○国立大学法人北海道大学情報セキュリティ対策規程
平成28年12月1日
海大達第203号
(目的)
第1条 この規程は、国立大学法人北海道大学(以下「本学」という。)における情報セキュリティの確保及び水準の向上のために必要な事項を定めることにより、本学の情報セキュリティを管理する組織及び体制を整備するとともに、本学における情報資産の円滑な運用及び保全を図ることを目的とする。
(定義)
第2条 この規程で使用する用語は、国立大学法人北海道大学情報セキュリティ基本規程(平成28年海大達第202号)で使用する用語の例による。
(1) 部局等 技術支援本部、情報環境推進本部、アドミッションセンター、創成研究機構、創成研究機構の各研究拠点、高等教育推進機構、安全衛生本部、大学力強化推進本部、産学・地域協働推進機構、総合IR室、国際連携機構、サステイナビリティ推進機構、アイヌ共生推進本部、大学院教育推進機構、ダイバーシティ・インクルージョン推進本部、各学部、病院、研究科、各学院、各研究院、教育部、連携研究部、各附置研究所、附属図書館、各研究センター、各学内共同施設、国際連携研究教育局、子どもの園保育園、事務局、監査室及び監事支援室をいう。
(3) 主体認証情報 主体を識別するために、情報システムが認識する情報をいう。
(4) 重要基盤機器 全学向けに提供される情報システムのうち、情報環境推進本部が特に指定したものをいう。
(最高情報セキュリティ責任者)
第3条 本学に、本学における情報セキュリティに関する業務を管理し、及び統括するため、最高情報セキュリティ責任者(以下「CISO」という。)を置く。
2 CISOは、総長が指名する理事又は副学長をもって充てる。
(最高情報セキュリティ副責任者)
第4条 本学に、CISOを補佐し、CISOの命を受けて、本学における情報セキュリティに関する業務を統括させるため、最高情報セキュリティ副責任者(以下「副CISO」という。)を置く。
2 副CISOは、国立大学法人北海道大学情報環境推進本部規程(平成19年海大達第22号。第9条において「本部規程」という。)第15条の3第2項に規定する情報セキュリティ対策室長をもって充てる。
(情報セキュリティアドバイザー)
第5条 本学に、本学の情報セキュリティに関する技術的な助言を行わせるため、情報セキュリティアドバイザー(次項において「アドバイザー」という。)を置くことができる。
2 アドバイザーは、情報セキュリティに関する専門的知識及び経験を有する者のうちから、CISOの推薦に基づき、総長が委嘱する。
(情報セキュリティ監査責任者)
第6条 本学に、情報セキュリティ監査責任者(以下この条及び第16条において「監査責任者」という。)を置く。
2 監査責任者は、総長が指名する監事をもって充てる。
3 監査責任者は、情報セキュリティの状況について監査を実施するものとする。
(統括情報セキュリティ責任者)
第6条の2 本学に、CISO及び副CISOを補佐し、次条の部局等情報セキュリティ責任者を統括させるため、統括情報セキュリティ責任者を置き、当該部局等情報セキュリティ責任者のうちから総長が指名する者をもって充てる。
3 部局等管理者は、当該部局等の職員のうちから当該部局等の長が指名する。
(情報セキュリティ委員会)
第8条 本学に、本学の情報セキュリティに関し必要な事項について審議、調査等を行うため、情報セキュリティ委員会を置く。
2 情報セキュリティ委員会の組織及び運営については、別に定める。
(CSIRT)
第9条 本部規程第15条の3第1項の情報セキュリティ対策室(第17条において「対策室」という。)は、情報セキュリティインシデントが発生したときは、全学CSIRTとして、迅速かつ円滑な対応を行う。
2 CISOは必要に応じ、本学の特定の組織に、その組織における情報セキュリティインシデントへの迅速かつ円滑な対応を行うため、区分CSIRTを置くことができる。
3 区分CSIRTの組織及び運営については、別に定める。
(基準の遵守)
第10条 本学の情報資産を利用する者は、情報セキュリティの確保及び水準の向上に努めなければならない。
2 前項を達成するための基準については、別に定める。
(主体認証情報)
第11条 構成員等は、主体認証を要する情報資産の利用において、他人の主体認証情報及び主体認証情報を格納する媒体の使用又は自己の主体認証情報及び主体認証情報を格納する媒体の他人への使用許諾をしてはならない。
2 前項の規定にかかわらず、CISOは、情報環境推進本部が運用する主体認証を要する情報システムに関して、構成員の情報環境活用に資する場合には、本学以外の組織と相互利用を行うことについて、情報セキュリティ委員会の議を経て許可することができるものとする。
(業務の外部委託)
第12条 本学の情報資産に係る業務の全て又はその一部を外部業者等に委託する場合には、契約により当該委託先における責任管理体制等を明確にする等の情報セキュリティの保全が徹底されるよう努めなければならない。
(通信内容の取得)
第13条 CISOは、本学の情報セキュリティの保全のために必要な範囲内で、情報セキュリティ委員会の議を経て、本学の通信基盤における通信内容を取得すること及び本学以外の機関にその取得作業を委託することができる。
(例外措置)
第14条 情報セキュリティポリシーその他の情報セキュリティに関連する規程(以下この項及び第19条において「ポリシー等」という。)の適用が、本学の教育研究に係る業務の遂行を著しく妨げる場合には、ポリシー等の定めにかかわらず、当該業務の遂行に必要な措置(以下この条において「例外措置」という。)を講ずることができるものとする。
2 例外措置に関して必要な事項は、別に定める。
(教育及び研修)
第15条 CISOは、毎事業年度ごとに、本学における情報セキュリティの確保及び水準の向上を目的とした教育及び研修について、その対象者及び内容を明らかにした計画を策定し、その実施のために必要な措置を講じなければならない。
(監査)
第16条 監査責任者は、情報セキュリティの確保について検証するため、本学における情報セキュリティの状況について、定期に及び必要に応じ随時に監査を行い、その結果をCISOに報告するものとする。
(情報セキュリティインシデント)
第17条 情報セキュリティインシデントが発生したとき又はその疑いを認知した構成員は、直ちにその旨を対策室に報告しなければならない。
2 対策室は、発生した情報セキュリティインシデント事案に対処し、必要に応じて、当該事案に関わる部局等の部局等管理者に対して、必要な措置を講じるよう指示するとともに速やかにCISOに報告するものとする。
3 対策室は、第1項の規定による報告の内容に応じて、当該報告を行った部局等と連携し、文部科学省その他の関係機関に報告を行うものとする。
4 情報セキュリテインシデントの対応に関し必要な事項は、CISOが別に定める。
(情報資産の利用制限)
第18条 副CISOは、情報セキュリティインシデントが発生したとき又は発生防止のために必要と認めた場合には、情報資産の利用を制限することができる。
2 副CISOは、前項の規定による制限を行うに当たって、重要基盤機器が対象となる場合には、直接又は当該機器を掌理する部局等の部局等管理者を通じて、当該機器のシステム管理者と緊密に連絡をとり、制限を行う時間を最小限にするよう、努めなければならない。
(ポリシー等の改正の必要性の検討)
第19条 CISOは、例外措置の状況、監査結果及び情報セキュリティインシデントの発生状況等を踏まえ、ポリシー等の改正の必要性について検討し、少なくとも毎年度1回、情報セキュリティ委員会に意見を述べるものとする。
(違反行為に対する措置)
第20条 CISOは、関連規程等に違反する行為をし、若しくは当該行為を生じさせた者又はその者の所属する組織に対して、情報セキュリティ委員会の議を経て再発防止等の必要な措置に関する意見を述べることができる。
(雑則)
第21条 この規程に定めるもののほか、情報セキュリティ対策に関し必要な事項は、別に定めることができる。
附則
この規程は、平成28年12月1日から施行し、平成28年10月1日から適用する。
附則(平成29年5月22日海大達第177号)
この規程は、平成29年5月22日から施行し、平成29年4月1日から適用する。
附則(平成30年4月1日海大達第28号)
この規程は、平成30年4月1日から施行する。
附則(平成30年5月11日海大達第89号)
この規程は、平成30年5月11日から施行し、平成30年4月1日から適用する。
附則(平成30年12月20日海大達第159号)抄
この規程は、平成30年12月20日から施行し、平成30年10月23日から適用する。
附則(平成31年4月1日海大達第23号)
この規程は、平成31年4月1日から施行する。
附則(令和2年4月1日海大達第67号)
この規程は、令和2年4月1日から施行する。
附則(令和2年10月16日海大達第143号)
この規程は、令和2年10月16日から施行する。
附則(令和3年4月1日海大達第24号)
この規程は、令和3年4月1日から施行する。
附則(令和3年8月1日海大達第113号)
この規程は、令和3年8月1日から施行する。
附則(令和4年4月1日海大達第19号)
この規程は、令和4年4月1日から施行する。
附則(令和4年7月1日海大達第122号)
この規程は、令和4年7月1日から施行する。
附則(令和4年10月1日海大達第140号)
この規程は、令和4年10月1日から施行する。