公立大学法人大分県立芸術文化短期大学情報セキュリティに関する規程
平成31年 3月15日
規程第 85号
(目的)
第1条 公立大学法人大分県立芸術文化短期大学情報セキュリティに関する規程(以下「情報セキュリティ規程《という。)は、公立大学法人大分県立芸術文化短期大学(以下「本学《という。)の保有する情報資産の機密を保持し、内外の脅威から守るため、情報システムの運用、管理及び利用並びに情報セキュリティ対策に関する取扱等の基本的事項を定めることにより、情報資産が本学の運営及び教育・研究活動において有効かつ安全に活用されることを目的とする。
(用語の定義)
第2条 情報セキュリティ規程で使用する用語は、以下の各号の定義するところによる。
一 情報セキュリティ 情報資産の機密性を保持し、完全性及び正確性を維持するとともに、予め許可された範囲内においては必要とする情報資産の利用を確実にできる状態を確保することをいう。
二 情報資産 本学が業務において取り扱うすべての情報及び情報を管理する仕組み(情報システム並びにシステムの開発、運用及び保守のための資料等)をいう。
三 情報システム ハードウェア、ソフトウェア、プログラム、ネットワーク及び記録媒体で構成されるもので、これら全体を用いて教育・研究及び事務処理を行うための情報処理の体系をいう。
四 ネットワーク 電子計算機、関連機器等の多目的利用及び各種オンラインシステムのデータ伝送を目的とした構内及び施設間通信網により構築された情報通信基盤をいう。
五 アクセス 情報資産に対し、何らかの利用目的を持って接触又は接続することで、本学の業務に関する資料および帳票や簿冊等の記載内容を閲覧・転記するために接すること及び情報システムへネットワークを介したデータ取得のために端末を接続すること等をいう。
(適用対象者)
第3条 情報セキュリティ規程の適用対象者は、本学の情報資産を利用する全ての役員、教員及び職員(臨時的任用又は非常勤の職にある者を含む。以下「教職員《という。)、学生(専攻科生、科目等履修生等を含む。以下「学生等《という。)、委託業務等により従事する事業者(下請けを行う者を含む。以下「学外業者《という。)並びに来学者とする。
(教職員の義務)
第4条 教職員及び学生等は、情報セキュリティ規程及び関係法令等の趣旨を尊重し、自らの行動が本学の信用に影響を及ぼすことを強く認識したうえで、本学の情報資産に接するにあたっては最大限の配慮を払う等、本学の情報セキュリティの確保及び維持に対して、自発的で最善の努力をしなければならない。
(情報セキュリティ管理体制)
第5条 情報セキュリティ規程及び関連法令等の趣旨を適用対象者に理解・認識し、遵守させるにあたって必要な措置を講ずるため、最高情報セキュリティ責任者、情報セキュリティ実施責任者及び情報セキュリティ管理責任者を置く。
2 最高情報セキュリティ責任者は理事長をもって充て、本学の情報資産の管理及び情報セキュリティ対策に関する最終決定権限を持ち、学内外に対して責任を負う。
3 情報セキュリティ実施責任者は事務局長をもって充て、最高情報セキュリティ責任者を補佐する。
4 情報セキュリティ管理責任者は情報メディア教育センター長をもって充て、最高情報セキュリティ責任者の技術的な補佐を行う。
5 本学の情報資産に関する一元的な情報セキュリティ対策を実施するため、情報セキュリティ委員会を置き、次に掲げる者で構成する。
一 理事長
二 理事(教育担当)
三 理事(研究担当)
四 事務局長
五 各学科長
六 総務企画部長
七 情報メディア教育センター長
八 その他理事長が必要と認める者
6 情報セキュリティ委員会は、次に掲げる事項を行う。
一 情報セキュリティ対策ガイドライン(以下「対策ガイドライン《という。)及び情報セキュリティ実施手順(以下「実施手順《という。)を策定する。
二 情報セキュリティ規程及び対策ガイドラインが遵守されていることを確認するため、情報セキュリティ実施状況の検証を行う。
三 教職員に対して情報セキュリティ規程及び対策ガイドラインの周知徹底並びに情報セキュリティに関する啓発を行う。
四 情報セキュリティに関する事件・事故の調査及び分析、被害拡大の防止並びに再発防止策の立案を行う。
五 その他情報資産の管理及び情報セキュリティ対策について必要な事項を検討審議する。
(情報資産の分類)
第6条 情報セキュリティ管理責任者は、本学の保有する情報資産を調査し、保護すべき資産を特定するとともに、それぞれの重要度に応じて情報セキュリティを確保するため、分類を行う。
(情報資産への脅威)
第7条 本学の情報資産を前条の分類に基づき、次の各号に掲げる事項を認識のうえ、各々の情報資産に対する様々な脅威の規模及びその発生頻度並びに情報管理の脆弱性を特定するものとする。
一 物理的脅威 地震・落雷・火災等の災害による施設の倒壊や電力供給の停止、情報システムの事故及び故障、悪意を持った部外者の侵入並びにネットワークの回線異常による正常なサービスの停止等
二 人的脅威 教職員及び学外業者による誤操作、パスワードの上適正な管理、故意の上正なアクセス又は上正な操作による情報資産の持出・盗聴・上正な利用・改ざん・搊壊・複製、機器及び記録媒体の盗難及び無許可のアクセスによるデータ漏えい等
三 技術的脅威 部外者による故意の上正なアクセス又は上正な操作による情報資産の持出・盗聴・上正な利用・改ざん・搊壊、機器及び記録されたデータの盗難、コンピュータウイルスの侵入、故意の障害発生行為等
(情報セキュリティ対策)
第8条 前条により特定された脅威から情報資産を保護するため、情報セキュリティ実施責任者及び情報セキュリティ管理責任者は、協同して次の各号に掲げる情報セキュリティ対策を講ずるものとする。
一 物理的対策 情報システムを設置する場所への上正な立入りを防止する対策を講ずる。
二 人的対策 教職員に情報セキュリティ規程及び情報セキュリティに関する法令等の内容を周知し、守秘義務を徹底する等、十分な教育及び啓発を行うため、必要な対策を講ずる。また、学外業者及び来学者に対しても、業務委託等により知り得た情報の守秘義務を認識させるため、契約又は別途取決め等を行い、情報セキュリティの確保に必要な措置を講ずる。
三 技術的対策 情報資産を外部からの上正なアクセス等から適切に保護するため、ネットワークの管理、情報資産へのアクセスの制御、コンピュータウイルス対策等の技術面の対策を講ずる。
四 運用における対策 情報セキュリティ規程及び情報セキュリティに関する関係法令の遵守状況の確認、ネットワークの管理など運用面の対策を講ずる。また、緊急事態が発生した場合に迅速な対応を可能とするための対策を講ずる。
2 技術面、費用面等の制約から、情報セキュリティ規程及び対策ガイドラインに定められた対策基準の達成が極めて困難な場合には、情報セキュリティ委員会に報告し、承認を得るものとする。
(対策ガイドライン)
第9条 対策ガイドラインには、前条第一項の対策を講ずるにあたって、遵守すべき行為及び判断等の基準並びに必要となる基本的な要件を明記するものとする。
(実施手順)
第10条 実施手順には、情報セキュリティ規程及び対策ガイドラインを遵守して情報セキュリティ対策を実施するため、本学が利用する個々の情報システムについての具体的な実施手順を明記するものとする。
(事故発生時の対応)
第11条 教職員は、情報システムに事故や欠陥を発見した際には、直ちに情報セキュリティ管理責任者へ報告し、その指示に従わなければならない。
2 情報セキュリティ管理責任者は、情報システムの障害を直ちに復旧し、事故等の障害原因を分析するとともに、必要に応じて再発防止策を講じなければならない。
(違反への対応)
第12条 教職員が情報セキュリティ規程に違反する行為を行ったと認められる場合は、その違反の程度に応じ、公立大学法人大分県立芸術文化短期大学職員就業規則に基づく懲戒処分、訓告又は厳重注意等の人事管理上必要な処分等を講ずるものとする。
(補則)
第13条 情報セキュリティ規程に定めるもののほか、情報セキュリティ対策の実施に関して必要な事項は最高情報セキュリティ責任者が定めるものとする。
附 則
(施行期日)
1 情報セキュリティ規程は、平成31年4月1日から施行する。
2 大分県立芸術文化短期大学情報セキュリティポリシー(平成19年4月制定)は廃止する。