○国立大学法人横浜国立大学情報セキュリティ監査規則
(平成22年3月26日規則第40号)
改正
平成29年10月12日規則第96号
(目的)
第1条 この規則は、国立大学法人横浜国立大学(以下「本学」という。)が定める国立大学法人横浜国立大学情報セキュリティ管理規則(平成29年規則第10号。以下「情報セキュリティ管理規則」という。)第23条の規定に基づき、情報セキュリティ監査の実施基準を定めることにより、国立大学法人横浜国立大学情報システム運用基本方針(平成20年3月14日教育研究評議会承認)及び運用基本規則(以下「運用基本規則」という。)、実施規則等及び手順が確実に遵守され、問題点が改善されることを目的とする。
(定義)
第2条 この規則における用語の定義は、運用基本規則の定めるところによる。
(監査計画の策定)
第3条 情報セキュリティ管理規則第10条に規定する情報セキュリティ監査責任者は、年度毎に情報セキュリティ監査計画(以下「監査計画」という。)を策定し、情報セキュリティ統括責任者(Chief Information Security Officer。以下「CISO」という。)の承認を得るものとする。
2 監査計画には、重点とする監査対象及び監査目標(情報漏えい防止、不正アクセス防止など)、監査実施期間、監査業務の管理体制、外部委託による監査の必要性及び範囲、監査予算等を含むものとする。
3 以前に実施した監査で明らかになった課題及び問題点の改善状況について、監査を実施する場合には、監査計画に盛り込むものとする。
(情報セキュリティ監査の実施に関する指示)
第4条 CISOは、監査計画に従って、情報セキュリティ監査責任者に対して、監査の実施を指示する。
2 CISOは、情報セキュリティの状況に応じて必要と判断した場合、情報セキュリティ監査責任者に対して、監査計画で計画された事案以外の監査の実施を指示することができる。
(個別の監査業務における監査実施計画の策定)
第5条 情報セキュリティ監査責任者は、監査計画及び情報セキュリティの状況の変化に応じた監査の実施指示に基づき、個別情報セキュリティ監査実施計画(以下「個別監査実施計画」という。)を策定する。
2 個別監査実施計画には、監査の実施時期、監査の実施場所、監査の実施担当者及び割当て、準拠性監査(本学情報システム運用ポリシー、実施規則等及び手順に準拠した手続が実施されていることを確認する監査)のほか、必要に応じて妥当性監査(実施している手続が有効なセキュリティ対策であることを確認する監査)を行うかについての方針、実施すべき監査の概要(監査要点、実施すべき監査の種類及び試査の範囲を含む。)、監査の進捗管理手段又は体制等を含むものとする。
(情報セキュリティ監査を実施する者の要件)
第6条 情報セキュリティ監査責任者は、監査を実施する部局等(以下「被監査部門」という。)から独立した情報セキュリティ監査実施者を選定し、指名する。
2 情報セキュリティ監査責任者は、必要に応じて、本学外の者に監査の一部を請け負わせることができる。
(情報セキュリティ監査の実施)
第7条 情報セキュリティ監査実施者は、情報セキュリティ監査責任者の指示に基づき、個別監査実施計画に従って監査を実施する。
2 情報セキュリティ監査実施者は、被監査部門における実際の運用が本学情報システム運用ポリシー、実施規則等及び手順に準拠しているか否かを確認する。
3 情報セキュリティ監査実施者は、監査調書を作成し、あらかじめ定められた期間保存する。
4 情報セキュリティ監査責任者は、監査調書に基づき監査報告書を作成し、CISOへ提出する。
(情報セキュリティ監査結果に関する報告)
第8条 情報セキュリティ監査責任者は、CISOに対し、監査報告書に関する報告会を実施する。
2 報告会出席者は、CISO、情報セキュリティ監査責任者、情報セキュリティ管理規則第8条に規定する情報セキュリティ実施責任者(以下「情報セキュリティ実施責任者」という。)、情報セキュリティ管理規則第9条に規定する情報セキュリティ管理責任者(以下「情報セキュリティ管理責任者」という。)、情報セキュリティ監査実施者及び被監査部門の長とする。
(情報セキュリティ監査結果に対する対応)
第9条 CISOは、監査報告書の内容を踏まえ、被監査部門の長に対して、指摘事項に対する対応の実施を指示する。
2 CISOは、監査報告書の内容を踏まえ、被監査部門以外の部局等においても同種の課題及び問題点がある可能性が高く、かつ緊急に同種の課題及び問題点があることを確認する必要があると判断した場合には、同種の課題及び問題点の有無を確認するように指示する。
3 被監査部門の長は、監査報告書に基づいてCISOから改善を指示された指摘事項について、改善対応計画書を作成し、報告する。
4 CISOは、監査の結果を踏まえ、本学情報システム運用ポリシー、実施規則等及び手順の妥当性を評価し、必要に応じてその見直しを指示する。
第10条 情報セキュリティ監査責任者は、監査報告会後一定期間を経て、指摘事項に対する改善の進捗を確認する。
2 情報セキュリティ監査責任者は、改善の進捗を確認後、最終監査報告書を作成し、CISOに対し最終監査報告会を実施する。
3 最終監査報告会の出席者は、CISO、情報セキュリティ監査責任者、情報セキュリティ実施責任者、情報セキュリティ管理責任者、情報セキュリティ監査実施者及び被監査部門の長とする。
(監査資料の保管)
第11条 CISOは、監査報告書、改善対応計画書、最終監査報告書、監査調書を関係者外秘とし、定められた期間保管しなければならない。
附 則
この規則は、平成22年4月1日から施行する。