(目的)
第1条 本規程は、高知県公立大学法人(以下「本法人」という。)における情報及び情報システムの情報セキュリティ対策について基本的な事項を定め、もって本法人の保有する情報の保護と活用及び情報セキュリティ水準の適切な維持向上を図ることを目的とする。
(適用範囲)
第2条 本規程において適用対象とする者は、全ての教職員、並びに本法人の情報システムの利用者及び臨時利用者とする。
2 本規程において適用対象とする情報は、以下の情報とする。
(1)教職員等が職務上使用することを目的として本法人が調達し、又は開発した情報処理若しくは通信の用に供するシステム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)
(2)その他の情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)であって、教職員等が職務上取り扱う情報
(3)前各号のほか、本法人が調達し、又は開発した情報システムの設計又は運用管理に関する情報
3 本規程において適用対象とする情報システムは、本規程の適用対象となる情報を取り扱う全ての情報システムとする。
(用語定義)
第3条 本規程において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。
(1)学生等
高知県立大学及び高知工科大の学部学生、大学院学生、研究生並びに科目等履修生等、その他、組織実施責任者が認めた者をいう。
(2)教職員等
本法人を設置する本法人の役員及び、本法人に勤務する常勤又は非常勤の教職員(派遣職員を含む)その他、組織実施責任者が認めた者をいう。
教職員等には、個々の勤務条件にもよるが、例えば、派遣労働者等も含まれている。
(3)利用者
教職員等及び学生等で、本法人の情報システムを利用する許可を受けて利用するものをいう。
(4)臨時利用者
教職員等及び学生等以外の者で、本法人の情報システムを臨時に利用する許可を受けて利用するものをいう。
(5)情報
本規程第2条第2項に定めるものをいう。
(6)情報システム
ハードウェア及びソフトウェアから成るシステムであって、情報処理又は通信の用に供するものをいい、特に断りのない限り、本法人が調達又は開発するもの(管理を外部委託しているシステムを含む。)をいう。
(7)記録媒体
情報が記録され、又は記載される有体物をいう。記録媒体には、文字、図形等人の知覚によって認識することができる情報が記載された紙その他の有体物(以下「書面」という。)と、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、情報システムによる情報処理の用に供されるもの(以下「電磁的記録」という。)に係る記録媒体(以下「電磁的記録媒体」という。)がある。また、電磁的記録媒体には、サーバ装置、端末、通信回線装置等に内蔵される内蔵電磁的記録媒体と、USBメモリ、外付けハードディスクドライブ、DVD-R等の外部電磁的記録媒体がある。
(8)サーバ装置
情報システムの構成要素である機器のうち、通信回線等を経由して接続してきた端末等に対して、自らが保持しているサービスを提供するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、特に断りがない限り、本法人が調達又は開発するものをいう。
(9)端末
情報システムの構成要素である機器のうち、利用者等が情報処理を行うために直接操作するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、特に断りがない限り、本法人が調達又は開発するものをいう。端末には、必要に応じて移動させて使用することを目的としたものも含まれ、端末の形態は問わない。特に断りを入れた例としては、本法人が調達又は開発するもの以外を指す「法人支給以外の端末」がある。また、本法人が調達又は開発した端末と法人支給以外の端末の双方を合わせて「端末(支給外端末を含む)」という。
(10)通信回線
複数の情報システム又は機器等(本法人が調達等を行うもの以外のものを含む。)の間で所定の方式に従って情報を送受信するための仕組みをいい、特に断りのない限り、本法人の情報システムにおいて利用される通信回線を総称したものをいう。通信回線には、本法人が直接管理していないものも含まれ、その種類(有線又は無線、物理回線又は仮想回線等)は問わない。
(11)通信回線装置
通信回線間又は通信回線と情報システムの接続のために設置され、回線上を送受信される情報の制御等を行うための装置をいう。通信回線装置には、いわゆるハブやスイッチ、ルータ等のほか、ファイアウォール等も含まれる。
(12)情報セキュリティインシデント
望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いものをいう。
(13)CSIRT(シーサート)
本法人において発生した情報セキュリティインシデントに対処するため、本法人に設置された情報セキュリティインシデント対応チームをいう。Computer Security Incident Response Teamの略。
(14)ポリシー
本法人が定める「高知県公立大学法人情報セキュリティ対策基本方針」及び本規程をいう。
(15)情報セキュリティ対策基準
本法人における情報及び情報システムの情報セキュリティを確保するための対策の基準として定める「高知県公立大学法人情報セキュリティ対策基準」をいう。
(16)実施手順
情報セキュリティ対策基準に定められた対策内容を個別の情報システムや業務において実施するため、あらかじめ定める必要のある具体的な手順をいう。
(17)部門
高知県公立大学法人法人本部(以下「法人本部」という。)、高知県立大学(以下「県立大学」という。)及び高知工科大学(以下「工科大学」という。)をいう。
(18)管理運営部局
高知県立大学においては情報部情報課、高知工科大学においては総務部情報システム課、法人本部においては総務部情報課をいう。
(最高情報セキュリティ責任者)
第4条 本法人における情報セキュリティに関する事務を統括する最高情報セキュリティ責任者(以下「CISO」という。)1人を置き、理事長をもって充てる。
2 CISO は、次に掲げる事務を統括すること。
(1)情報セキュリティ対策推進のための組織・体制の整備
(2)情報セキュリティ対策基準の決定、見直し
(3)対策推進計画の決定、見直し
(4)情報セキュリティインシデントに対処するために必要な指示その他の措置
(5)前各号に掲げるもののほか、情報セキュリティに関する重要事項
3 CISO を助けて本法人における情報セキュリティに関する事務を整理し、 CISO の命を受けて本法人の情報セキュリティに関する事務を統括する最高情報セキュリティ副責任者(以下「副CISO」という。)3人を置き、高知県立大学学長、高知工科大学学長及び法人本部長をもって充てる。
(セキュリティ対策の最終決定機関)
第5条 高知県公立大学法人情報戦略統括会議規程第6条で設置される高知県公立大学法人情報戦略統括会議(以下「情報戦略統括会議」という。)を情報セキュリティ対策に関する事項の最終決定機関とし、次に掲げる事項を審議する。
(1)情報セキュリティ対策基準
(2)対策推進計画
(3)前各号に掲げるもののほか、情報セキュリティに関し必要な事項
(事務)
第6条 CISOの指示により、管理運営部局の協力を得て、法人本部総務部情報課において以下の各号に定める事務を行う。
(1)情報戦略統括会議の運営に関する事務
(2)本法人の情報システムの運用と利用におけるポリシーの実施状況の取りまとめ
(3)講習計画、リスク管理及び非常時行動計画等の実施状況の取りまとめ
(4)本法人の情報システムのセキュリティに関する連絡と通報
(情報セキュリティ監査責任者)
第7条 CISOは、その指示に基づき実施する監査に関する事務を統括する者として、情報セキュリティ監査責任者1人を置く。
2 情報セキュリティ監査責任者は、命により次の事務を統括する。
(1)監査実施計画の策定
(2)監査実施体制の整備
(3)監査の実施指示及び監査結果のCISOへの報告
(4)前各号に掲げるもののほか、情報セキュリティの監査に関する事項
(部門統括責任者の設置)
第8条 部門ごとに、部門実施責任者を統括し部門の情報セキュリティ対策について総合調整する事務を担うとともに、CISO及び副CISOを補佐する部門統括責任者を置く。
2 法人本部部門統括責任者は、法人副本部長をもって充てる。
3 高知県立大学部門統括責任者は、高知県立大学副学長をもって充てる。
4 高知工科大学部門統括責任者は、高知工科大学副学長をもって充てる。
5 部門統括責任者は、命を受け、次の事務を統括する。
(1)情報戦略統括会議での審議事項と管理を行う部門間の調整
(2)前各号に掲げるもののほか、情報セキュリティ対策に係る事務
(部門実施責任者の設置)
第9条 部門ごとに、情報セキュリティ対策に関する事務を実施する者として、部門実施責任者を置く。
2 法人本部部門実施責任者は、高知県公立大学法人本部情報セキュリティ委員会規程第4条第2号に定める者とする。
3 高知県立大学部門実施責任者は、高知県立大学情報基盤・セキュリティ本部規程第5条第1号に定める者とする。
4 高知工科大学部門実施責任者は、高知工科大学情報セキュリティ委員会規程第4条第2号に定める者とする。
5 部門実施責任者は、管理を行う部門における情報セキュリティ対策を推進するため、次の事務を統括する。
(1)情報セキュリティ対策に関する実施手順の整備及び見直し並びに実施手順に関する事務の取りまとめ
(2)情報セキュリティ対策に係る教育実施計画の策定及び当該実施体制の整備
(3)情報セキュリティに係る自己点検計画の策定及び実施手順の整備
(4)情報セキュリティインシデントに対処するための緊急連絡窓口の整備等
(5)前各号に掲げるもののほか、管理を行う部門の情報セキュリティ対策に関する事務
(部門情報セキュリティ委員会)
第10条 各部門に部門情報セキュリティ委員会を置く。
2 部門情報セキュリティ委員会に関し必要な事項は、別に定める。
第11条 CISOは、CSIRTを整備し、その役割を明確化する。
2 CSIRT に関し必要な事項は、別に定める。
(兼務を禁止する役割)
第12条 教職員等は、情報セキュリティ対策の運用において、以下の役割を兼務してはならない。
(1)承認又は許可(以下本条において「承認等」という。)の申請者と当該承認を行う者(以下、本条において「承認権限者等」という。)
(2)監査を受ける者とその監査を実施する者
(3)教職員等は、承認等を申請する場合において、自らが承認権限者等であるときその他承認権限者等が承認等の可否の判断をすることが不適切と認められるときは、当該承認権限者等の上司又は適切な者に承認等を申請し、承認等を得る。
(対策基準の策定)
第13条 CISOは、対策基準を定めることに関し必要な事項は、別に定める。
(その他)
第14条 この規程に定めるもののほか、情報セキュリティに関し必要な事項、情報システムの運用に関し必要な事項その他必要な事項については、別に定める。
附 則
1 この規程は、令和6年4月1日から施行する
2 この規程の施行に伴い、高知県公立大学法人情報システム運用基本規程は廃止する。