○国立大学法人横浜国立大学情報システム管理規則
| (平成22年3月26日規則第34号) |
|
第1章 総則
(目的)
第1条 この規則は、国立大学法人横浜国立大学(以下「本学」という。)が定める国立大学法人横浜国立大学情報システム運用基本方針(平成20年3月14日教育研究評議会承認)及び国立大学法人横浜国立大学情報システム運用基本規則(平成20年規則第33号)第16条に基づき、情報システムの管理、運用について必要な事項を定めることにより、本学が保有する情報資産を適正に保護及び活用し、併せて情報システムの信頼性、安全性及び効率性の向上に資することを目的とする。
(定義)
第2条 この規則における用語の定義は、次に掲げるとおりとする。
(1) 運用基本方針
本学が定める国立大学法人横浜国立大学情報システム運用基本方針をいう。
(2) 運用基本規則
本学が定める国立大学法人横浜国立大学情報システム運用基本規則をいう。
(3) サーバ
情報システムのうち、PC等に対して、特定の情報サービスを提供するものをいう。
(4) 部局等個別管理責任者(以下「責任者」という。)
当該情報システムの管理・監督の責任者で、部局等総括責任者が定める者をいう。
(5) 部局等個別運用担当者(以下「担当者」という。)
責任者によって指名された当該情報システムの運用管理を実施する者をいう。
(6) 利用者認証
識別符号を提示した責任者、担当者又は利用者等が、情報システムにアクセスする正当な権限を有するか否かを検証することをいう。識別符号とともに正しい方法で主体認証情報(パスワード等)が提示された場合に利用者認証ができたものとして、情報システムはそれらを正当な権限を有するものとして認識する。「認証」という用語は、公的又は第三者が証明するという意味を持つが、この規則における「主体認証」については、公的又は第三者による証明に限るものではない。
2 前項のほか、本規則中の用語の定義は、運用基本規則の定めるところによる。
(適用範囲)
第3条 この規則は、情報資産及び情報システムを運用・管理する者に適用するものとする。
(組織体制)
第4条 全学的な情報システムの運用・管理は、運用基本方針及び運用基本規則に従い、全学総括責任者の下、全学実施責任者及び情報システム管理運営部局(以下「管理運営部局」という。)が行うものとする。
2 全学の情報ネットワークと部局の情報ネットワークとの調整及び対外接続については、管理運営部局が管理するものとする。
3 第1項以外の情報システムの運用・管理は、運用基本方針及び運用基本規則に従い、部局等統括責任者の下に責任者が行うものとする。
(禁止事項)
第5条 責任者及び担当者は、次に掲げる事項を行ってはならない。
(1) 情報資産の目的外利用
(2) 守秘義務に違反する情報の開示
(3) 全学実施責任者の許可なく情報ネットワーク上の通信の監視並びに情報ネットワーク機器及び電子計算機の利用記録を採取する行為
(4) 全学実施責任者の要請に基づかずに、セキュリティ上の脆弱性を検知する行為
(5) 法令等に基づく処罰の対象となり、又は損害賠償等の民事責任を発生させる情報の発信
(6) 管理者権限を濫用する行為
(7) 情報システムによる対外的不適切行為
(8) 上記の事項を助長する行為
(責任者の設置)
第6条 第4条第3項による情報システムを設置しようとする場合は、当該情報システムの管理・監督をする者として責任者を定めなければならない。この場合において、当該情報システムが全学の情報システムを運用・管理を行う上で重要な影響をあたえるもののときは、責任者は、全学総括責任者に申請のうえ、承認を得なければならない。
[第4条第3項]
(担当者の指名)
第7条 責任者は、当該情報システムの運用管理を行う担当者を指名しなければならない。
(安全対策)
第8条 責任者は、物理的損壊又は情報の漏えい若しくは改ざん等のリスクを把握して、施設、設備及び環境面から安全対策を実施しなければならない。
(利用者認証と権限管理)
第9条 責任者は、利用者等が情報システムにログインする場合には利用者認証を行うように情報システムを構成しなければならない。
2 責任者は、ログインした利用者等の識別符号に対して、権限管理を行わなければならない。
(情報ネットワークに関する運用)
第10条 責任者は、情報ネットワークを構築し運用するにあたっては、国立大学法人横浜国立大学キャンパス情報ネットワーク管理運用規則を遵守し、キャンパス情報ネットワークとの整合性に留意しなければならない。
2 責任者は、情報ネットワークシステムを構築し運用するにあたって管理に必要なログの取得を行わなければならない。
(セキュリティホール対策)
第11条 責任者は、構築された情報システムのセキュリティホールに留意し、セキュリティホールが発見又は通知された場合、速やかにそれらを閉じるための対策を取らなければならない。
(マルウェア等対策)
第12条 責任者は、構築された情報システムについて、マルウェア等による不正操作を防止するための対策を取らなければならない。
(運用管理)
第13条 責任者は、当該情報システムのセキュリティ維持に関する規則等に基づいて、情報システムの運用管理を行わなければならない。
2 責任者は、通信回線を介して提供するサービスのセキュリティ維持に関する規則等に基づいて、日常的及び定期的に運用管理を実施しなければならない。
3 本学の情報システムで取り扱うソフトウェアは、正規のライセンスを受けたものでなければならない。
(サーバの対策)
第14条 責任者は、定期的にサーバの構成の変更を確認しなければならない。また、当該変更によって生ずるサーバのセキュリティへの影響を特定し、対応しなければならない。
2 責任者は、サーバに保存されている情報について、重要度に応じ、定期的にバックアップを取得しなければならない。また、バックアップ情報を記録した媒体は、安全に管理しなければならない。
3 責任者は、サーバの運用管理について、作業日、作業を行ったサーバ、作業内容及び作業者を含む事項を記録しなければならない。
4 責任者は、情報システムにおいて基準となる時刻に、サーバの時刻を同期しなければならない。
(情報システムの学外への公開)
第15条 情報システムの管理責任者が、当該情報システムを学外に公開する場合は、次の事項を遵守しなければならない。
(1) 情報システムを学外に公開する場合は、事前に全学実施責任者の許可を得なければならない。
(2) 当該システムの管理責任者は、当該システムを許可された者以外に利用させてはならない。また、不正操作、情報漏洩防止の観点から、当該システムを他者が不正に支配又は操作可能な状態にしてはならない。
(ウェブサーバの管理)
第16条 ウェブサイトの管理責任者は、次の規則等により、ウェブサイトを管理及び運用し、セキュリティや著作権等の問題及び本学の社会的信用に配慮しなければならない。
(1) 国立大学法人横浜国立大学公式ウェブサイトの運用等に関する規則(平成16年規則第45号)
(2) ウェブホスティングサービス利用規約(平成20年2月23日情報基盤センター制定)
2 研究室等で学外公開用ウェブサーバを運用しようとする場合、責任者は、事前に全学実施責任者が定める申請書を提出し、全学実施責任者の許可を得なければならない。
3 ウェブサイト運用に関して、関係規則やガイドラインに違反する行為が認められた場合には、全学実施責任者は、公開許可の取り消しやウェブコンテンツの削除の対応を行う。
(情報システムの見直し)
第17条 責任者は、情報システムの情報セキュリティ対策について見直しを行う必要性の有無を適時検討し、必要があると認めた場合にはその見直しを行い、必要な措置を講じなければならない。
(廃棄される記録媒体の取扱い)
第18条 責任者は、情報システムの運用終了時にはサーバ等の記録媒体を物理的な破壊又はそれに準じる処置を行うことで、すべての情報を復元が困難な状態にしなければならない。
(アクセス制御等)
第19条 責任者は、次に掲げる項目の管理に対して必要な運用ルールを定め、それに基づいて適切に対応しなければならない。
(1) 利用者認証
(2) アクセス制御機能
(3) アカウント管理機能
(4) ログ管理機能
(ログ管理に関わる個人情報の取得と管理)
第20条 責任者は、ログ管理に関わる個人情報の取得と管理については、国立大学法人横浜国立大学の保有する個人情報の保護に関する規則(平成17年規則第58号)、国立大学法人横浜国立大学情報格付け基準及び横浜国立大学情報格付けに係る取扱いガイドラインに基づいて適切に行わなければならない。
(暗号化機能及び電子署名の付与機能)
第21条 責任者は、暗号化機能及び電子署名の付与機能に関しては、情報システムで扱われる情報資産の機密性を鑑みて、適切に対応しなければならない。
(情報システム運用の外部委託管理)
第22条 責任者は、本学情報システム関連業務の全て又はその一部を第三者に委託する場合には、当該第三者による情報セキュリティの確保が徹底されるよう必要な措置を講じなければならない。
2 責任者は、情報資産の全部又は一部を外部に委託する場合は、委託する情報資産の安全な管理が図られるよう、受託者に対する必要、かつ、適切な監督を行わなければならない。
(雑則)
第23条 この規則に定めるもののほか、情報システムの管理及び運用に関し必要な事項は、別に定める。
附 則
この規則は、平成22年4月1日から施行する。
附 則(令和2年3月25日規則第51号)
|
|
この規則は、令和2年4月1日から施行する。
附 則(令和4年3月23日規則第37号)
|
|
この規則は、令和4年4月1日から施行する。