○国立大学法人横浜国立大学情報資産運用リスク管理規則
(平成22年3月26日規則第36号)
(目的)
第1条
この規則は、国立大学法人横浜国立大学(以下「本学」という。)が定める国立大学法人横浜国立大学情報システム運用基本方針(平成20年3月14日教育研究評議会承認)及び国立大学法人横浜国立大学情報システム運用基本規則(平成20年規則第33号)(以下「情報システム運用ポリシー」という。)に基づき、本学の情報資産の運用におけるリスクを分析し、必要な対策を立て、情報セキュリティを確保することを目的とする。
(定義)
第2条
この規則における用語の定義は、次に掲げるとおりとする。
(1)
機密性(Confidentiality)
アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
(2)
完全性(Integrity)
情報及び処理方法が正確であること及び完全であることを保護すること。
(3)
可用性(Availability)
認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること。
2
その他の用語の定義は、国立大学法人横浜国立大学情報システム運用基本規則の定めるところによる。
(リスク分析手順)
第3条
全学総括責任者は、情報資産の価値と脅威及び脆弱性を評価するために、情報資産の運用リスク分析手順を定める。
(リスク管理評価)
第4条
全学総括責任者は、全学実施責任者を含む各情報資産の管理者に対して、少なくとも年に一回、リスク管理に関する評価を次に従い実施し、その結果を報告するよう指示する。
(1)
当該管理者は、自らが扱う情報資産について情報資産運用リスク分析手順に基づき、リスク評価を行う。
(2)
当該管理者は、評価結果に従い、リスクに対する事前の対策を必要とするものについては、状況を判断し、例に倣ってその具体策を定める。
また、トラブルが発生した場合の具体的な対応については、当該情報資産についてのインシデント対応手順を定める。この場合において、対策を施さないと判断したものについては、全学総括責任者に報告する。
(3)
全学総括責任者は、報告に基づいて、情報システム運用ポリシー及び実施規則等の見直しを行う。
附 則
この規則は、平成22年4月1日から施行する。