○国立大学法人北海道大学情報セキュリティ対策規程

平成28年12月1日

海大達第203号

(目的)

第1条 この規程は、国立大学法人北海道大学(以下「本学」という。)における情報セキュリティの確保及び水準の向上のために必要な事項を定めることにより、本学の情報セキュリティを管理する組織及び体制を整備するとともに、本学における情報資産の円滑な運用及び保全を図ることを目的とする。

(定義)

第2条 この規程で使用する用語は、国立大学法人北海道大学情報セキュリティ基本規程(平成28年海大達第202号)で使用する用語の例による。

2 この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 部局等 技術支援本部、情報環境推進本部、アドミッションセンター、創成研究機構、創成研究機構の各研究拠点、高等教育推進機構、安全衛生本部、大学力強化推進本部、産学・地域協働推進機構、総合IR本部、国際連携機構、サステイナビリティ推進機構、アイヌ共生推進本部、大学院教育推進機構、ダイバーシティ・インクルージョン推進本部、広報・社会連携本部、質保証推進本部、半導体拠点形成推進本部、各学部、病院、研究科、各学院、各研究院、教育部、連携研究部、各附置研究所、附属図書館、各研究センター、各学内共同施設、国際連携研究教育局、子どもの園保育園、事務局、監査室及び監事支援室をいう。

(2) 主体認証 次号に掲げる主体認証情報を示した主体(情報システムにアクセスする者又は他の情報システムにアクセスするサーバ装置、端末等の機器をいう。次号において同じ。)が、その主体認証情報を付与された主体であるかを検証することをいう。

(3) 主体認証情報 主体を識別するために、情報システムが認識する情報をいう。

(4) 重要基盤機器 全学向けに提供される情報システムのうち、情報環境推進本部が特に指定したものをいう。

(適用範囲)

第2条の2 この規程は、情報システムの内部に記録された情報及び情報システムの外部の電磁的記録媒体に記録された情報について適用する。

(最高情報セキュリティ責任者)

第3条 本学に、本学における情報セキュリティに関する業務を管理し、及び統括するため、最高情報セキュリティ責任者(以下「CISO」という。)を置く。

2 CISOは、総長が指名する理事又は副学長をもって充てる。

(最高情報セキュリティ副責任者)

第4条 本学に、CISOを補佐し、CISOの命を受けて、本学における情報セキュリティに関する業務を統括させるため、最高情報セキュリティ副責任者(以下「副CISO」という。)を置く。

(情報セキュリティアドバイザー)

第5条 本学に、本学の情報セキュリティに関する技術的な助言を行わせるため、情報セキュリティアドバイザー(次項において「アドバイザー」という。)を置くことができる。

2 アドバイザーは、情報セキュリティに関する専門的知識及び経験を有する者のうちから、CISOの推薦に基づき、総長が委嘱する。

(情報セキュリティ監査責任者)

第6条 本学に、情報セキュリティ監査責任者(以下この条及び第16条において「監査責任者」という。)を置く。

2 監査責任者は、総長が指名する監事をもって充てる。

3 監査責任者は、情報セキュリティの状況について監査を実施するものとする。

(部局等情報セキュリティ責任者等)

第7条 部局等に、CISO及び副CISOを補佐し、当該部局等の情報セキュリティに関する業務を統括させるため、部局等情報セキュリティ責任者(次項及び次条において「部局等責任者」という。)を置き、当該部局等の長をもって充てる。

2 部局等において、部局等責任者を補佐し、当該部局等における情報セキュリティ対策の実施に関する業務を掌理させるため、部局等情報セキュリティ管理者(次項第17条及び第18条において「部局等管理者」という。)を置くことができる。

3 部局等管理者は、当該部局等の職員のうちから当該部局等の長が指名する。

(情報セキュリティ委員会)

第8条 本学に、本学の情報セキュリティに関し必要な事項について審議、調査等を行うため、情報セキュリティ委員会を置く。

2 情報セキュリティ委員会の組織及び運営については、別に定める。

(CSIRT)

第9条 本部規程第15条の3第1項の情報セキュリティ対策室(第17条において「対策室」という。)は、全学におけるCSIRT(情報セキュリティインシデントの発生又はその疑い(第17条から第19条までにおいて「情報セキュリティインシデント事案」という。)に対処する体制をいう。次項において同じ。)として、迅速かつ円滑な対応を行う。

2 CISOは必要に応じ、区分CSIRT(本学の特定の組織ごとに置くCSIRTをいう。)を置くことができる。

3 区分CSIRTの組織及び運営については、別に定める。

(基準の遵守)

第10条 本学の情報資産を利用する者は、情報セキュリティの確保及び水準の向上に努めなければならない。

2 前項を達成するための基準については、別に定める。

(主体認証情報)

第11条 構成員等は、主体認証を要する情報資産の利用において、他人の主体認証情報及び主体認証情報を格納する媒体の使用又は自己の主体認証情報及び主体認証情報を格納する媒体の他人への使用許諾をしてはならない。

2 前項の規定にかかわらず、CISOは、情報環境推進本部が運用する主体認証を要する情報システムに関して、構成員の情報環境活用に資する場合には、本学以外の組織と相互利用を行うことについて、情報セキュリティ委員会の議を経て許可することができるものとする。

(業務の外部委託)

第12条 本学の情報資産に係る業務の全て又はその一部を外部業者等に委託する場合には、契約により当該委託先における責任管理体制等を明確にする等の情報セキュリティの保全が徹底されるよう努めなければならない。

(通信内容の取得)

第13条 CISOは、本学の情報セキュリティの保全のために必要な範囲内で、情報セキュリティ委員会の議を経て、本学の通信基盤における通信内容を取得すること及び本学以外の機関にその取得作業を委託することができる。

(例外措置)

第14条 情報セキュリティポリシーその他の情報セキュリティに関連する規程(以下この項及び第19条において「ポリシー等」という。)の適用が、本学の教育研究に係る業務の遂行を著しく妨げる場合には、ポリシー等の定めにかかわらず、当該業務の遂行に必要な措置(以下この条において「例外措置」という。)を講ずることができるものとする。

2 例外措置に関して必要な事項は、別に定める。

(教育及び研修)

第15条 CISOは、毎事業年度ごとに、本学における情報セキュリティの確保及び水準の向上を目的とした教育及び研修について、その対象者及び内容を明らかにした計画を策定し、その実施のために必要な措置を講じなければならない。

(監査)

第16条 監査責任者は、情報セキュリティの確保について検証するため、本学における情報セキュリティの状況について、定期に及び必要に応じ随時に監査を行い、その結果をCISOに報告するものとする。

(情報セキュリティインシデント事案)

第17条 情報セキュリティインシデント事案を認知した構成員は、直ちにその旨を対策室に報告しなければならない。

2 対策室は、前項の規定による報告を受けた場合は、情報セキュリティインシデント事案に対処し、必要に応じて、当該情報セキュリティインシデント事案に関わる部局等の部局等管理者に対して、必要な措置を講じるよう指示するとともに、速やかにCISOに報告するものとする。

3 対策室は、情報セキュリティインシデント事案に係る情報資産に対し、調査を行うことができる。この場合において、構成員等は、当該調査に協力するものとする。

4 対策室は、情報セキュリティインシデント事案の内容に応じて、当該報告を行った部局等と連携し、文部科学省その他の関係機関に報告を行うものとする。

5 情報セキュリティインシデント事案の対応に関し必要な事項は、CISOが別に定める。

(情報資産の利用制限)

第18条 CISO又は副CISOは、情報セキュリティインシデント事案が発生した場合又は発生防止のために必要と認めた場合には、情報資産の利用を制限することができる。

2 CISO又は副CISOは、前項の規定により重要基盤機器の利用を制限する場合には、直接又は当該機器を掌理する部局等の部局等管理者を通じて、当該機器のシステム管理者と緊密に連絡を取り、制限の範囲及び時間を最小限にするよう努めなければならない。

(ポリシー等の改正の必要性の検討)

第19条 CISOは、例外措置の状況、監査結果及び情報セキュリティインシデント事案の発生状況等を踏まえ、ポリシー等の改正の必要性について検討し、少なくとも毎年度1回、情報セキュリティ委員会に意見を述べるものとする。

(違反行為に対する措置)

第20条 CISOは、関連規程等に違反する行為をし、若しくは当該行為を生じさせた者又はその者の所属する組織に対して、情報セキュリティ委員会の議を経て再発防止等の必要な措置に関する意見を述べることができる。

(雑則)

第21条 この規程に定めるもののほか、情報セキュリティ対策に関し必要な事項は、別に定めることができる。

この規程は、平成28年12月1日から施行し、平成28年10月1日から適用する。

(平成29年5月22日海大達第177号)

この規程は、平成29年5月22日から施行し、平成29年4月1日から適用する。

(平成30年4月1日海大達第28号)

この規程は、平成30年4月1日から施行する。

(平成30年5月11日海大達第89号)

この規程は、平成30年5月11日から施行し、平成30年4月1日から適用する。

(平成30年12月20日海大達第159号)

この規程は、平成30年12月20日から施行し、平成30年10月23日から適用する。

(平成31年4月1日海大達第23号)

この規程は、平成31年4月1日から施行する。

(令和2年4月1日海大達第67号)

この規程は、令和2年4月1日から施行する。

(令和2年10月16日海大達第143号)

この規程は、令和2年10月16日から施行する。

(令和3年4月1日海大達第24号)

この規程は、令和3年4月1日から施行する。

(令和3年8月1日海大達第113号)

この規程は、令和3年8月1日から施行する。

(令和4年4月1日海大達第19号)

この規程は、令和4年4月1日から施行する。

(令和4年7月1日海大達第122号)

この規程は、令和4年7月1日から施行する。

(令和4年10月1日海大達第140号)

この規程は、令和4年10月1日から施行する。

(令和5年4月1日海大達第64号)

この規程は、令和5年4月1日から施行する。

(令和5年10月1日海大達第150号)

この規程は、令和5年10月1日から施行する。

国立大学法人北海道大学情報セキュリティ対策規程

平成28年12月1日 海大達第203号

(令和5年10月1日施行)

体系情報
第7編
沿革情報
平成28年12月1日 海大達第203号
平成29年5月22日 海大達第177号
平成30年4月1日 海大達第28号
平成30年5月11日 海大達第89号
平成30年12月20日 海大達第159号
平成31年4月1日 海大達第23号
令和2年4月1日 海大達第67号
令和2年10月16日 海大達第143号
令和3年4月1日 海大達第24号
令和3年8月1日 海大達第113号
令和4年4月1日 海大達第19号
令和4年7月1日 海大達第122号
令和4年10月1日 海大達第140号
令和5年4月1日 海大達第64号
令和5年10月1日 海大達第150号