリティの確保が徹底されるよう必要な措置を講ずるものとする。
(情報セキュリティ監査)
第15条 監査は、ポリシー、実施規程及び手順による情報セキュリティ対策の実施状況について行う。
2 監査に関し必要な事項は、別に定める。
(見直し)
第16条 ポリシー、実施規程及び手順を整備した者は、各規定の見直しを行う必要性の有無を適時検討し、必要があると認めた場合にはその見直しを行う。
2 本学情報システムを運用及び管理する者並びに利用者及び臨時利用者は、自らが実施した情報セキュリティ対策に関連する事項に課題及び問題点が認められる場合には、当該事項の見直しを行う。
附則
この規則は、平成24年4月1日から施行する。
附則
この規則は、平成25年9月3日から施行し、平成25年7月1日から適用する。
附則
この規則は、平成28年4月1日から施行する。
附則
この規則は、平成30年4月1日から施行する。
附則
この規則は、平成31年1月15日から施行する。
附則
この規則は、平成31年4月1日から施行する。
附則
この規則は、令和4年4月1日から施行する。
附則
この規則は、令和5年4月1日から施行する。
附則
この規則は、令和6年4月1日から施行する。