○公立大学法人福山市立大学情報セキュリティ基本要綱
令和4年3月11日
(目的)
第1条 公立大学法人福山市立大学情報セキュリティ基本要綱(以下「基本要綱」という。)は、福山市立大学(以下「本学」という。)における情報システムを安心安全に運用するため、本学の保有する情報の保護と活用及び適切な情報セキュリティ対策に関する基本事項を定めることを目的とする。
(適用範囲)
第2条 基本要綱は、本学情報システムを運用・管理するすべての者、並びに利用者に適用する。
(定義)
第3条 基本要綱における用語の定義は、次に掲げるとおりとする。
(1) 部局 教育学部、教育学研究科、都市経営学部、都市経営学研究科、附属図書館、キャリアデザインセンター、教育研究交流センター、教育支援センター、心とからだのサポートセンター、事務局をいう。
(2) 部局長 前号に規定する部局の長をいう。
(3) 情報システム 情報処理及び情報ネットワークに係わるシステムで、次のものをいう。
ア 本学により、所有又は管理されているもの
イ 本学との契約あるいは他の協定に従って提供されるもの
ウ その他、本学情報ネットワークに接続する機器
(4) 情報ネットワーク 情報ネットワークには次のものを含む。
ア 本学により、所有又は管理されている全ての情報ネットワーク
イ 本学との契約あるいは他の協定に従って提供される全ての情報ネットワーク
(5) 情報資産 情報システム並びに情報システム内部に記録された情報、外部記録媒体に記録された情報及び情報システムに関係のある書面に記載された情報をいう。
(6) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(7) 情報セキュリティインシデント 情報セキュリティに関し、意図的又は偶発的に生じる、本学規程又は法律に反する事故若しくは事件をいう。
(8) 利用者 教職員及び学生等で、本学情報システムを利用するものをいう。
(最高情報セキュリティ責任者)
第4条 本学における情報セキュリティを統括管理するために、最高情報セキュリティ責任者(CISO: Chief Information Security Officer、以下「CISO」という。)を置き、理事長をもって充てる。
(情報セキュリティの審議会の設置)
第5条 CISOは、情報セキュリティ対策を組織横断的に実施するため、情報セキュリティの審議会(以下「審議会」という)を置き、情報ネットワーク運用会議(公立大学法人福山市立大学情報ネットワーク管理運用規程(令和3年法人規程第79号))をこれに充てる。
2 審議会では次の事項を審議する。
(1) 情報セキュリティ対策の実施計画の立案、対策の見直し。
(2) 情報セキュリティ対策の遵守状況の把握。
(3) 教育、研修及び訓練に関すること。
(4) 情報セキュリティ対策の見直し及び実施要領・手順等の整備に関すること。
(5) その他、情報セキュリティ対策の実施に係る重要事項。
(情報セキュリティ管理責任者)
第6条 CISOは情報セキュリティを管理するために、情報セキュリティ管理責任者を置き、情報ネットワーク運用会議委員長をもって充てる。
2 情報セキュリティ管理責任者は、次に掲げる事項を統括する。
(1) 情報セキュリティ対策の総合的な企画及び実施に関すること。
(2) 情報セキュリティ監査に関すること。
(管理運営部局)
第7条 審議会は、本学情報システムの管理運営部局を置き、事務局をもって充てる。
2 管理運営部局は、情報セキュリティ管理責任者の指示により、次に掲げる事項を実施する。
(1) 本学情報システムの運用と利用における情報セキュリティポリシーの実施状況の取りまとめ
(2) 情報セキュリティに関する講習計画、リスク管理及び非常時における行動計画等の実施状況の取りまとめ
(3) 情報システムのセキュリティに関する学内の連絡及び法令等で義務付けられている機関への通報
(4) 情報システムの利用申請等の受付窓口
(部局情報セキュリティ責任者)
第8条 部局内の情報セキュリティ管理及び情報セキュリティ管理責任者との連絡などの対応に当たるため、部局情報セキュリティ責任者を置き、部局長をもってこれに充てる。
(情報セキュリティに関する統一的な窓口の設置)
第9条 CISOは、情報セキュリティインシデントに対処する組織としてCSIRT(Computer Security Incident Response Team)を設置し、情報ネットワーク運用会議がその役割を担う。また、学内の情報セキュリティの統一的な窓口を設け、これを事務局に置く。
2 CSIRTは、情報セキュリティインシデントが発生した場合に、その状況を把握・分析し、CISOへ速やかに報告を行うとともに、被害拡大防止、復旧、再発防止に向けた対応を迅速かつ的確に実施する。
3 CSIRTは、情報セキュリティに関して、関係機関や他の大学の情報セキュリティ担当部署、外部の事業者等との情報共有を行う。
(兼務の禁止)
第10条 情報セキュリティ対策の実施において、やむを得ない場合を除き、承認又は許可の申請を行う者とその承認者又は許可者は、同じ者が兼務してはならない。
2 監査を受ける者とその監査を実施する者は、やむを得ない場合を除き、同じ者が兼務してはならない。
(情報資産の分類)
第11条 情報資産はその重要性に基づいて分類し、それらの脅威や脆弱性に応じた情報セキュリティ対策を実施し管理する。
(情報セキュリティ水準の低下を招く行為の防止)
第12条 情報セキュリティ管理責任者は、情報セキュリティ水準の低下を招く行為の防止に関する措置について要領を整備する。
2 本学情報システムを運用・管理する者、並びに利用者は、情報セキュリティ水準の低下を招く行為の防止に関する措置を講ずる。
(情報システム運用の外部委託管理)
第13条 CISOは、本学情報システムの運用業務のすべてまたはその一部を第三者に委託する場合には、当該第三者による情報セキュリティの確保が徹底されるよう必要な措置を講じるものとする。
(点検・監査)
第14条 情報セキュリティ管理責任者は、情報セキュリティポリシーの遵守状況について、点検及び監査を定期的かつ継続的に実施する。
附則
この要綱は、令和4年3月11日から施行する。