名古屋工業大学情報システム基本規程

 

(平成29年1月6日規程第11号)

 

目次

第1章 総則(第1条・第2条)

第2章 情報システム組織体制

第1節 総則(第3条―第10条)

第2節 事務局の特則(第11条)

第3章 情報システムの運用及び管理(第12条―第16条)

第4章 教育(第17条・第18条)

第5章 雑則(第19条―第21条)

附則

 

第1章 総則

 (目的)

第1条 この規程は,名古屋工業大学情報セキュリティポリシー(平成17年3月8日制定。以下「ポリシー」という。)第2及び第3の規定に基づき,名古屋工業大学(以下「本学」という。)における情報システムに関する組織体制,運用,管理及び教育について必要な基本的事項を定め,もって本学の情報の保護,活用及び適切な情報セキュリティ対策を図ることを目的とする。

 (定義)

第2条 この規程において,次の各号に掲げる用語は,それぞれ当該各号の定めるところによる。

一 情報 本学を構成する教職員(役員を含む。以下同じ。)及び学生(以下「本学構成員」という。)が職務上使用することを目的として本学が調達し,若しくは開発した情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。以下同じ。),その他の情報システム又は外部電磁的記録媒体に記録された情報であって,本学構成員が組織的に用いる情報,及び,本学が調達し,又は開発した情報システムの設計又は運用管理に関する情報をいう。

二 情報システム ハードウェア及びソフトウェアから成るシステムであって,情報の処理及び通信の用に供し,かつ,本学が調達又は開発するもの(管理を外部委託しているシステムを含む。)をいう。

三 委託 情報システムに係る業務(情報システムに関する計画,構築,運用の各段階を含む。)の一部又は全部について,契約をもって本学構成員以外の者に実施させることをいう。

四 サイバーセキュリティ サイバーセキュリティ基本法(平成26年法律第104号。以下「サイバーセキュリティ基本法」という。)第2条に規定するサイバーセキュリティをいう。

五 情報セキュリティ 情報の機密性,完全性及び可用性を維持することをいう。

六 機密性 情報に関して,アクセスを認められた者だけがこれにアクセスできる状態を確保することをいう。

七 完全性 情報が破壊,改ざん又は消去されていない状態を確保することをいう。

八 可用性 情報へのアクセスを認められた者が,必要時に中断することなく,情報及び関連資産にアクセスできる状態を確保することをいう。

九 情報セキュリティインシデント 意図的又は偶発的に生じる情報セキュリティに関する事象(ポリシー及び実施規程への違反若しくは管理策の不具合の可能性又は情報セキュリティに関係しうる,システム,サービス若しくはネットワークの状態に関連する未知の状況を示す事象をいう。)であり,本学の適正な活動を危うくする確率及び情報セキュリティを脅かす確率の高いものをいう。

十 実施規程 ポリシーに基づいて策定される規程及び当該規程に基づいて策定される要領その他の規則をいう。

十一 電磁的記録 電子的方式,磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって,電子計算機による情報処理の用に供されるものをいう。

十二 利用者等 本学構成員又はそれ以外の者で,本学の情報システムを利用する許可を受けて利用する者をいう。

十三 教育類 名古屋工業大学教育類規則(平成16年4月1日制定。以下「教育類規則」という。)第1条第1項に定める教育類をいう。

十四 専攻 名古屋工業大学大学院規則(平成16年4月1日制定)第3条第2項に定める専攻をいう。

十五 センター等 名古屋工業大学学則(平成16年4月1日制定。以下「学則」という。)第5条から第7条までに定めるセンター及び学則第8条に定める附属図書館をいう。

十六 事務局 学則第9条第1項及び名古屋工業大学事務組織規程(平成16年4月1日制定。以下「事務組織規程」という。)に定める事務組織をいう。

十七 技術部 名古屋工業大学技術部組織規程(平成20年1月8日制定。以下「技術部組織規程」という。)に定める技術部をいう。

十八 部局 第13号から前号までに定める組織のそれぞれをいう。

 

第2章 情報システム組織体制

第1節 総則

(全学情報システム総括責任者)

第3条 全学情報システム総括責任者(Chief Information Officerをいう。以下「CIO」という。)は,学長が指名する理事又は副学長をもって充て,本学における情報システムの運用に責任を持つ者として,これを総括する。

2 CIOは,情報システムに関する規則及び実施規程の決定や情報システム上での各種問題に対する処置を行う。

3 CIOは,本学における情報システムのうち,全学の基盤として供される情報システム(以下「情報基盤システム」という。)を指定する。

4 CIOは,情報システムに関する全学向け教育を総括する。

(全学情報セキュリティ総括責任者)

第4条 全学情報セキュリティ総括責任者(Chief Information Security Officerをいう。以下「CISO」という。)は,CIOをもって充て,本学における情報セキュリティに責任を持つ者として,これを総括する。

2 CISOは,情報セキュリティに関する規則及び実施規程の決定並びに情報セキュリティの各種問題に対する処置を行う。

3 CISOは,本学における情報システムの情報セキュリティ及びサイバーセキュリティに関する連絡及び通報においてこれを代表する。

4 CISOは,情報セキュリティに関する全学向け教育を総括する。

5 CISOは,サイバーセキュリティ基本法第8条の規定に基づき,サイバーセキュリティの確保及びサイバーセキュリティに係る人材の育成並びにサイバーセキュリティに関する研究及びその成果の普及並びに国又は地方公共団体が実施するサイバーセキュリティに関する施策への協力について,これを総括する。

6 CISOは,CISOの下に,必要に応じて,情報セキュリティに関する専門的な知識及び経験を有した専門家を情報セキュリティアドバイザーとして置く。

(全学情報システム技術責任者)

第5条 全学情報システム技術責任者(以下「CIO補佐」という。)は,情報基盤センター長をもって充て,本学における情報システムの運用について,技術的事項に関し,専門的見地から,CIOを補佐する。

(部局情報システム責任者)

第6条 部局情報システム責任者(以下「部局責任者」という。)は,次の表の左欄に掲げる部局において,それぞれ右欄に掲げる者をもって充て,それぞれの部局が管理する情報システム(以下「部局情報システム」という。)における運用及び管理方針の決定並びに当該情報システム上での各種問題に対する処置に責任を持つ者として,これを監督する。

部局

部局責任者

教育類

教育類規則第3条第1項に定める教育類長

専攻

名古屋工業大学専攻長及び副専攻長規則(平成16年4月1日制定)第1条に定める専攻長

センター等

各センター等の長

事務局

事務組織規程第6条第1項に定める事務局長

技術部

技術部組織規程第8条第1項に定める技術部長

(部局情報システム担当者)

第7条 部局責任者は,必要と認めるときは,当該部局における部局情報システムの構成の決定及び技術的問題に対する処置を担当させるため,部局情報システム担当者(以下「部局担当者」という。)を置くことができる。

 (情報化推進本部)

第8条 CIOは,情報基盤システムの運用及び管理並びに本学における情報システムの情報セキュリティの適正化について必要な重要事項を審議するため,情報化推進本部を置く。

2 情報化推進本部に関し必要な事項は,別に定める。

 (情報セキュリティインシデント対応体制及び手順書等の整備)

第9条 CIOは,本学において発生した情報セキュリティインシデントを正確に把握し,被害の拡大阻止,復旧及び再発の防止に必要な措置を迅速,かつ,的確に行うための体制を整備する。

2 CISOは,前項の目的を達成するため,情報セキュリティインシデントに係る手順書(電磁的記録を含む。以下同じ。)を整備し,その作成,更新及び共有(以下「手順書の作成等」という。)のために必要な規程を整備する。

3 第1項の体制及び前項の手順書の作成等に関し必要な事項は,別に定める。

(役割の分離)

第10条 情報セキュリティ対策の運用において,以下の役割を同じ者に兼務させてはならない。

一 承認又は許可事案の申請者とその承認又は許可を行う者

二 監査を受ける者とその監査を実施する者

 

第2節 事務局の特則

(事務局の特則)

第11条 事務局長は,実施規程において,この規程による部局責任者の権限の一部を事務組織規程第7条に定める事務局次長に委任することができる。

2 事務局においては,第7条の規定にかかわらず,学術情報課長を部局担当者とする。

 

第3章 情報システムの運用及び管理

(情報の取扱い)

第12条 CIO及びCISOは,情報の作成,入手,利用,保存,提供,運搬,送信及び廃棄の各段階において,当該情報の特性に応じ当該情報が適切に取り扱われるよう規程を整備する。

(情報の格付及び取扱制限)

第13条 CISOは,本学の保有する情報について,電磁的記録については機密性,完全性及び可用性の観点から,書面については機密性の観点から,当該情報の格付並びに取扱制限の指定及び明示(情報を取り扱うすべての者が当該情報の格付及び取扱制限について共通の認識となるように措置することをいう。)に関する規程を整備する。

(学外の情報セキュリティ水準の低下を招く行為の防止)

第14条 本学構成員は,学外(本学が管理する組織又は施設の外をいう。)の情報セキュリティ水準の低下を招く行為の防止に努めなければならない。

 (委託に関する措置)

第15条 CIO及びCISOは,本学における情報システムに係る業務を第三者に委託する場合には,当該第三者による情報セキュリティの確保その他の当該委託に係る情報の適切な管理のために必要な規程を整備する。

(点検の実施)

第16条 部局責任者は,所掌する部局内において,ポリシー及び実施規程に依拠した運用がなされていることを確認するため,必要な点検を実施するものとする。ただし,部局担当者を置いている部局の部局責任者は,当該点検を部局担当者に実施させることができる。

2 部局責任者は,前項の点検の結果を評価し,必要と認めるときは,運用の改善その他必要な措置を講ずるよう利用者等に命ずることができる。この場合において,部局責任者は,必要と認めるときは,当該結果をCISOに報告する。

 

第4章 教育

(教育)

第17条 CIO及びCISOは,利用者等がポリシー及び実施規程を理解できるようにするため,利用者等の役職及び情報システムに対する役割に応じた教育並びに研修制度を導入し,情報セキュリティの維持及び向上に努める。

(教育の実施)

第18条 学術情報課長は,CIO及びCISOの指示により,利用者等に対して,情報システムの運用及び利用並びに情報セキュリティに関する教育を企画し,ポリシー及び実施規程の遵守を確実にするための教育を実施する。

 

第5章 雑則

(報告)

第19条 CISOは,情報セキュリティインシデントが発生した際,直ちに自らへの報告が行われる体制を整備する。

2 前項の報告体制に関し必要な事項は,別に定める。

(見直し)

第20条 CIO及びCISOは,実施規程の見直しを行う必要性の有無を適時検討し,必要があると認める場合にはその見直しを行う。

 (雑則)

第21条 この規程に定めるもののほか,本学における情報システムに関する組織体制,運用,管理及び教育について必要な事項は,別に定める。

附 則

1 この規程は,平成29年3月1日から施行する。

2 教育類規則第1条第2項に定める旧教育類が廃止されるまでの間,第2条第13号の規定の適用については,「第1条第1項に定める教育類」とあるのは「第1条第1項に定める教育類及び同条第2項に定める旧教育類」とする。

3 教育類規則第1条第2項に定める旧教育類が廃止されるまでの間,第6条の規定の適用については,

教育類

教育類規則第3条第1項に定める教育類長

 とあるのは

教育類

教育類規則第3条第1項に定める教育類長及び教育類規則第4条第1項に定める教育類主任

 とする。

4 名古屋工業大学専攻主任及び専攻副主任規則(平成28年3月2日規則第16号。以下「専攻主任等規則」という。)第1条第1項に定める旧専攻が廃止されるまでの間,第2条第14号の規定の適用については,「専攻」とあるのは「専攻及び専攻主任等規則第1条第1項に定める旧専攻」とする。

5 専攻主任等規則第1条第2項に定める旧専攻が廃止されるまでの間,第6条の規定の適用については,

専攻

名古屋工業大学専攻長及び副専攻長規則(平成16年4月1日制定)第1条に定める専攻長

 とあるのは,

専攻

名古屋工業大学専攻長及び副専攻長規則(平成16年4月1日制定)第1条に定める専攻長及び名古屋工業大学専攻主任及び専攻副主任規則(平成28年3月2日規則第16号)第1条第1項に定める専攻主任

 とする。

6 名古屋工業大学情報システム運用管理規程(平成18年3月22日制定)及び名古屋工業大学事務局等情報資産取扱ガイドライン(平成191218日制定)は,廃止する。