(目的)
第1条 独立性を有する者による高知県公立大学法人(以下「本法人という。」)の情報セキュリティ監査の実施基準を定めることにより、高知県公立大学法人情報セキュリティ対策基本方針及びそれに基づく手順等の遵守状況が監査の実施を通じて確認され、明らかになった問題点が改善されるようにすることを目的とする。
(適用範囲)
第2条 この規程は、本法人及び関係機関において実施するすべての情報セキュリティ監査に適用する。
(用語)
第3条 この規程において用いる用語は、本法人が定める「情報セキュリティ対策基本規程」及び「情報セキュリティ対策基準」において定めるところによる。
(監査実施計画の策定)
第4条 情報セキュリティ監査責任者は、情報戦略統括会議で審議された対策推進計画に基づき監査実施計画を定めること。
2 情報セキュリティ監査責任者は、情報セキュリティの状況の変化に応じ、対策推進計画で計画された以外の監査の実施が必要な場合には、追加の監査実施計画を定めること。
(監査実施計画の記載事項)
第5条 情報セキュリティ監査責任者は、対策推進計画に基づき、監査実施計画を策定すること。
(1)監査の目的
(2)監査の対象
(3)監査の方法
(4)監査の実施体制
(5)監査の実施時期
2 情報セキュリティ監査責任者は、組織内における監査遂行能力が不足している場合等においては、法人外の者に監査の一部を請け負わせること。
(監査の実施)
第6条 情報セキュリティ監査責任者は、監査実施計画に基づき、以下の事項を含む監査の実施を監査実施者に指示し、結果を監査報告書として最高情報セキュリティ責任者(以下「CISO」という。)に報告すること。
(1)対策基準に適切な事項が定められていること
(2)実施手順が情報セキュリティ対策基本方針及びそれに基づく規程等に準拠していること
(3)被監査部門における実際の運用が情報セキュリティ関係規程に準拠していること
(情報セキュリティ監査実施者)
第7条 情報セキュリティ監査責任者は、監査業務の実施において必要となる者を、被監査部門から独立した者から選定し、情報セキュリティ監査実施者に指名すること。
(監査結果に応じた対処)
第8条 CISOは、監査報告書の内容を踏まえ、指摘事項に対する改善計画の策定等を部門統括責任者及び部門実施責任者に指示すること。
2 部門統括責任者は、CISOからの改善の指示のうち、本法人内で横断的に改善が必要な事項について、必要な措置を行った上で改善計画を策定し、措置結果及び改善計画をCISOに報告すること。
3 部門実施責任者は、CISOからの改善の指示のうち、自らが担当する組織のまとまりに特有な改善が必要な事項について、必要な措置を行った上で改善計画を策定し、措置結果及び改善計画をCISOに報告すること。
附 則
この規程は、令和6年4月1日から施行する。