○国立大学法人北海道大学情報セキュリティ対策規程
平成24年4月1日
海大達第44号
第1章 総則
(目的)
第1条 この規程は,国立大学法人北海道大学(以下「本学」という。)における情報セキュリティを確保するために必要な事項を定めることにより,本学における情報セキュリティ管理体制を整備するとともに,本学の情報資産の円滑な運用及び保全を図ることを目的とする。
(1) 情報セキュリティ 情報資産の機密性(許可された者だけが情報にアクセスできること。),完全性(情報及び処理方法が正確かつ完全であること。)及び可用性(許可された者が必要なときに情報にアクセスできること。)を維持することをいう。
(2) 情報資産 情報システムに電磁的に記録された情報及び情報システムに関係がある書面(情報システムに入力した情報が記載された書面,情報システムから出力した書面及び情報システムに関する設計書)をいう。
(3) 情報システム 情報の作成,利用,伝達,保存及び管理のための仕組み(ハードウェア及びソフトウェアからなる情報機器,記憶媒体並びに有線又は無線のネットワーク)をいう。
(4) 情報セキュリティポリシー 国立大学法人北海道大学における情報セキュリティの基本方針(平成23年6月21日情報セキュリティ委員会制定)及びこの規程をいう。
(5) 実施規程 情報セキュリティポリシー(以下「ポリシー」という。)に基づいて定められる内規等をいう。
(6) 部局等 技術支援本部,情報環境推進本部,産学連携本部,アドミッションセンター,人材育成本部,創成研究機構,国際本部,高等教育推進機構,サステイナブルキャンパス推進本部,安全衛生本部,各学部,病院,各研究科,各学院,各研究院,公共政策学教育部,公共政策学連携研究部,各附置研究所,附属図書館,各全国共同利用施設,各学内共同教育研究施設等,子どもの園保育園,事務局及び監査室をいう。
(1) 本学が所有又は管理する情報資産及び情報システム
(2) 本学が所有又は管理する情報システムに接続された情報システムで,前号に該当しないもの
(3) 本学との契約に基づき提供される情報資産及び情報システム
2 前項各号に掲げる情報資産及び情報システムを運用,管理又は利用する者(学外者を含む。)は,ポリシー及び実施規程を遵守しなければならない。
第2章 管理体制
(最高情報セキュリティ責任者)
第4条 本学に,本学における情報セキュリティに関する業務を管理し,及び総括するため,最高情報セキュリティ責任者(以下「最高責任者」という。)を置く。
2 最高責任者は,総長が指名する理事をもって充てる。
(情報セキュリティ統括管理者)
第5条 本学に,最高責任者を補佐し,本学における情報セキュリティ対策の実施に関する業務を掌理させるため,情報セキュリティ統括管理者(以下「統括管理者」という。)を置く。
2 統括管理者は,本学の専任の教授のうちから最高責任者の推薦に基づき,総長が任命する。
(情報セキュリティ監査責任者)
第6条 本学に,第21条に規定する監査に係る業務を総括させるため,情報セキュリティ監査責任者(以下「監査責任者」という。)を置く。
2 監査責任者は,総長が指名する理事をもって充てる。
(情報セキュリティアドバイザー)
第7条 本学に,情報セキュリティに関する技術的な助言を行わせるため,必要に応じて情報セキュリティアドバイザー(次項において「アドバイザー」という。)を置くことができる。
2 アドバイザーは,情報セキュリティに関する専門的知識及び経験を有する者のうちから,最高責任者が委嘱する。
(部局等情報セキュリティ責任者)
第8条 部局等に,当該部局等の情報セキュリティに関する業務を総括させるため,部局等情報セキュリティ責任者(以下「部局等責任者」という。)を置く。
2 部局等責任者は,当該部局等の長をもって充てる。
(情報セキュリティ担当者)
第9条 部局等に,当該部局等の情報セキュリティ対策の実施に関する業務を行わせるため,情報セキュリティ担当者を置く。
2 情報セキュリティ担当者は,部局等責任者が指名する職員をもって充てる。
(情報セキュリティ委員会)
第10条 本学の情報セキュリティに関し必要な事項について審議,調査等を行うため,情報セキュリティ委員会を置く。
2 情報セキュリティ委員会の組織及び運営については,別に定める。
第3章 情報資産の格付け及び管理
(情報資産の格付け及び管理)
第11条 部局等責任者は,別に定める実施規程に基づき,当該部局等の情報資産の適切な格付け及び管理を実施しなければならない。
2 情報セキュリティ担当者は,情報資産の格付けに応じて,自らが管理する情報システムに保有する情報資産のアクセス権の設定,バックアップの作成,改ざん防止等に必要な措置を講じなければならない。
3 部局等責任者は,当該部局が管理する情報システムを廃棄する場合には,当該システムに保有する情報資産の復元が不可能な方法により行うものとする。
第4章 セキュリティ対策
(ネットワークの監視)
第12条 最高責任者は,本学の情報セキュリティの保全のため必要と認めた場合には,本学の有線又は無線のネットワークにおける通信履歴を取得することができる。
(情報システムの利用制限)
第13条 統括管理者は,本学の情報セキュリティの保全のため必要と認めた場合,又は学外の情報セキュリティ水準の低下を招く行為の防止のため必要と認めた場合には,情報システムの利用を制限することができる。
(情報システムの盗難防止等)
第14条 部局等責任者は,当該部局等の情報システムの盗難,又は損壊及び設置保管場所への不正な立ち入りを防止するため,当該システムの設置保管場所の施錠等の必要な措置を講じるものとする。
(情報システムのセキュリティ)
第15条 部局等責任者は,当該部局等の管理する情報システムのセキュリティの保全のため,次に掲げる事項の実施に関し,必要な措置を講じるものとする。
(1) 情報システムの技術的なセキュリティを維持管理すること。
(2) 利用の許可を受けていない者による情報システムの利用を防ぐこと。
(3) 利用する者を識別できない方法による情報システムの利用を防ぐこと。
2 情報セキュリティ担当者は,部局等責任者の指示に従い,前項に定める事項を実施するものとする。
(アクセス履歴の管理)
第16条 情報セキュリティ担当者は,部局等の情報セキュリティの保全のため,自らが管理する情報システムのアクセス履歴を取得及び保存し,不正アクセスの監視に努めるものとする。
(主体認証情報の管理)
第17条 第3条第1項各号に掲げる情報資産及び情報システムを運用,管理又は利用する者(学外者を含む。)は,主体認証(情報システムを利用する者が情報システムにアクセスする正当な権限を有するか否かを検証することをいう。)の必要のある情報システムの利用においては,他人の主体認証情報及び主体認証情報を格納する媒体を使用し,又は自己の主体認証情報及び主体認証情報を格納する媒体を他人に使用させてはならない。
(学外者の情報システム利用時における対応)
第18条 部局等責任者は,学外者に当該部局等の管理する情報システムを利用させる場合には,情報セキュリティの保全のため,ポリシー及び実施規程が遵守されるよう必要な措置を講じるものとする。
第5章 業務の委託
(業務の委託)
第19条 本学の情報システムの運用に係る業務のすべて又はその一部を外部に委託する場合には,当該委託先による情報セキュリティの保全が徹底されるよう,契約により,委託先における責任者の管理体制等を明確にするものとする。
第6章 情報セキュリティ侵害への対応
(情報セキュリティ侵害への対応)
第20条 情報資産の漏えい,き損,及び情報システムへの不正アクセス等,情報セキュリティを侵害する事案が発生したことを知った職員は,別に定める実施規程に基づき,統括管理者に報告しなければならない。
2 統括管理者は,発生した事案に対処し,必要に応じて,当該事案に関わる部局等の部局等責任者に対して,必要な措置を講じるよう指示するとともに,最高責任者に報告をするものとする。
第7章 監査
(監査)
第21条 監査責任者は,本学における情報セキュリティの状況について,監査を行い,その結果を最高責任者に報告するものとする。
第8章 雑則
(雑則)
第22条 この規程に定めるもののほか,情報セキュリティ対策に関し必要な事項は,別に定める。
附 則
この規程は,平成24年4月1日から施行する。
附 則(平成25年4月1日海大達第21号)
この規程は,平成25年4月1日から施行する。