D1001 基本規程
1. 目的
本規程は、国立大学法人茨城大学(以下「本学」という。)における情報資産および情報システムの運用及び管理について必要な事項を定め、
もって本学の情報の保護と活用及び適切な情報セキュリティ対策を図ることを目的とする
2. 適用範囲
2.1
本基本規程は、本学の情報資産および情報システムを運用・管理する者、並びに利用者に適用する。
2.2
前項の規程は、派遣労働者及び本学の業務を受託した学外の者のうち、本学の情報資産を利用する臨時利用者についても準用する。
3. 定義
本基本規程において、次の各号に掲げる用語は
「
D2599 用語の定義」に定めるところによる。
- 情報システム
- 情報ネットワーク
- 情報資産
- 電磁的記録
- ポリシー
- 実施規程
- 実施手順等
- 利用者等
- 部局等
- 情報セキュリティ
- インシデント
- 明示等
4. 最高情報責任者
4.1
本学に、本学の情報資産の管理運用を総括し、情報戦略を含む情報全般の企画、立案及び実施に関するすべての権限及び責任を有する
者として最高情報責任者(Chief Information Officer。以下「CIO」という。)を置く。
4.2
CIOは、学術担当理事をもって充てる。
4.3
CIOは、ポリシー及びそれに基づく規程の決定や情報資産の運用上での各種問題に対する処置を行う。
4.4
CIOは、全学向け教育及び管理運営部局のシステム管理者向け教育を総括する。
4.5
CIOは、原則として、情報セキュリティに関する専門的な知識及び
経験を有した専門家を情報セキュリティアドバイザーとして置く。
5. 最高情報責任者代理
5.1
CIOは、必要に応じて最高情報責任者代理(以下「CIO代理」という。)を置くことができる。
5.2
CIO代理は、学長が指名した者をもって充てる。
5.3
CIO代理は、CIOがあらかじめ委任した職務を行う。
6. 最高情報責任者補佐
6.1
本学に、最高情報責任者補佐(以下、「CIO補佐」という。)を置く。
6.2
CIO補佐は、情報戦略機構長をもって充てる。
6.3
CIO補佐は、CIOを補佐し、情報資産の管理運用並びに情報戦略を含む情報全般の企画、立案及び実施に関し、技術的支援を行う。
7. 最高情報セキュリティ責任者
7.1
本学に、最高情報セキュリティ責任者(Chief Information Security Officer。以下「CISO」という。)を置く。
7.2
CISOは、情報担当副学長をもって充てる。
7.3
CISOは、情報セキュリティに関するすべての権限及び責任を有する。
7.4
CISOは、情報委員会に対し、情報セキュリティポリシーの策定及びその周知徹底を指示する。
8. 最高情報セキュリティ責任者代理
8.1
CISOは、必要に応じて最高情報セキュリティ責任者代理(以下「CISO代理」という。)を置くことができる。
8.2
CISO代理は、学長が指名した者をもって充てる。
8.3
CISO代理は、CISOがあらかじめ委任した職務を行う。
9. 最高情報セキュリティ責任者補佐
9.1
本学に、最高情報セキュリティ責任者補佐(以下、「CISO補佐」という。)を置く。
9.2
CISO補佐は、情報戦略機構副機構長をもって充てる。
9.3
CISO補佐は、最高情報セキュリティ責任者を補佐し、情報セキュリティに関わる技術的支援を行う。
10. 情報委員会
10.1
本学情報資産の管理運用及び情報セキュリティに関する事項を審議し、必要な事項を決定して周知するため、
茨城大学情報委員会(以下「情報委員会」という。)を置く。
10.2
情報委員会の委員長は、CIOが担当する。
10.3
情報委員会の組織及び運営に関し必要な事項は茨城大学情報委員会細則に定める。
11. 全学実施責任者
11.1
本学に全学実施責任者を置く。
11.2
全学実施責任者は、情報戦略機構長をもって充てる。
11.3
全学実施責任者は、CIOの指示により、
本学情報システムの整備と運用に関し、ポリシー及びそれに基づく基準並びに手順等の実施を行う。
11.4
全学実施責任者は、情報システムの運用に携わる者及び利用者に対して、
情報システムの運用及び利用並びに情報システムのセキュリティに関する教育を企画し、
ポリシー及びそれに基づく基準並びに手順等の遵守を確実にするための教育を実施する。
12. 管理運営部局
12.1
管理運営部局は、情報戦略機構とする。
12.2
管理運営部局は、
本学の基幹ネットワークの管理運営、
基幹ネットワークと外部ネットワークとの接続管理及び
基幹ネットワークと部局ネットワークの接続管理を行う。
13. CSIRT
13.1
情報セキュリティ対策の実施およびインシデント対応のための組織として、
平常時の情報収集・訓練・インシデント時の迅速な初動対応を行う
CSIRT(シーサート: Computer Security Incident Response Team)
を置く。
13.2
CSIRTの長は、全学実施責任者が担当する。
13.3
CSIRTは、
情報セキュリティ、情報システム等に関する知識及び技能を持つ者で、
全学実施責任者が指名した者をもって充てる。
13.4
CSIRTは以下の事項について実施する。
- ポリシー及びそれに基づく規程並びに手順等に関する教育・訓練
- 情報システムの運用管理にかかわる情報収集・技術支援
- インシデント時の迅速な初動対応
14. 部局総括責任者
14.1
各部局に部局総括責任者を置く。
14.2
部局総括責任者は部局長を持って充てる。
14.3
部局総括責任者は、
部局(部門)情報システムの運用に携わる者及び利用者に対して、
情報システムの運用及び利用並びに情報システムのセキュリティに関する教育を企画し、
ポリシー及びそれに基づく基準並びに手順等の遵守を確実にするための教育を実施する。
15. 部局技術責任者
15.1
各部局に部局技術責任者を置く。
15.2
部局技術責任者は部局総括責任者が指名する者をもって充てる。
15.3
部局技術責任者は、部局総括責任者の指示に基づき、部局内の情報セキュリティ
に係わる業務を処理する。
15.4
部局技術責任者は、部局総括責任者の指示に基づき、インシデント発生時における
CSIRTとの連絡調整及び対応を行う。
16. 情報セキュリティ監査責任者
16.1
最高情報責任者は情報セキュリティ監査責任者を置く。
16.2
情報セキュリティ監査責任者は、最高情報責任者の指示に基づき、監査に関する事務を総括する。
17. 役割の分離
情報セキュリティ対策の運用において、以下の役割を同じ者が兼務しないこと。
- 承認又は許可事案の申請者とその承認者又は許可者
- 監査を受ける者とその監査を実施する者
18. 情報の格付け
情報セキュリティ専門委員会は、本学で取り扱う情報について、
電磁的記録については機密性・完全性・可用性の観点から、
書面については機密性の観点から、
当該情報の格付け及び取扱制限の指定並びに明示等の規程を定める。
19. 本学外の情報セキュリティ水準の低下を招く行為の防止
19.1
全学実施責任者は、本学外の情報セキュリティ水準の低下を招く行為の防止に関する措置についての規程を整備する。
19.2
本学情報システムを運用・管理する者、並びに利用者及び臨時利用者は、本学外の情報セキュリティ水準の低下を招く行為の防止に関する措置を講ずる。
20. 情報システム運用の外部委託管理
最高情報責任者は、本学情報システムの運用業務のすべて または その一部を
第三者に委託する場合には、当該第三者による情報セキュリティの確保が徹底されるよう必要な措置を講じるものとする。
21. 情報セキュリティ監査
情報セキュリティ監査責任者は、情報システムなどのセキュリティ対策がポリシーに基づく手順に従って実施されていることを監査する。
情報セキュリティ監査に際しては、別途定める
情報セキュリティ監査規程に従う。
22. 懲戒
故意又は重大な過失により、情報セキュリティポリシーに定める事項に違反した場合又はこれに関与した場合は、
学内ネットワークを含む本学の情報資産の利用を停止するとともに、
本学の規則等により相当とされる懲戒処分等を科すことがある。
23. 見直し
23.1
本ポリシー、
実施規程及び
手順を
整備した者は、各規程の見直しを行う必要性の有無を適時検討し、必要があると認めた場合にはその見直しを行う。
23.2
本学情報資産を運用・管理・利用する者は、自らが実施した情報セキュリティ対策に関連する事項に課題及び問題点が認められる場合には、当該事項の見直しを行う。
