熊本大学規則集

○国立大学法人熊本大学情報システム運用基本規則

(平成22年5月21日規則第109号)

改正	平成22年9月30日規則第229号	平成23年2月24日規則第15号
	平成23年7月28日規則第108号	平成25年3月29日規則第99号
	平成26年6月16日規則第82号	平成27年2月27日規則第63号
	平成27年4月27日規則第206号	平成27年11月30日規則第294号
	平成28年3月31日規則第253号	平成28年5月23日規則第328号
	平成28年11月9日規則第441号	平成29年2月15日規則第35号
	平成29年3月1日規則第36号	平成30年2月26日規則第15号
	平成31年3月28日規則第242号	令和2年3月31日規則第171号
	令和3年1月7日規則第3号	令和3年3月23日規則第50号
	令和5年3月31日規則第138号	令和5年6月7日規則第154号
	令和6年3月14日規則第34号	令和7年3月11日規則第22号

(趣旨)

第1条　この規則は、国立大学法人熊本大学(以下「本学」という。)における情報システムの運用に関し必要な事項を定める。

(適用範囲)

第2条　この規則は、本学情報システムを運用し、管理し、又は利用する全ての者に適用する。

(定義)

第3条　この規則において、次の各号に掲げる用語の意義は、当該各号の定めるところによる。

(1)　情報システム　ハードウェア及びソフトウェアから構成され、情報処理又は通信の用に供し、本学が調達若しくは開発するもの(管理を外部委託しているものを含む。)又は情報ネットワークに接続されるものをいう。

(2)　情報ネットワーク　本学が、所有若しくは管理する全ての情報ネットワーク又は本学との契約等により提供される全ての情報ネットワークをいう。

(3)　情報　次に掲げるものをいう。

イ　情報システムに記録された情報(情報システムのうち情報ネットワークに接続されるものに記録された情報で、職員が職務上取り扱う情報以外の情報を除く。)

ロ　情報システムから出力され、情報システム外の電磁的記録媒体に記録された情報

ハ　情報システム外の電磁的記録媒体に記録された情報システムのうち本学が調達又は開発するものの設計又は運用管理に関する情報

ニ　イ又はハが記載された書面

(4)　教職員等　本学の役員、職員、派遣契約その他契約に基づき本学の業務に従事する者その他本学において情報を取り扱う者(学生を除く。)をいう。

(5)　ポリシー　国立大学法人熊本大学情報システム運用基本方針及びこの規則をいう。

(6)　実施規則　国立大学法人熊本大学情報システム運用・管理規則(平成23年2月24日制定)その他関係規則等をいう。

[国立大学法人熊本大学情報システム運用・管理規則(平成23年2月24日制定)]

(7)　実施手順　実施規則に定められた情報セキュリティ対策を実施するため、あらかじめ作成する具体的な手順をいう。

(8)　電磁的記録　電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作成される記録であって、情報処理の用に供されるものをいう。

(9)　インシデント　望まない単独若しくは一連の情報セキュリティ事象又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いものをいう。

(10)　部局等　国立大学法人熊本大学学内規則取扱要項(平成16年4月1日制定)第2条第1項に規定する部局及び事務組織の各部等(監査室、経営企画本部及び各部をいう。)をいう。

[国立大学法人熊本大学学内規則取扱要項(平成16年4月1日制定)第2条第1項]

(最高情報セキュリティ責任者)

第4条　本学における情報セキュリティ対策を統括する者として本学に最高情報セキュリティ責任者を置き、国立大学法人熊本大学ICT戦略会議規則(平成26年4月25日制定。以下「ICT戦略会議規則」という。)第9条第1項に規定する最高情報責任者をもって充てる。

[国立大学法人熊本大学ICT戦略会議規則(平成26年4月25日制定。以下「ICT戦略会議規則」という。)第9条第1項]

2　最高情報セキュリティ責任者は、次に掲げる事項を行う。

(1)　情報セキュリティ対策推進のための組織及び体制の整備

(2)　インシデントに対処するために必要な指示その他の措置

(3)　前2号に掲げるもののほか、情報セキュリティ対策に関する重要事項

(情報セキュリティアドバイザー)

第5条　最高情報セキュリティ責任者を専門的見地から支援・助言するため情報セキュリティアドバイザーを置き、ICT戦略会議規則第9条第3項に規定する最高情報責任者補佐をもって充てる。

[ICT戦略会議規則第9条第3項]

(全学システム管理責任者)

第6条　本学情報システムの整備及び運用に関する実施責任者並びに部局情報セキュリティ責任者を統括し、並びに最高情報セキュリティ責任者を補佐する者として全学システム管理責任者を置き、半導体・デジタル研究教育機構附属情報統括センター長をもって充てる。

2　全学システム管理責任者は、最高情報セキュリティ責任者の命を受け、次に掲げる事項を行う。

(1)　実施手順の整備及び見直し並びに実施手順に関する事務の取りまとめ

(2)　情報セキュリティ対策に係る教育実施計画の策定及び実施体制の整備

(3)　その他情報セキュリティ対策に係る事項

(情報セキュリティ監査責任者)

第7条　本学情報システムのセキュリティを監査するため情報セキュリティ監査責任者を置き、半導体・デジタル研究教育機構附属情報統括センター長をもって充てる。

2　情報セキュリティ監査責任者は、本学情報システムのセキュリティ対策がポリシー、実施規則及び実施手順に従って実施されているかを監査し、並びに監査に関する事務を統括する。

(ICT戦略会議)

第8条　国立大学法人熊本大学ICT戦略会議(以下「ICT戦略会議」という。)を情報セキュリティ対策に関する事項の最終決定機関とし、次に掲げる事項を行う。

(1)　ポリシー及び実施規則の制定改廃

(2)　情報セキュリティ対策推進計画の策定及び改廃

(3)　前2号に掲げるもののほか、情報セキュリティ対策に関し必要な事項

2　ICT戦略会議は、前項各号に掲げる事項をICT戦略会議規則第8条第1項の規定に基づく熊本大学ICT戦略会議情報セキュリティ専門委員会に付託することができる。

[ICT戦略会議規則第8条第1項]

(管理運営部局)

第9条　本学情報システムの管理運営部局は、半導体・デジタル研究教育機構附属情報統括センターとする。

2　管理運営部局は、次に掲げる業務を行う。

(1)　本学情報システムの運用及び利用におけるポリシーの実施状況の取りまとめ

(2)　講習計画、リスク管理、非常時行動計画等の実施状況の取りまとめ

(3)　本学情報システムのセキュリティに関する連絡及び調整

(情報セキュリティインシデント対応チーム)

第10条　本学におけるインシデントに対応する組織として国立大学法人熊本大学情報セキュリティインシデント対応チーム（以下「熊本大学CSIRT」という。）を置く。

2　熊本大学CSIRTに関し必要な事項は、別に定める。

(非常時対策本部)

第11条　最高情報セキュリティ責任者は、インシデントについて、熊本大学CSIRTから報告を受け、学内外に対する影響が大きいと認められた場合は、非常時対策本部を置くことができるものとする。

2　非常時対策本部は次に掲げる者をもって組織する。

(1)　最高情報セキュリティ責任者

(2)　全学システム管理責任者

(3)　次条に定める部局情報セキュリティ責任者のうち、関係する部局等の者

(4)　総務部総務課広報戦略室長

(5)　その他最高情報セキュリティ責任者が必要と認めた者

3　非常時対策本部に本部長を置き、最高情報セキュリティ責任者をもって充てる。

4　非常時対策本部に関し必要な事項は、別に定める。

(部局情報セキュリティ責任者)

第12条　部局情報セキュリティ責任者は、部局等の長(事務組織の各部等にあっては、総務部長。以下同じ。)をもって充て、部局等における情報セキュリティ対策に関する事項を総括する。

(部局システム管理責任者)

第13条　部局等における情報システムの運用に関する責任者として部局システム管理責任者を置く。

2　部局システム管理責任者は、部局等の長が任命し、部局等における情報システムの運用方針の決定及び各種問題に対する処置を行う。

(部局情報システム運用委員会)

第14条　部局情報セキュリティ責任者は、部局等に部局情報システム運用委員会を置く。ただし、部局等の事情によって固有の部局情報システム運用委員会を置くことが困難な場合は、複数の部局等が合同でこれを置くことができる。

2　部局情報システム運用委員会は、次に掲げる事項を行う。

(1)　部局等におけるポリシーの遵守状況の調査及び周知徹底

(2)　部局等におけるリスク管理並びに非常時行動計画の策定及び実施

(3)　部局等におけるインシデントの再発防止策の策定及び実施

(4)　部局等における情報セキュリティに関する教育

(兼務を禁止する役割)

第15条　教職員等は、情報セキュリティ対策の運用において、次に掲げる者を兼ねることができない。

(1)　承認又は許可の申請をする者及び当該承認又は許可を行う者

(2)　監査を受ける者及び当該監査を実施する者

(情報の格付け)

第16条　ICT戦略会議は、本学情報システムで取り扱う情報について、機密性の観点から当該情報の格付け及び取扱制限の指定並びに実施手順を整備しなければならない。

(学外の情報セキュリティ水準の低下を招く行為の防止)

第17条　最高情報セキュリティ責任者は、学外の情報セキュリティ水準の低下を招く行為を防止する措置に関する規定を整備する。

2　本学情報システムを運用、管理及び利用する者は、学外の情報セキュリティ水準の低下を招く行為を防止するために必要な措置を講ずる。

(雑則)

第18条　この規則に定めるもののほか、本学情報システムの運用に関し必要な事項は、別に定める。

附　則

この規則は、平成22年5月21日から施行する。

附　則(平成22年9月30日規則第229号)

この規則は、平成22年10月1日から施行する。

附　則(平成23年2月24日規則第15号)

この規則は、平成23年2月24日から施行する。

附　則(平成23年7月28日規則第108号)

この規則は、平成23年8月1日から施行する。

附　則(平成25年3月29日規則第99号)

この規則は、平成25年4月1日から施行する。

附　則(平成26年6月16日規則第82号)

この規則は、平成26年6月16日から施行し、改正後の第4条第1項、第5条、第6条第1項、第8条、第9条第1項及び第14条の規定は、平成26年5月1日から適用する。

附　則(平成27年2月27日規則第63号)

この規則は、平成27年3月1日から施行する。

附　則(平成27年4月27日規則第206号)

この規則は、平成27年4月27日から施行し、改正後の第3条第12号の規定は、平成27年4月1日から適用する。

附　則(平成27年11月30日規則第294号)

この規則は、平成27年11月30日から施行する。

附　則(平成28年3月31日規則第253号)

この規則は、平成28年4月1日から施行する。

附　則(平成28年5月23日規則第328号)

この規則は、平成28年6月1日から施行する。

附　則(平成28年11月9日規則第441号)

この規則は、平成28年11月9日から施行する。

附　則(平成29年2月15日規則第35号)

この規則は、平成29年2月15日から施行する。

附　則(平成29年3月1日規則第36号)

この規則は、平成29年4月1日から施行する。

附　則(平成30年2月26日規則第15号)

この規則は、平成30年4月1日から施行する。

附　則(平成31年3月28日規則第242号)

この規則は、平成31年4月1日から施行する。

附　則(令和2年3月31日規則第171号)

この規則は、令和2年4月1日から施行する。

附　則(令和3年1月7日規則第3号)

この規則は、令和3年1月7日から施行する。

附　則(令和3年3月23日規則第50号)

この規則は、令和3年4月1日から施行する。

附　則(令和5年3月31日規則第138号)

この規則は、令和5年4月1日から施行する。

附　則(令和5年6月7日規則第154号)

この規則は、令和5年6月7日から施行する。

附　則(令和6年3月14日規則第34号)

この規則は、令和6年4月1日から施行する。

附　則(令和7年3月11日規則第22号)

この規則は、令和7年4月1日から施行する。