○旭川医科大学情報セキュリティ管理規程
平成24年4月10日
旭医大達第38号
(趣旨)
第1条 この規程は,旭川医科大学情報セキュリティポリシー(平成15年3月20日学長裁定)(以下「セキュリティポリシー」という。)に基づき,情報セキュリティの管理運営に関し,必要な事項を定めるものとする。
(定義)
第2条 この規程において,「全構成員」とは,役員,職員,学部学生及び大学院生等をいう。
2 この規程において,「一般利用者」とは,不特定多数が利用可能な共同利用情報機器を利用する者,一時的に学内の情報システムを利用する者や外部委託業者等及び継続してアカウントを利用する者をいう。
3 この規程において,「部局」とは,各講座(分野が置かれている講座においては分野)・学科目・センター等,国立大学法人旭川医科大学組織及び運営規則(平成16年旭医大達第148号)第26条に規定する部署,病院に置かれる部署(領域が置かれている診療科においては領域),事務局各課及び監査室をいう。
4 この規程において,「クライアント機器」とは,主としてパーソナルな利用で用いられ,他の情報機器へアクセスすることで処理を進めていく機器をいう。
5 この規程において,「サーバ」とは,複数のクライアント機器からアクセスされ,共同で利用される情報機器をいう。
6 この規程において,「トラフィック」とは,ネットワーク上を移動する音声や文書,画像などのデジタルデータのことをいう。
(最高情報セキュリティ責任者)
第3条 旭川医科大学(以下「本学」という。)に,最高情報セキュリティ責任者(以下「CISO」という。)を置き,学長が指名する副学長又は学長補佐をもって充てる。
2 CISOは,次に掲げる業務を行う。
(1) 情報セキュリティに関する事項の統括
(2) 情報セキュリティに関する事故等について,「文部科学省関係機関における情報セキュリティインシデント発生時の報告・連絡要領」に基づく関係各所への届け出
(3) 必要に応じて警察のネットワーク犯罪担当部署への相談に関すること。
(4) 第8条に定める情報セキュリティ運営室(以下「運営室」という。)での検討を経て,利用可能なネットワークサービスと利用形態を決定し,全構成員に公表すること。
(5) 運営室での検討を経て,外部に対して,大学内ネットワーク上のどのような資源を誰に提供するかを決定すること。
(6) その他,情報セキュリティを守るために必要と判断したときの緊急避難措置及びその解除に関すること。
(部門情報セキュリティ責任者)
第4条 本学に,部門情報セキュリティ責任者(以下「部門セキュリティ責任者」という。)を置き,部門情報システム(情報基盤システム,病院情報システム,事務情報システムをいう。以下同じ。)を管理・運営する担当部署の長をもって充てる。
2 部門セキュリティ責任者は,部門情報システムの各々の情報セキュリティに関し統括する。
(部門情報セキュリティ担当者)
第5条 本学に,部門情報セキュリティ担当者を置き,部門情報システムを管理・運営する実務担当者をもって充てる。
(部局情報セキュリティ管理者)
第6条 部局に,部局情報セキュリティ管理者を置き,部局の長をもって充てる。ただし,必要に応じて部局の長が当該部局の他の者を指名することができる。
2 部局情報セキュリティ管理者は,次に掲げる業務を行う。
(1) 部局内情報システムの情報セキュリティの管理運営
(2) 部局内のアカウントの登録申請
(3) 部局内の利用資格を失った者のアカウントの削除
(職務上の情報の管理)
第7条 サーバに保管された情報は,職務上定められた者が管理する。ただし,個別に管理された情報端末内の情報に関しては,その情報端末の利用者が管理しなければならない。
(情報セキュリティ運営室)
第8条 本学に,セキュリティポリシーの実行及び全学的な情報セキュリティに関する管理運営のために,情報セキュリティ運営室(以下「運営室」という。)を置く。
2 運営室の組織及び運営については別に定める。
(全構成員及び一般利用者の遵守事項)
第9条 クライアント機器等の利用者は,次の事項を遵守しなければならない。
(1) パスワードは,十分なセキュリティを維持できるよう,設定及び変更に配慮すること。
(2) 部局セキュリティ責任者が,不適切なパスワードの変更を求めた場合は,その指示に従うこと。
(3) クライアント機器にパスワードを記憶させないこと。
(4) 情報システム又はパスワードに対する危険のおそれがある場合には,パスワードを変更すること。
(5) パスワードは定期的又はアクセス回数に基づいて変更し,古いパスワードの再利用は行わないこと。
(全構成員の意見)
第10条 全構成員は,セキュリティポリシーの遵守に関する意見をCISOに申し出ることができる。この場合において,CISOは,収集した意見を情報セキュリティ委員会及び運営室に報告するものとする。
(事故及び障害の報告)
第11条 全構成員及び一般利用者は,情報セキュリティに関する事故,情報システムの不審な動作,公開情報の改ざん,システム上の障害及び誤動作(以下「事故等」という。)を発見した場合には,直ちに部局情報セキュリティ管理者を通じて運営室に報告しなければならない。
2 CISOは,運営室に報告のあった事故等について,直ちに必要な措置を講じなければならない。また,重大な事故等の場合には,状況を情報セキュリティ委員会に報告するものとする。
3 CISOは,必要に応じて,事故等の概要を全構成員に対し,速やかに通知するものとする。
4 CISOは,情報セキュリティ上の事故等に関する記録を一定期間保存し,必要に応じて情報セキュリティ委員会に報告するものとする。
(外部委託する場合の契約内容)
第12条 情報システムの開発及び保守並びにシステム管理業務を外部委託事業者に発注する場合は,外部委託事業者から下請けとして受託する業者を含めて,契約内容に,セキュリティポリシーのうち外部委託事業者が守るべき事項,責任の所在を明記しなければならない。
(運営室による検査)
第13条 大学のネットワークを利用しようとする者は,運営室が設置したネットワーク侵入検知システムや,その他によるトラフィックの検査を受け入れなければならない。
(報告義務)
第14条 CISOは,運営室が行った情報セキュリティに関する監査,評価及び見直しの結果を情報セキュリティ委員会に報告するとともに,全構成員に公表するものとする。
附則
この規程は,平成24年4月10日から施行し,平成24年4月1日から適用する。
附則(平成24年11月14日旭医大達第53号)
この規程は,平成24年11月14日から施行する。
附則(平成27年1月14日旭医大達第14号)
この規程は,平成27年1月14日から施行する。
附則(平成31年1月31日旭医大達第6号)
この規程は,平成31年1月31日から施行し,改正後の第2条第3項の規定は,平成30年12月6日から適用する。
附則(令和2年6月11日旭医大達第61号)
この規程は,令和2年6月11日から施行し,改正後の旭川医科大学情報セキュリティ管理規程は,令和元年8月26日から適用する。
附則(令和4年5月25日旭医大達第61号)
この規程は,令和4年5月25日から施行し,改正後の第2条第3項の規定は,令和4年4月1日から適用する。
附則(令和5年4月18日旭医大達第69号)
この規程は,令和5年4月18日から施行し,改正後の第2条第3項の規定は令和5年4月1日から適用する。