○旭川医科大学情報セキュリティ管理規程
平成24年4月10日
旭医大達第38号
(趣旨)
第1条 この規程は,旭川医科大学情報セキュリティポリシー(平成15年3月20日学長裁定)(以下「セキュリティポリシー」という。)に基づき,情報セキュリティの管理運営に関し,必要な事項を定めるものとする。
(定義)
第2条 この規程において,「全構成員」とは,役員,職員,学部学生及び大学院生等をいう。
2 この規程において,「一般利用者」とは,不特定多数が利用可能な共同利用情報機器を利用する者,一時的に学内の情報システムを利用する者や外部委託業者等及び継続してアカウントを利用する者をいう。
3 この規程において,「部局」とは,各講座(分野が置かれている講座においては分野)・学科目・センター等,国立大学法人旭川医科大学組織及び運営規則(平成16年旭医大達第148号)第26条に規定する部署,病院に置かれる部署(領域が置かれている診療科においては領域),事務局各課及び監査室をいう。
4 この規程において,「クライアント機器」とは,主としてパーソナルな利用で用いられ,他の情報機器へアクセスすることで処理を進めていく機器をいう。
5 この規程において,「サーバ」とは,複数のクライアント機器からアクセスされ,共同で利用される情報機器をいう。
6 この規程において,「トラフィック」とは,ネットワーク上を移動する音声や文書,画像などのデジタルデータのことをいう。
(最高情報セキュリティ責任者)
第3条 旭川医科大学(以下「本学」という。)に,最高情報セキュリティ責任者(以下「CISO」という。)を置き,学長が指名する理事又は副学長をもって充てる。
2 CISOは,次に掲げる業務を行う。
(1) 情報セキュリティに関する事項の統括
(2) 情報セキュリティに関する事故等について,「文部科学省関係機関における情報セキュリティインシデント発生時の報告・連絡要領」に基づく関係各所への届け出
(3) 必要に応じて警察のネットワーク犯罪担当部署への相談に関すること。
(4) 第8条に定める情報セキュリティ運営室での検討を経て,利用可能なネットワークサービスと利用形態を決定し,全構成員に公表すること。
(5) 情報セキュリティ運営室での検討を経て,外部に対して,大学内ネットワーク上のどのような資源を誰に提供するかを決定すること。
(6) その他,情報セキュリティを守るために必要と判断したときの緊急避難措置及びその解除に関すること。
(全学情報システム管理者)
第4条 旭川医科大学情報システム運用基本規程(令和6年旭医大達第84号。以下,「情報システム運用基本規程」という。)第5条に定める全学情報システム管理者は,CIO及びCISOの指示により,全学における情報セキュリティに関し統括する。
(情報システム管理者)
第5条 情報システム運用基本規程第6条に定める情報システム管理者(大学及び病院)は,部門情報システム(情報基盤システム,病院情報システム,事務情報システムをいう。)の各々の情報セキュリティに関し統括する。
(部局情報システム管理者)
第6条 情報システム運用基本規程第7条に定める部局情報システム管理者は,次に掲げる業務を行う。
(1) 部局内情報システムの情報セキュリティの管理運営
(2) 部局内のアカウントの登録申請
(3) 部局内の利用資格を失った者のアカウントの削除
(職務上の情報の管理)
第7条 サーバに保管された情報は,職務上定められた者が管理する。ただし,個別に管理された情報端末内の情報に関しては,その情報端末の利用者が管理しなければならない。
(情報セキュリティ運営室)
第8条 本学に,セキュリティポリシーの実行及び全学的な情報セキュリティに関する管理運営のために,情報セキュリティ運営室(以下「CSIRT」という。)を置く。
2 CSIRTの組織及び運営については別に定める。
(全構成員及び一般利用者の遵守事項)
第9条 クライアント機器等の利用者は,次の事項を遵守しなければならない。
(1) パスワードは,十分なセキュリティを維持できるよう,設定及び変更に配慮すること。
(2) 部局セキュリティ責任者が,不適切なパスワードの変更を求めた場合は,その指示に従うこと。
(3) クライアント機器にパスワードを記憶させないこと。
(4) 情報システム又はパスワードに対する危険のおそれがある場合には,パスワードを変更すること。
(5) パスワードは定期的又はアクセス回数に基づいて変更し,古いパスワードの再利用は行わないこと。
(全構成員の意見)
第10条 全構成員は,セキュリティポリシーの遵守に関する意見をCISOに申し出ることができる。この場合において,CISOは,収集した意見を情報セキュリティ委員会及びCSIRTに報告するものとする。
(事故及び障害の報告)
第11条 全構成員及び一般利用者は,情報セキュリティに関する事故,情報システムの不審な動作,公開情報の改ざん,システム上の障害及び誤動作(以下「事故等」という。)を発見した場合には,直ちに部局情報システム管理者を通じてCSIRTに報告しなければならない。
2 CISOは,CSIRTに報告のあった事故等について,直ちに必要な措置を講じなければならない。また,重大な事故等の場合には,状況を情報セキュリティ委員会に報告するものとする。
3 CISOは,必要に応じて,事故等の概要を全構成員に対し,速やかに通知するものとする。
4 CISOは,情報セキュリティ上の事故等に関する記録を一定期間保存し,必要に応じて情報セキュリティ委員会に報告するものとする。
(外部委託する場合の契約内容)
第12条 情報システムの開発及び保守並びにシステム管理業務を外部委託事業者に発注する場合は,外部委託事業者から下請けとして受託する業者を含めて,契約内容に,セキュリティポリシーのうち外部委託事業者が守るべき事項,責任の所在を明記しなければならない。
(CSIRTによる検査)
第13条 大学のネットワークを利用しようとする者は,CSIRTが設置したネットワーク侵入検知システムや,その他によるトラフィックの検査を受け入れなければならない。
(報告義務)
第14条 CISOは,CSIRTが行った情報セキュリティに関する監査,評価及び見直しの結果を情報セキュリティ委員会に報告するとともに,全構成員に公表するものとする。
附則
この規程は,平成24年4月10日から施行し,平成24年4月1日から適用する。
附則(平成24年11月14日旭医大達第53号)
この規程は,平成24年11月14日から施行する。
附則(平成27年1月14日旭医大達第14号)
この規程は,平成27年1月14日から施行する。
附則(平成31年1月31日旭医大達第6号)
この規程は,平成31年1月31日から施行し,改正後の第2条第3項の規定は,平成30年12月6日から適用する。
附則(令和2年6月11日旭医大達第61号)
この規程は,令和2年6月11日から施行し,改正後の旭川医科大学情報セキュリティ管理規程は,令和元年8月26日から適用する。
附則(令和4年5月25日旭医大達第61号)
この規程は,令和4年5月25日から施行し,改正後の第2条第3項の規定は,令和4年4月1日から適用する。
附則(令和5年4月18日旭医大達第69号)
この規程は,令和5年4月18日から施行し,改正後の第2条第3項の規定は令和5年4月1日から適用する。
附則(令和6年6月19日旭医大達第87号)
この規程は,令和6年6月19日から施行する。