○京都工芸繊維大学情報セキュリティ対策基本規則
令和4年3月24日
制定
(目的)
第1条 この規則は、京都工芸繊維大学(以下「本学」という。)における情報及び情報システムの情報セキュリティ対策について基本的な事項を定め、もって本学の保有する情報の保護と活用及び情報セキュリティ水準の適切な維持向上を図ることを目的とする。
(適用範囲)
第2条 この規則において適用対象とする者は、本学情報システムを運用・管理するすべての者、並びに利用者及び臨時利用者とする。
2 この規則において適用対象とする情報は、次に掲げるとおりとする。
(1) 教職員等が職務上使用することを目的として本学が調達し、又は開発した情報処理若しくは通信の用に供するシステム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)
(2) その他の情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)であって、教職員等が職務上取り扱う情報
(3) 前2号のほか、本学が調達し、又は開発した情報システムの設計又は運用管理に関する情報
3 この規則において適用対象とする情報システムは、この規則の適用対象となる情報を取り扱う全ての情報システムとする。
(1) 外部委託
本学の情報処理業務の一部又は全部について、契約をもって外部の者に実施させることをいう。「委任」「準委任」「請負」といった契約形態を問わず、全て含むものとする。
(2) 学生等
京都工芸繊維大学通則(昭和24年10月10日制定)及び京都工芸繊維大学大学院学則(昭和63年9月30日制定)に定める学生、科目等履修生、研究生、特別聴講学生、特別研究学生、特別受入学生、国際交流学生及び外国人留学生のほか、部局総括責任者が認めた者をいう。
(3) 機器等
情報システムの構成要素(サーバ装置、端末、通信回線装置、複合機、特定用途機器等、ソフトウェア等)、外部電磁的記録媒体等の総称をいう。
(4) 教職員等
本学を設置する法人の役員及び、本学に勤務する常勤又は非常勤の教職員(派遣労働者を含む。)その他、部局総括責任者が認めた者をいう。
(5) 記録媒体
情報が記録され、又は記載される有体物をいう。記録媒体には、文字、図形等人の知覚によって認識することができる情報が記載された紙その他の有体物(以下「書面」という。)と、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、情報システムによる情報処理の用に供されるもの(以下「電磁的記録」という。)に係る記録媒体(以下「電磁的記録媒体」という。)がある。また、電磁的記録媒体には、サーバ装置、端末、通信回線装置等に内蔵される内蔵電磁的記録媒体と、USBメモリ、外付けハードディスクドライブ、DVD―R等の外部電磁的記録媒体がある。
(6) サーバ装置
情報システムの構成要素である機器のうち、通信回線等を経由して接続してきた端末等に対して、自らが保持しているサービスを提供するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、特に断りがない限り、本学が調達又は開発するものをいう。
(7) CSIRT(シーサート)
本学において発生した情報セキュリティインシデントに対処するため、本学に設置された体制をいう。Computer Security Incident Response Teamの略。
(8) 実施手順
対策基準に定められた対策内容を個別の情報システムや業務において実施するため、あらかじめ定める必要のある具体的な手順をいう。
(9) 情報
第2条第2項に定めるものをいう。
(10) 情報システム
ハードウェア及びソフトウェアから成るシステムであって、情報処理又は通信の用に供するものをいい、特に断りのない限り、本学が調達又は開発するもの(管理を外部委託しているシステムを含む。)若しくは本学情報ネットワークに接続されるものをいう。
(11) 情報セキュリティインシデント
JIS Q 27000:2019における情報セキュリティインシデントをいう。
(12) 情報セキュリティ関連規則
ポリシーに基づいて策定される規則、基準及び計画を総称したものをいう。
(13) 情報セキュリティ対策推進体制
本学の情報セキュリティ対策の推進に係る事務を遂行するため、学内に設置された体制をいう。
(14) 対策基準
本学が定める「情報セキュリティ対策基準」及び同基準から参照される関連基準をいう。
(15) 端末
情報システムの構成要素である機器のうち、利用者が情報処理を行うために直接操作するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい、特に断りがない限り、本学が調達又は開発するものをいう。端末には、モバイル端末も含まれる。特に断りを入れた例としては、本学が調達又は開発するもの以外を指す「本学支給以外の端末」がある。また、本学が調達又は開発した端末と本学支給以外の端末の双方を合わせて「端末(支給外端末を含む)」という。
(16) 通信回線
複数の情報システム又は機器等(本学が調達等を行うもの以外のものを含む。)の間で所定の方式に従って情報を送受信するための仕組みをいい、特に断りのない限り、本学の情報システムにおいて利用される通信回線を総称したものをいう。通信回線には、本学が直接管理していないものも含まれ、その種類(有線又は無線、物理回線又は仮想回線等)は問わない。
(17) 通信回線装置
通信回線間又は通信回線と情報システムの接続のために設置され、回線上を送受信される情報の制御等を行うための装置をいう。通信回線装置には、いわゆるハブやスイッチ、ルータ等のほか、ファイアウォール等も含まれる。
(18) ポリシー
本学が定める「情報セキュリティ対策基本方針」及びこの規則をいう。
(19) モバイル端末
端末のうち、必要に応じて移動させて使用することを目的としたものをいい、端末の形態は問わない。
(20) 要管理対策区域
本学の管理下にある区域(学外組織から借用している施設等における区域を含む。)であって、取り扱う情報を保護するために、施設及び執務環境に係る対策が必要な区域をいう。
(21) 利用者
教職員等及び学生等で、本学情報システムを利用する許可を受けて利用する者をいう。
(22) 臨時利用者
教職員等及び学生等以外の者で、本学情報システムを臨時に利用する許可を受けて利用する者をいう。
(全学総括責任者)
第4条 本学における情報セキュリティに関する事務を統括する全学総括責任者を置き、京都工芸繊維大学における情報化統括責任者等に関する規則(平成27年6月25日制定。以下「情報化統括責任者等規則」という。)第4条に規定する最高情報セキュリティ責任者をもって充てる。
2 全学総括責任者を助けて本学における情報セキュリティに関する事務を整理し、全学総括責任者の命を受けて本学の情報セキュリティに関する事務を統括する全学総括副責任者1名を必要に応じて置く。
3 全学総括責任者は、次に掲げる事務を統括する。
(1) 情報セキュリティ対策推進のための組織・体制の整備
(2) 情報セキュリティ対策基準の決定、見直し
(3) 情報セキュリティ対策を総合的に推進するための計画(以下「対策推進計画」という。)の決定、見直し
(4) 情報セキュリティインシデントに対処するために必要な指示その他の措置
(5) 前各号に掲げるもののほか、情報セキュリティに関する重要事項
4 全学総括責任者は、全学の情報基盤として供される本学情報システムのうち情報セキュリティが侵害された場合の影響が特に大きいと評価される情報システムを指定することができる。この指定された情報システムを「全学情報システム」という。
(全学情報セキュリティ委員会)
第5条 この規則を実施するために必要な事項についての企画及び審議は、京都工芸繊維大学情報統括本部専門部会細則(平成27年6月25日制定)第2条第2号に規定する全学情報セキュリティ委員会が行う。
2 全学情報セキュリティ委員会は、情報セキュリティ対策に関して、次に掲げる事項を審議する。
(1) 情報セキュリティ対策基準
(2) 対策推進計画
(3) 前2号に掲げるもののほか、情報セキュリティに関し必要な事項
(全学情報セキュリティ委員会の組織)
第6条 全学情報セキュリティ委員会は、次に掲げる委員をもって組織する。
(1) 全学総括責任者
(2) 全学総括副責任者
(3) 最高情報セキュリティ責任者補佐(情報化統括責任者等規則第5条第2項第2号に規定する者をいう。)
(4) 部局総括責任者(第12条に規定する者をいう。)
(5) 情報基盤センター長
(6) 情報基盤センター副センター長
(7) 情報基盤センターの業務を担当する本学の専任の教員のうちから学長が指名する者 若干名
(8) 情報管理課長
(9) その他委員長が必要と認めた者 若干名
4 前項の委員は、再任されることができる。
(全学情報セキュリティ委員会の委員長)
第7条 全学情報セキュリティ委員会に委員長を置き、全学総括責任者をもって充てる。
2 委員長は、委員会を招集し、その議長となる。
3 委員長に事故があるときは、あらかじめ委員長が指名する委員が、その職務を代行する。
(全学情報セキュリティ委員会の議事等)
第8条 全学情報セキュリティ委員会は、委員の過半数の出席がなければ、議事を開くことができない。
2 議事は、出席委員の過半数をもって決し、可否同数のときは、議長の決するところによる。
3 委員長が必要と認めたときは、委員以外の者を会議に出席させることができる。
(情報セキュリティ監査責任者)
第9条 全学総括責任者は、その指示に基づき実施する監査に関する事務を統括する者として、情報セキュリティ監査責任者1名を置く。
(管理運営部局)
第10条 情報システムの管理運営部局は、情報基盤センター及び情報管理課とする。
(管理運営部局が行う事務)
第11条 管理運営部局は、全学実施責任者の指示により、次に掲げる事務を行う。
(1) 本学情報システムの運用及び利用におけるポリシーの実施状況の取りまとめ
(2) 講習計画、リスク管理及び非常時行動計画等の実施状況の取りまとめ
(3) 本学の情報システムのセキュリティに関する連絡及び通報
(全学実施責任者及び部局総括責任者の設置)
第12条 全学総括責任者は、業務の特性等から同質の情報セキュリティ対策の運用が可能な組織のまとまりごとに、情報セキュリティ対策に関する事務を統括する者として、部局総括責任者1名を置く。そのうち、部局総括責任者を統括し、全学総括責任者及び全学総括副責任者を補佐する者として、全学実施責任者1名を選任する。
2 全学実施責任者は、全学総括責任者の命を受け、次の事務を統括する。
(1) 要管理対策区域の決定並びに当該区域における施設及び環境に係る対策の決定
(2) 情報セキュリティ対策に関する実施手順の整備及び見直し並びに実施手順に関する事務の取りまとめ
(3) 情報セキュリティ対策に係る教育実施計画の策定及び当該実施体制の整備
(4) 例外措置の適用審査記録の台帳整備等
(5) 情報セキュリティインシデントに対処するための緊急連絡窓口の整備等
(6) 前各号に掲げるもののほか、情報セキュリティ対策に係る事務
3 部局総括責任者は、全学総括責任者の命を受け、管理を行う組織のまとまりにおける情報セキュリティ対策を推進するため、次の事務を統括する。
(1) 定められた区域ごとの区域情報セキュリティ責任者の設置
(2) 部局の職場情報セキュリティ責任者の設置
(3) 情報システムごとの部局技術責任者の設置
(4) 情報セキュリティインシデントの原因調査、再発防止策等の実施
(5) 情報セキュリティに係る自己点検計画の策定及び実施手順の整備
(6) 前各号に掲げるもののほか、管理を行う組織のまとまりの情報セキュリティ対策に関する事務
(区域情報セキュリティ責任者の設置)
第13条 部局総括責任者は、全学実施責任者が定める要管理対策区域ごとに、当該区域における情報セキュリティ対策の事務を統括する区域情報セキュリティ責任者1名を置く。
(職場情報セキュリティ責任者の設置)
第14条 部局総括責任者は、研究室、事務室等の管理組織単位ごとに情報セキュリティ対策に関する事務を統括する職場情報セキュリティ責任者1名を置く。
2 職場情報セキュリティ責任者は、部局総括責任者の命を受け、研究室、事務室等の管理組織単位における情報の取扱いその他の情報セキュリティ対策に関する事務を統括する。
(部局情報セキュリティ委員会)
第15条 各部局に部局情報セキュリティ委員会を置く。
2 部局情報セキュリティ委員会は、次に掲げる事項を実施する。
(1) 部局におけるポリシーの遵守状況の調査及び周知徹底
(2) 部局におけるリスク管理及び非常時行動計画の策定及び実施
(3) 部局における情報セキュリティインシデントの再発防止策の策定及び実施
(4) 部局における部局技術担当者向け教育の計画及び企画
(部局情報セキュリティ委員会の組織)
第16条 部局情報セキュリティ委員会は、委員長及び次に掲げる者を委員として組織する。
(1) 部局技術責任者
(2) 部局技術担当者
(3) その他部局総括責任者が必要と認める者
(部局情報セキュリティ委員会の委員長)
第17条 部局情報セキュリティ委員会に委員長を置き、部局総括責任者をもって充てる。
(部局技術責任者の設置)
第18条 部局総括責任者は、所管する情報システムに対する情報セキュリティ対策に関する事務の責任者として、部局技術責任者を、当該情報システムの企画に着手するまでに選任する。
2 部局技術責任者は、部局総括責任者の命を受け、情報システムにおける情報セキュリティ対策に関する事務を担う。
3 部局技術責任者は、所管する情報システムの管理業務において必要な単位ごとに部局技術担当者を置く。
(全学情報セキュリティアドバイザーの設置)
第19条 全学総括責任者は、情報セキュリティについて専門的な知識及び経験を有する者を全学情報セキュリティアドバイザーとして置く。
2 全学情報セキュリティアドバイザーは、次に掲げる事項を実施する。
(1) 全学の情報セキュリティ対策の推進に係る全学総括責任者及び全学総括副責任者への助言
(2) 情報セキュリティ関係規則の整備に係る助言
(3) 対策推進計画の策定に係る助言
(4) 教育実施計画の立案に係る助言並びに教材開発及び教育実施の支援
(5) 情報システムに係る技術的事項に係る助言
(6) 情報システムの設計・開発を外部委託により行う場合に調達仕様に含めて提示する情報セキュリティに係る要求仕様の策定に係る助言
(7) 利用者に対する日常的な相談対応
(8) 情報セキュリティインシデントへの対処の支援
(9) 前各号に掲げるもののほか、情報セキュリティ対策への助言又は支援
(情報セキュリティ対策推進体制の整備)
第20条 全学総括責任者は、本学の情報セキュリティ対策推進体制を整備する。
2 全学総括責任者は、情報セキュリティ対策推進体制の責任者を定める。
3 全学総括責任者は、情報セキュリティ対策推進体制において、次に掲げる事項を実施する。
(1) 情報セキュリティ関係規則及び対策推進計画の策定に係る事務
(2) 情報セキュリティ関係規則の運用に係る事務
(3) 例外措置に係る事務
(4) 情報セキュリティ対策の教育の実施に係る事務
(5) 情報セキュリティ対策の自己点検に係る事務
(6) 情報セキュリティ関係規則及び対策推進計画の見直しに係る事務
(情報セキュリティインシデントに備えた体制の整備)
第21条 全学総括責任者は、CSIRTを整備する。
2 全学総括責任者は、教職員等のうちからCSIRTに属する職員として専門的な知識又は適性を有すると認められる者を選任する。そのうち、本学における情報セキュリティインシデントに対処するための責任者としてCSIRT責任者を置く。また、CSIRT内の業務統括及び外部との連携等を行う教職員等を定める。
3 全学総括責任者は、情報セキュリティインシデントが発生した際、直ちに自らへの報告が行われる体制を整備する。
4 CSIRTは、次に掲げる事項を実施する。
(1) 本学に関わる情報セキュリティインシデント発生時の対処の一元管理
ア 全学における情報セキュリティインシデント対処の管理
イ 情報セキュリティインシデントの可能性の報告受付
ウ 本学における情報セキュリティインシデントに関する情報の集約
エ 情報セキュリティインシデントの全学総括責任者等への報告
オ 情報セキュリティインシデントへの対処に関する指示系統の一本化
(2) 情報セキュリティインシデントへの迅速かつ的確な対処
ア 情報セキュリティインシデントであるかの評価
イ 被害の拡大防止を図るための応急措置の指示又は勧告を含む情報セキュリティインシデントへの対処全般に関する指示、勧告又は助言
ウ 文部科学省への連絡
エ 外部専門機関等からの情報セキュリティインシデントに係る情報の収集
オ 他の機関等への情報セキュリティインシデントに係る情報の共有
カ 情報セキュリティインシデントへの対処に係る専門的知見の提供、対処作業の実施
5 全学総括責任者は、実務担当者を含めた実効性のあるCSIRT体制を構築する。
6 全学総括責任者は、情報セキュリティインシデントが発生した際に、情報セキュリティインシデント対処に関する知見を有する外部の専門家等による必要な支援を速やかに得られる体制を構築する。
7 全学総括責任者は、全学における情報セキュリティインシデント対処について、CSIRT、情報セキュリティインシデントの当事者部局及びその他関連部局の役割分担を規定する。
(兼務を禁止する役割)
第22条 教職員等は、情報セキュリティ対策の運用において、次に掲げる役割を兼務してはならない。
(1) 承認又は許可の申請者と当該承認を行う者
(2) 監査を受ける者とその監査を実施する者
(対策基準の策定)
第23条 全学総括責任者は、全学情報セキュリティ委員会における審議を経て、サイバーセキュリティ戦略本部決定「政府機関等の情報セキュリティ対策のための統一基準」に準拠した対策基準を定める。また、対策基準は、本学の業務、取り扱う情報及び保有する情報システムに関するリスク評価の結果を踏まえた上で定める。
附則
この規則は、令和4年4月1日から実施する。
附則(令和7年3月27日)
この規則は、令和7年4月1日から施行する。