○国立大学法人横浜国立大学情報セキュリティ管理規則
(平成29年1月23日規則第10号)
改正
平成29年10月12日規則第93号
平成30年3月29日規則第47号
令和4年3月23日規則第39号
(趣旨)
第1条 この規則は、国立大学法人横浜国立大学情報システム運用基本規則第17条に基づき、情報セキュリティの管理について、必要な事項を定める。
(適用範囲)
第2条 この規則は、国立大学法人横浜国立大学(以下「本学」という。)において、情報システムを運用・管理・利用するすべての者に適用する。
(定義)
第3条 この規則における用語の定義は、国立大学法人横浜国立大学の保有する個人情報の保護に関する規則(平成17年規則第38号。以下「個人情報保護規則」という。)、国立大学法人横浜国立大学情報システム運用基本規則(平成20年規則第33号。以下「運用基本規則」という)。及び国立大学法人横浜国立大学情報システム管理規則(平成22年規則第34号)の定めるところによる。
(情報セキュリティ委員会)
第4条 本学の情報セキュリティに関する重要事項を審議するため、情報セキュリティ委員会(以下「委員会」という。)を置く。
2 委員会に関し必要な事項は、別に定める。
(情報セキュリティインシデント対応チームの設置)
第5条 本学の情報セキュリティが脅かされる、又は学内から学外の情報セキュリティを脅かす可能性がある(以下「情報セキュリティインシデント事象」という。)と判断する場合に、その対応を技術的に支援することにより、情報セキュリティインシデント発生時の影響を最小限に抑制し、情報資産の安全を確保することを目的として、委員会の下に、横浜国立大学情報セキュリティインシデント対応チーム(YNU-Information Security Incident Response Team。以下「YNU-ISIRT」という。)を置く。
2 YNU-ISIRTに関し必要な事項は、別に定める。
(情報セキュリティ実施責任者)
第6条 本学に、情報セキュリティ実施責任者を置き、研究・学術情報部長をもって充てる。
2 情報セキュリティ実施責任者は、情報セキュリティインシデント事象と判断する場合には、CISOの命を受け必要な対応を執る権限を有する。
(情報セキュリティ管理責任者)
第7条 情報セキュリティ実施責任者を補佐するため、情報セキュリティ管理責任者を置き、情報企画課長をもって充てる。
2 情報セキュリティ管理責任者は、情報セキュリティインシデントの可能性を認知し、緊急性を有する場合は、情報システムの全部又は一部停止又は外部ネットワークからの遮断等、被害の拡大防止を図るため、緊急措置を行う権限を有する。
3 情報セキュリティ管理責任者は、前項の対応を行った場合には、直ちにCISO又は情報セキュリティ実施責任者にその後の判断を仰ぎ、その指示に従うものとする。
4 情報セキュリティ管理責任者は、本学の情報セキュリティに関する連絡と通報を統括する。
(情報セキュリティ監査責任者)
第8条 本学に情報セキュリティ監査責任者を置き、CISOが本学教授又は准教授から指名する。
2 情報セキュリティ監査責任者は、CISOの指示に基づき、第23条に規定する監査に関する事項を統括する。
(情報資産の管理及び取扱いにおける対策)
第9条 情報資産を取り扱う者は、当該情報資産の特性に応じて適切な情報セキュリティ対策を講じなくてはならない。
(情報システムの安全管理等における対策)
第10条 情報システムを運用、管理又は利用する者は、本学の情報セキュリティ水準の低下を招く行為を行ってはならない。
(情報資産の外部委託)
第11条 本学の情報資産の取扱いに関して外部委託を行う場合は、委託先において情報セキュリティが徹底されるよう、必要な措置を講じなければならない。
(廃棄される記憶媒体の取扱い)
第12条 本学が所有する情報システム及びPC等を廃棄する場合は、記憶媒体を物理的な破壊又はそれに準ずる処置を行うことで、全ての情報を復元が困難な状態にしなければならない。
(インシデントに備えた体制の整備)
第13条 全学総括責任者は、情報セキュリティインシデントが発生した場合に備えた学内体制の整備をしなければならない。
2 全学総括責任者は、緊急かつ重大な情報セキュリティインシデントが発生した場合、国立大学法人横浜国立大学における危機管理に関する規則(平成20年規則第97号)及び次条第4項に定めるインシデント対応手順等に従って対応しなければならない。
(インシデント対応における体制整備)
第14条 CISOは、本学の情報セキュリティに関わる情報を入手した場合、情報セキュリティ実施責任者又は部局等総括責任者に通知し、情報セキュリティの維持を図るものとする。
2 CISOは、情報セキュリティに関するインシデントが発生した場合、YNU-ISIRTへ指示を行い、被害の拡大を防ぐとともに、インシデントから復旧するための体制を整備するものとする。
3 CISOは、インシデントについて利用者から部局等総括責任者に対する報告の手順を整備し、当該報告の手順を全ての利用者に周知するものとする。
4 CISOは、インシデントが発生した際の対応手順を整備するものとする。
5 CISOは、インシデントに備え、本学の教育、研究及び事務の遂行のため特に重要と認めた情報システムについて、当該情報システムを所有又は管理する部局等の部局等総括責任者及び部局等情報システム管理責任者並びに当該情報システムの情報システム責任者の緊急連絡先、連絡手段及び連絡内容を含む緊急連絡網を整備するものとする。
6 CISOは、インシデントについて学外から報告を受けるための窓口を設置し、当該窓口への連絡手段を学外に公表するものとする。
(インシデント対応手順)
第15条 部局等総括責任者は、インシデント対応手順に基づき、インシデントが発生した場合には、直ちにYNU-ISIRTに報告するものとする。
2 YNU-ISIRTは、当該部局等情報システム管理責任者と協力してインシデントの原因を調査し、及び再発防止策を策定し、その結果を報告書としてCISOに提出するものとする。
3 CISOは、YNU-ISIRTからインシデントについての報告を受けた場合には、その内容を検討し、再発防止策を実施するために必要な措置を講じるものとする。
4 インシデントの原因が、利用者の情報資産の取扱いに関する本学の規程等に反する直接的又は間接的な違反行為による場合、CISOは、学長又は関係する部局等総括責任者に対し、当該違反行為を報告するものとする。
5 緊急性を要するインシデントが発生し、対応が必要な場合には、被害拡大防止等のために応急対応を取ることができることとし、詳細は別に定める。
(情報セキュリティ違反への対応)
第16条 全学総括責任者は、情報セキュリティ関係規則への重大な違反の報告を受けた場合又は自らが重大な違反を知った場合には、速やかに調査を行い、事実を確認しなければならない。この場合において、可能な限り当該行為を行った者の意見を聴取しなければならない。
2 全学総括責任者は、自らが重大な違反を知った場合、又は調査によって違反行為が判明したとき及びその疑いがある場合には、次に掲げる措置を講じることができる。
(1) 当該行為者に対する当該行為の中止命令及びその当該情報システムの停止命令
(2) 全学実施責任者に対する当該行為に係る情報発信の遮断命令
(3) 全学実施責任者に対する当該行為者のアカウント停止命令又は削除命令
(4) 全学実施責任者に対するキャンパス内の情報ネットワークの緊急遮断措置
(5) その他当該行為に必要な措置
3 全学総括責任者は、第2項第2号及び第3号については、部局等総括責任者に対し同等の措置を命令することができる。
4 部局等総括責任者は、情報セキュリティへの重大な違反の報告を受けた場合、又は自らが重大な違反を知った場合及び第2項と同等の措置を講じた場合は、遅滞なく全学総括責任者にその旨を報告しなければならない。
5 利用者等が情報セキュリティ関係規則に違反している行為を発見した場合は、全学総括責任者に報告しなければならない。この場合において、全学総括責任者は、速やかに当該部局等総括責任者に対し、調査を行うよう指示するものとする。
(情報システム利用における違反行為への対処)
第17条 全学実施責任者は利用者が所属する部局等総括責任者に対し、利用者の行為が、情報セキュリティ違反すると被疑される行為と認められたときは、速やかな事実確認のための調査と報告を求めるものとする。この場合において、可能な限り当該行為を行った者から意見を聴取しなければならない。
(情報安全管理の見直し)
第18条 CISOは、全学の情報資産の取扱い及び情報セキュリティ対策について見直しを行う必要性の有無を適時検討し、必要があると認めた場合には、当該対策について見直しを行うとともに、必要な措置を講ずるものとする。
2 部局等総括責任者は、部局等の情報資産の取扱い及び情報セキュリティ対策について見直しを行う必要性の有無を適時検討し、必要があると認めた場合には、当該対策について見直しを行うとともに、必要な措置を講ずるものとする。
(情報セキュリティ教育)
第19条 CISOは、運用基本規則第8条に定める部局等総括責任者と連携協力し、情報セキュリティ教育を実施するものとする。
(情報セキュリティ教育の適用範囲)
第20条 情報セキュリティ教育は本学における情報システムの利用者全てに適用するものとする。
(情報セキュリティ教育に係る年度計画)
第21条 CISOは、情報セキュリティ教育に係る年度計画を作成しなければならない。
2 情報セキュリティ教育年度計画は、入学者向け教育、新規採用者向け教育、利用者向け教育、部局長・センター長向け教育及び役員・副学長向け教育対象ごとに作成するものとする。
3 情報セキュリティ教育年度計画は、国立大学法人横浜国立大学情報戦略推進機構運営会議の議を経て、全学総括責任者が決定する。
4 情報セキュリティ教育の実施方法は、集合教育、WBT(Web Based Training)及び実習等最適な方法を採用するものとする。
5 情報セキュリティインシデントが発生した場合は、当該インシデント発生部局に対し、随時情報セキュリティ教育を実施するとともに、全学に対し啓蒙及び周知情報の発信を行う。
(調査)
第22条 CISOは、必要があるときは、全学又は各部局の情報システムの情報セキュリティ関係諸規則等の実施状況、セキュリティ対策の実施状況及び第14条第1項の通知の対応状況について調査を行うことができる。この場合において、情報セキュリティ実施責任者及び部局等総括責任者は、CISOによる調査が円滑かつ適正に実施できるように協力しなければならない。
2 前項の調査の結果、改善の必要があると判断した場合、CISOは、情報セキュリティ実施責任者又は部局等総括責任者に対し改善計画の策定を指示し、併せて委員会に報告するものとする。
3 情報セキュリティ実施責任者又は部局等総括責任者は、前項の改善計画を策定及び実施し、実施状況をCISOに報告するものとする。
4 前項の報告を受けたCISOが状況の改善が見られないと判断した場合は、当該部局等の情報システムの全部又は一部の利用停止を情報セキュリティ管理責任者に命ずることができる。
(情報セキュリティ監査)
第23条 情報セキュリティ監査責任者は、情報システムのセキュリティ対策が本学情報システム運用ポリシー、実施規則等及び手順に従って実施されていることを監査する。
2 情報セキュリティ監査については、別に定める。
(役割の分離)
第24条 情報セキュリティ対策の運用において、次の役割を同一の者が兼務してはならない。
(1) 承認又は許可事案の申請者とその承認者又は許可者
(2) 監査を受ける者とその監査を実施する者
(雑則)
第25条 この規則に定めるもののほか、情報セキュリティの管理に関し必要な事項は、別に定める。
附 則
この規則は、平成29年4月1日から施行する。