(1)　教職員等が職務上使用することを目的として本学が調達し、又は開発した情報処理若しくは通信の用に供するシステム及び外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)

(2)　その他の情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)であって、教職員等が職務上取り扱う情報

(3)　前各号のほか、本学が調達し、又は開発した情報システムの設計又は運用管理に関する情報

(1)　実施要領・手順　基本要綱に定められた対策内容を個別の情報システムや業務において運用するため、あらかじめ定める必要のある具体的な規程や基準をいう。

(2)　学生等　本学通則に定める学部学生、大学院学生、研究生、研究員、研修員及び研究者等、その他、部局総括責任者が認めた者をいう。

(3)　機器等　情報システムの構成要素(サーバ装置、端末、通信回線装置、複合機、特定用途機器等、ソフトウェア等)、外部電磁的記録媒体等の総称をいう。

(4)　教職員等　本学を設置する法人の役員及び、本学に勤務する常勤又は非常勤の教職員(派遣職員を含む)その他、部局総括責任者が認めた者をいう。

(5)　業務委託　本学の業務の一部又は全部について、契約をもって外部の者に実施させることをいう。「委任」「準委任」「請負」といった契約形態を問わず、全て含むものとする。ただし、当該業務において本学の情報を取り扱わせる場合に限る。

(6)　記録媒体　情報が記録され、又は記録される有体物をいう。記録媒体には、文字、図形等人の知覚によって認識されることができる情報が記載された紙その他の有体物(以下「書面」という。)と、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、情報システムによる情報処理の用に供されるもの(以下「電磁的記録」という。)に係る記録媒体(以下「電磁的記録媒体」という。)がある。また、電磁的記録媒体には、サーバ装置、端末、通信回線装置等に内蔵される内臓電磁的記録媒体と、USBメモリ、外付けハードディスクドライブ、DVD―R等の外部電磁的記録媒体がある。

(7)　サーバ装置　情報システムの構成要素である機器のうち、通信回線等を経由して接続してきた端末等に対して、自らが保持しているサービスを提供するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、特に断りがない限り、本学が調達又は開発するものをいう。

(8)　CSIRT(シーサート)　本学において発生した情報セキュリティインシデントに対処するため、本学に設置された体制をいう。Computer　Security　Incident　Response　Teamの略

(9)　実施手順　基本要綱に定められた対策内容を個別の情報システムや業務において実施するため、あらかじめ定める必要のある具体的な手順をいう。

(10)　情報　前条に定めるものをいう。

(11)　情報システム　ハードウェア及びソフトウェアから成るシステムであって、情報処理又は通信の用に供するものをいい、特に断りのない限り、本学が調達又は開発するもの(管理を外部委託しているシステムを含む。)をいう。

(12)　情報セキュリティインシデント　JIS　Q　27000：2019における情報セキュリティインシデントをいう。

(13)　情報セキュリティ関連規程　基本要綱及び実施手順を総称したものをいう。

(14)　情報セキュリティ対策推進体制　本学の情報セキュリティ対策の推進に係る事項を遂行するため、学内に設置された体制をいう。

(15)　実施要領・手順　本学における情報及び情報システムの情報セキュリティを確保するための対策の基準として定める一連の基準をいう。

(16)　端末　情報システムの構成要素である機器のうち、利用者等が情報処理を行うために直接操作するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、特に断りがない限り、本学が調達又は開発するものをいう。端末には、モバイル端末も含まれる。特に断りを入れた例としては、本学が調達又は開発するもの以外を指す「本学支給以外の端末」がある。また、本学が調達又は開発した端末と本学支給以外の端末の双方を合わせて「端末(支給外端末を含む)」という。

(17)　通信回線　複数の情報システム又は機器等(本学が調達等を行うもの以外のものを含む。)の間で所定の方式に従って情報を送受信するための仕組みをいい、特に断りのない限り、本学の情報システムにおいて利用される通信回線を総称したものをいう。通信回線には、本学が直接管理していないものも含まれ、その種類(有線又は無線、物理回線又は仮想回線等)は問わない。

(18)　通信回線装置　通信回線又は通信回線と情報システムの接続のために設置され、回線上を送受信される情報の制御等を行うための装置をいう。通信回線装置には、いわゆるハブやスイッチ、ルータ等のほか、ファイアウォール等も含まれる。

(19)　ポリシー　本学が定める「公立大学法人福山市立大学情報セキュリティ基本方針」及び「基本要綱」をいう。

(20)　モバイル端末　端末のうち、必要に応じて移動させて使用することを目的としたものをいい、端末の形態は問わない。

(21)　要管理対策区域　本学の管理下にある区域(学外組織から借用している施設等における区域を含む。)であって、取り扱う情報を保護するために、施設及び執務環境に係る対策が必要な区域をいう。

(22)　利用者　教職員等及び学生等で、本学の情報システムを利用する許可を受けて利用するものをいう。

(23)　利用者等　利用者及び臨時利用者のほか、本学情報システムを取り扱う者をいう。

(24)　臨時利用者　教職員等及び学生等以外の者で、本学の情報システムを臨時に利用する許可を受けて利用するものをいう。

(25)　部局　教育学部、教育学研究科、都市経営学部、都市経営学研究科、附属図書館、キャリアデザインセンター、教育支援センター、心とからだのサポートセンター、地域連携センター、国際交流センター、事務局をいう。

(26)　部局長　前号に規定する部局の長をいう。

(1)　情報セキュリティ対策推進のための組織・体制の整備

(2)　情報セキュリティ実施要領・手順の決定、見直し

(3)　対策推進計画の決定、見直し

(4)　情報セキュリティインシデントに対処するために必要な指示その他の措置

(5)　情報セキュリティ監査の結果を踏まえた改善計画の策定等の必要な措置の指示

(6)　前各号に掲げるもののほか、情報セキュリティに関する重要事項

(1)　情報セキュリティ対策の実施計画の立案、対策の見直し

(2)　情報セキュリティ対策の遵守状況の把握

(3)　教育、研修及び訓練に関すること。

(4)　情報セキュリティ対策の見直し及び実施要領・手順等の整備に関すること。

(5)　その他、情報セキュリティ対策の実施に係る重要事項

(1)　監査実施計画の策定

(2)　監査実施体制の整備

(3)　監査の実施指示及び監査結果のCISOへの報告

(4)　前各号に掲げるもののほか、情報セキュリティの監査に関する事項

(1)　部局及び事務局における施設及び環境に係る対策の決定

(2)　情報セキュリティ対策に関する実施要領・手順の整備及び見直し並びに実施要領・手順に関する事項の取りまとめ

(3)　情報セキュリティ対策に係る教育実施計画の策定及び当該実施体制の整備

(4)　例外措置の適用審査記録の台帳整備等

(5)　情報セキュリティインシデントに対処するための緊急連絡窓口の整備等

(6)　前各号に掲げるもののほか、情報セキュリティ対策に係る事項

(1)　情報システムごとの技術責任者の設置

(2)　情報セキュリティインシデントの原因調査、再発防止策等の実施

(3)　情報セキュリティに係る自己点検計画の策定及び実施手順の整備

(4)　前各号に掲げるもののほか、情報セキュリティ対策に係る事柄

(1)　審議会の運営に関する事項

(2)　本学の情報システムの運用と利用におけるポリシーの実施状況の取りまとめ

(3)　講習計画、リスク管理及び非常時行動計画等の実施状況の取りまとめ

(4)　本学の情報システムのセキュリティに関する連絡と通報

(5)　CISO及び全学実施責任者の支援

(1)　全学の情報セキュリティ対策の推進に係るCISO及びCISO補佐への助言

(2)　情報セキュリティ関係規程の整備に係る助言

(3)　対策推進計画の策定に係る助言

(4)　教育実施計画の立案に係る助言並びに教材開発及び教育実施の支援

(5)　情報システムに係る技術的事項に係る助言

(6)　情報システムの設計・開発を外部委託により行う場合に調達仕様に含めて提示する情報セキュリティに係る要求仕様の策定に係る助言

(7)　利用者に対する日常的な相談対応

(8)　情報セキュリティインシデントへの対処の支援

(9)　情報システムの分類に応じた情報セキュリティ対策に係る助言

(10)　前各号に掲げるもののほか、情報セキュリティ対策への助言又は支援

(1)　情報セキュリティ関係規程及び対策推進計画の策定に係る事項

(2)　情報セキュリティ関係規程の運用に係る事項

(3)　例外措置に係る事項

(4)　情報セキュリティ対策の教育の実施に係る事項

(5)　情報セキュリティ対策の自己点検に係る事項

(6)　情報セキュリティ関係規程及び対策推進計画の見直しに係る事項

(1)　本学に関わる情報セキュリティインシデント発生時の対処の一元管理

(2)　情報セキュリティインシデントへの迅速かつ的確な対処

(3)　CISOは、実務担当者を含めた実効性のあるCSIRT体制を構築する。

(4)　CISOは、情報セキュリティインシデントが発生した際に、情報セキュリティインシデント対処に関する知見を有する外部の専門家による必要な支援を速やかに得られる体制を構築する。

(5)　CISOは、全学における情報セキュリティインシデント対処について、CSIRT、情報セキュリティインシデントの当事者部局及びその他関連部局の役割分担を規定する。

(6)　CISOは、教職員等のうちからCSIRTに属する職員として専門的な知識又は適性を有すると認められる者を選任する。そのうち、本学における情報セキュリティインシデントに対処するための責任者としてCSIRT責任者を置く。また、CSIRT内の業務統括及び外部との連携等を行う教職員等を定める。

(7)　CISOは、情報セキュリティインシデントが発生した際、直ちに自らへの報告が行われる体制を整備する。

(1)　承認又は許可(以下本条において「承認等」という。)の申請者と当該承認を行う許可権限者

(2)　監査を受ける者とその監査を実施する者