○国立大学法人熊本大学情報システム運用・管理規則
(平成23年2月24日規則第12号)
改正
平成28年11月9日規則第442号
令和3年1月7日規則第4号
目次
第1章 総則(第1条-第5条)
第2章 情報システムの管理・運用等(第6条-第22条)
第3章 情報の格付け及び取扱い(第23条)
第4章 情報セキュリティ対策機能(第24条-第28条)
第5章 違反対応及び例外措置(第29条・第30条)
第6章 インシデント対応(第31条)
第7章 本学提供以外の電子計算機及び情報ネットワーク機器(第32条・第33条)
第8章 学外の情報セキュリティ水準の低下を招く行為の禁止(第34条)
第9章 教育・研修(第35条)
第10章 評価等(第36条-第42条)
附則

第1章 総則
(目的)
第1条 この規則は、国立大学法人熊本大学情報システム運用基本規則(平成22年5月21日制定。以下「運用基本規則」という。)に基づき、国立大学法人熊本大学(以下「本学」という。)における本学情報システムの運用及び管理に関し必要な事項を定めることにより、本学の有する情報資産を適正に保護及び活用し、並びに情報システムの信頼性、安全性及び効率性の向上に資することを目的とする。
(適用範囲)
第2条 この規則は、情報資産及び情報システムを運用し、管理し、又は利用する全ての者に適用する。
(定義)
第3条 この規則において使用する用語は、運用基本規則において使用する用語の例による。
2 この規則において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1) サーバ装置 情報システムの構成要素(サーバ装置、端末、通信回線装置、複合機、特定用途機器等、ソフトウェア等)である機器のうち、通信回線等を経由して接続してきた端末等に対して、自らが保持しているサービスを提供するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)で、本学が調達又は開発するものをいう。
(2) 電子計算機 サーバ装置及び端末(オペレーティングシステム、アプリケーション及び接続される周辺機器を含む。)をいう。
(3) 情報ネットワーク機器 情報ネットワークの接続のために設置するもので、電子計算機により情報ネットワーク上を送受信される情報の制御を行うための装置(ファイアウォール、ルータ、スイッチ、ハブ、情報コンセント、無線ネットワークアクセスポイント及びネットワークに関する配線・電源を含む。)をいう。
(4) 安全区域 電子計算機及び情報ネットワーク機器を設置した事務室、研究室、講義室等の内部であって、利用者等以外の者の侵入、自然災害の発生等を原因とする情報セキュリティの侵害等に対して、施設及び環境面から対策が講じられている区域をいう。
(5) 利用者 許可を受けて本学情報システム及び情報資産を利用する教職員等及び学生をいう。
(6) 利用者等 利用者並びに利用者以外の者であって、許可を受けて情報資産及び情報システムを取り扱うものをいう。
(7) 主体認証 ユーザIDを提示した利用者等又は電子計算機が、情報システムにアクセスする正当な権限を有するか否かを検証することをいう。
(8) 機密性 情報にアクセス権を持つ者だけがこれにアクセスできることを確実にすることをいう。
(9) 完全性 情報及び処理方法が正確であること及び完全であることを確保することをいう。
(10) 可用性 情報及び関連する資産へのアクセスを認められた利用者等が、必要なときに、それらにアクセスできることを確実にすることをいう。
(11) 極秘情報 本学の情報資産のうち、個人情報、プライバシー情報又は研究情報で、漏えい等により本人及び本学並びに当該情報関係者の権利利益が著しく侵害されるおそれがある情報をいう。
(12) 機密情報 本学の情報資産のうち、極秘情報以外の情報で、漏えい等により大学の経営及び運営に支障を及ぼすおそれがある情報をいう。
(13) 要保護情報 極秘情報及び機密情報をいう。
(14) ログイン 何らかの主体が主体認証を要求する行為をいう。
(15) 通信回線 複数の電子計算機を接続し、所定の通信様式に従って情報を送受信するための仕組みをいう。
(16) アクセス制御 主体によるアクセスを許可する客体を制限することをいう。
(17) セキュリティホール 情報システムの欠陥により、開発者が意図しない操作を第三者が行うことが可能となること及び意図しない情報が第三者から閲覧できる状態になることをいう。
(18) 脆弱性 情報システムにおいて、セキュリティホール、運用上の欠陥等により、情報システムへの乗っ取り、情報漏洩等に利用される可能性のある状態をいう。
(19) 不正プログラム 電子計算機を利用する者が意図しない結果を電子計算機にもたらすソフトウェア(コンピュータウィルス、スパイウェア等をいう。)をいう。
(20) サービス不能攻撃 攻撃対象のサーバ等に大量のアクセスを行うことによりサービスを遅延又は停止させる行為をいう。
(21) リスク 情報システムの停止、不正アクセス等による情報漏洩等により、正常なサービス提供ができなくなるおそれをいう。
(22) 情報の格付け 情報システムのセキュリティ要件を定めるために、情報システムで取り扱う情報を機密性の観点から重要度に応じて分類することをいう。
(組織体制)
第4条 情報システムの運用・管理に係る組織体制は、運用基本規則に定めるところによる。
(禁止事項)
第5条 全学システム管理責任者及び部局システム管理責任者(以下「管理責任者」という。)は、次に掲げる事項を行ってはならない。
(1) 情報資産の目的外利用
(2) 守秘義務に違反する情報の開示
(3) 最高情報セキュリティ責任者又は部局情報セキュリティ責任者の許可を得ずに行う情報ネットワーク上の通信の監視、情報セキュリティ上の脆弱性の検知又は情報ネットワーク機器及び電子計算機の利用記録を採取する行為
(4) その他法令に基づく処罰の対象となり、又は損害賠償等の民事責任を発生させる情報の発信
(5) 管理者権限を濫用する行為
(6) 前各号の行為を助長する行為
第2章 情報システムの管理・運用等
(情報セキュリティの脅威への対策)
第6条 管理責任者及び部局情報セキュリティ責任者は、それぞれ別に定めるところにより、次の各号に掲げる脅威について対策を講ずるものとする。
(1) セキュリティホール
(2) 不正プログラム
(3) サービス不能攻撃
(4) 踏み台
(安全区域)
第7条 管理責任者は、情報システムによるリスク(物理的破壊又は情報の漏えい若しくは改ざん等のリスクを含む。)を検討し、次に掲げる要件を具備する安全区域を設定するものとする。
(1) 関係者以外の立入りを制限できること。
(2) 停電及び過電流から保護されていること。
(3) 故障防止のための空調設備があること。
(4) 防塵及び防音のための設備があること。
(5) 電子計算機等の盗難及び不正な持ち出しを防止するための措置が講じられていること。
2 管理責任者は、要保護情報を取り扱う情報システムに係る電子計算機(可搬性のある情報機器のうち部局情報セキュリティ責任者の承認を得たものを除く。)及び情報ネットワークを安全区域に設置するものとする。
(実施手順、体制及び文書の整備)
第8条 部局システム管理責任者は、全学システム管理責任者が別に定める実施手順に従って、電子計算機のセキュリティ維持及び通信回線を介して提供するサービスのセキュリティ維持に関する実施手順を整備するものとする。
2 最高情報責任者は、情報システムのライフサイクル全般にわたってセキュリティ維持が可能な体制を確保するものとする。
3 部局システム管理責任者は、管理するすべての電子計算機に対して、電子計算機を管理する利用者等を特定できる体制を整備するものとする。
4 部局システム管理責任者は、管理する電子計算機、通信回線及び情報ネットワーク機器の関連文書を整備するものとする。
5 管理責任者は、前各項の規定により整備した実施手順、体制及び文書を適宜見直すものとし、当該見直しを行った場合は、その記録を保存するものとする。
(主体認証)
第9条 管理責任者は、利用者等が電子計算機にログインする場合は、主体認証を行うように電子計算機を構成するものとする。
(電子計算機、サーバ装置及び通信回線の対策)
第10条 管理責任者は、別に定める実施手順に従い、次に掲げる情報システムの構成要素について、情報セキュリティ上必要な措置を講ずるものとする。
(1) 電子計算機
(2) サーバ装置
(3) 情報ネットワーク機器
(4) 通信回線(学外通信回線に接続するものを含む。)
(情報コンセント)
第11条 部局システム管理責任者は、別に定める実施手順に従い、情報コンセントを設置することができる。
(VPN、無線LAN及びリモートアクセス)
第12条 管理責任者は、別に定める実施手順に従い、VPN、無線LAN及びリモートアクセス環境を構築するものとする。
(学外通信回線との接続)
第13条 全学システム管理責任者は、別に定める実施手順に従い、学内通信回線を学外通信回線と接続するものとする。
(上流ネットワークとの関係)
第14条 全学システム管理責任者は、本学情報ネットワークを構築・運用するにあたっては、本学情報ネットワークと接続される上流ネットワークとの整合性に留意するものとする。
(脆弱性診断)
第15条 全学システム管理責任者は、最高情報セキュリティ責任者の要請に基づき、部局システム管理責任者の協力を得て、情報システムに関する脆弱性の診断を定期的に実施し、及びセキュリティの維持に努めるものとする。
(電子計算機の運用・管理)
第16条 管理責任者は、別に定める実施手順に従い、電子計算機の運用・管理を行うものとする。
(接続の管理)
第17条 部局情報セキュリティ責任者は、管理する情報ネットワークに関する接続の申請を受けた場合は、別に定める実施手順に従い、申請者に対して接続の諾否を通知し、かつ、必要な指示を行うものとする。
(資源の管理)
第18条 管理責任者は、電子計算機のCPU資源、記憶媒体、情報ネットワーク帯域資源等の利用を総合的かつ計画的に推進するため、これらの資源を利用者等の利用形態に応じて適切に分配し、かつ、管理するものとする。
(ネットワーク情報の管理)
第19条 部局システム管理責任者は、部局情報ネットワークで使用するドメイン名、IPアドレス等のネットワーク情報について、管理運営部局からの割り当てに基づき、利用者等からの利用形態に応じて適切に分配し、かつ、管理するものとする。
(運用終了時の対策)
第20条 利用者等は、電子計算機の運用及び情報ネットワーク機器の利用を終了する場合は、管理責任者の指導の下、別に定める実施手順に従い、本学に関連する情報を復元が困難な状態にするものとする。
(情報システムのセキュリティ維持)
第21条 管理責任者は、情報システムのセキュリティ要件を定め、及び当該要件を満たすために必要な対策を講ずるものとする。
2 管理責任者は、情報システムの移行及び廃棄を行う場合は、情報の消去及び保存並びに情報システムの廃棄及び再利用について必要性を検討し、及びそれぞれについて適切な措置を講ずるものとする。
3 管理責任者は、情報システムの情報セキュリティ対策について見直しを行う必要があると認めるときは、当該見直しを行い、及び所要の措置を講ずるものとする。
(情報システムの台帳整備)
第22条 部局システム管理責任者は、情報システムを新規に構築し、又は改修する際には、当該情報システムで取り扱う情報について、当該情報の格付けその他の当該情報に関する事項を全学システム管理責任者に報告するものとする。
2 全学システム管理責任者は、情報システムで取り扱う情報について、当該情報の格付けその他の当該情報に関する事項を記載した台帳を整備するものとする。
第3章 情報の格付け及び取扱い
(情報の格付け及び取扱い)
第23条 管理責任者及び職員は、別に定める実施手順に従い、作成又は入手した情報の格付け及び取扱いについて決定するものとする。
第4章 情報セキュリティ対策機能
(主体認証機能)
第24条 管理責任者は、別に定める実施手順に従い、情報システムについて主体認証を行う必要があると認められるときは、主体認証を行う機能を導入するものとする。
(アクセス制御機能)
第25条 管理責任者、部局情報セキュリティ責任者及び利用者等は、情報システムについてアクセス制御を行う必要があると認めるときは、アクセス制御を行う機能を設けるものとする。
(アカウント管理機能)
第26条 管理責任者は、情報システムについてアカウント管理を行う必要があると認めるときは、アカウント管理を行う機能を設けるものとする。
(ログ管理機能)
第27条 管理責任者は、情報システムについてログ管理を行う必要があると認めるときは、ログ管理を行う機能を設けるものとする。
(暗号化及び電子署名)
第28条 管理責任者は、要保護情報(書面を除く。)を取り扱う情報システムについて暗号化を行う必要があると認めるときは、暗号化を行う機能を設けるものとする。
2 管理責任者は、要保護情報を取り扱う情報システムについて電子署名の付与を行う必要があると認めるときは、電子署名の付与を行う機能を設けるものとする。
第5章 違反対応及び例外措置
(違反への対応)
第29条 部局情報セキュリティ責任者は、ポリシー、実施規則及び実施手順への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合は、別に定める実施手順に従い、速やかに調査を行い、事実を確認するものとする。
2 部局情報セキュリティ責任者は、調査によって違反行為が判明したときは、次に掲げる措置を講ずるものとする。
(1) 違反行為者に対する違反行為の中止命令
(2) 部局システム管理責任者に対する違反行為に係る情報発信の遮断命令
(3) 部局システム管理責任者に対する違反行為者のアカウント停止命令又は削除命令
(4) その他法令に基づく措置
3 部局情報セキュリティ責任者は、他の部局等に係る重大な違反の報告を受けた場合及び自らが重大な違反を知った場合は、前項第2号及び第3号の命令について、当該部局等の部局情報セキュリティ責任者を通じて当該部局等の部局システム管理責任者に措置を依頼することができる。
4 部局情報セキュリティ責任者は、ポリシー、実施規則及び実施手順への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合並びに第2項に規定する措置を講じた場合は、遅滞なく全学システム管理責任者及び最高情報セキュリティ責任者にその旨を報告するものとする。
(例外措置)
第30条 最高情報セキュリティ責任者は、別に定める実施手順に従い、本学の情報セキュリティ対策のため必要と認める場合は、例外的な措置を講ずるものとする。
第6章 インシデント対応
(インシデント対応)
第31条 全学システム管理責任者は、情報セキュリティに関するインシデントが発生した場合は、別に定める実施手順に従い、必要な対策を講ずるものとする。
第7章 本学提供以外の電子計算機及び情報ネットワーク機器
(本学提供以外の電子計算機及び情報ネットワーク機器に係る安全管理措置の整備)
第32条 全学システム管理責任者は、要保護情報について本学提供以外の電子計算機及び情報ネットワーク機器により情報処理を行う場合に講ずる安全管理措置についての実施手順を整備するものとする。
(本学提供以外の電子計算機及び情報ネットワーク機器の利用許可及び管理)
第33条 部局システム管理責任者は、本学提供以外の電子計算機及び情報ネットワーク機器による要保護情報の情報処理を許可した場合は、別に定める実施手順に従い、当該処理に係る記録の取得及び許可した期間が終了する際に必要となる確認を行うものとする。
第8章 学外の情報セキュリティ水準の低下を招く行為の禁止
(学外の情報セキュリティ水準の低下を招く行為の防止)
第34条 全学システム管理責任者は、学外の情報セキュリティ水準の低下を招く行為の防止に関する措置についての実施手順を整備するものとする。
第9章 教育・研修
(情報セキュリティ対策の教育)
第35条 全学システム管理責任者は、別に定める実施手順に従い、ポリシー、実施規則及び実施手順に係る教育を実施し、当該教育の実施状況の分析及び評価を行い、最高情報セキュリティ責任者に情報セキュリティに関する教育の実施状況について報告するものとする。
第10章 評価等
(自己点検に関する年度計画の策定及び見直し)
第36条 全学システム管理責任者は、情報セキュリティに係る年度自己点検計画を策定するものとする。
2 全学システム管理責任者は、情報セキュリティの状況の変化に応じ、職員(国立大学法人熊本大学職員就業規則(平成16年4月1日制定)第2条各号に掲げる者をいう。以下同じ。)に対して新たに点検すべき事項が明らかになった場合は、前項の規定により策定した当該計画を見直すものとする。
(自己点検の実施に関する準備)
第37条 部局情報セキュリティ責任者は、部局等における情報セキュリティに係る自己点検票及び自己点検の実施手順を整備するものとする。
(自己点検の実施)
第38条 部局情報セキュリティ責任者は、第36条第1項の規定により策定された年度自己点検計画に基づき、職員に対して、情報セキュリティに係る自己点検(以下「自己点検」という。)の実施を指示するものとする。
2 職員は、部局情報セキュリティ責任者から指示された自己点検票及び自己点検の実施手順を用いて自己点検を実施するものとする。
(自己点検結果の評価)
第39条 部局情報セキュリティ責任者は、職員による自己点検が行われていることを確認し、その結果を評価するものとする。
2 全学システム管理責任者は、部局情報セキュリティ責任者による自己点検が行われていることを確認し、及び当該点検の結果を評価するものとする。
(自己点検に基づく改善)
第40条 職員は、自らが実施した自己点検の結果に基づき、自己の権限の範囲で改善できると判断した事項は改善し、及び部局情報セキュリティ責任者に改善した旨を報告するものとする。
2 全学システム管理責任者は、自己点検の結果を全体として評価し、必要があると判断した場合には、部局情報セキュリティ責任者に改善を指示するものとする。
(監査への協力)
第41条 部局情報セキュリティ責任者その他の関係者は、情報セキュリティ監査責任者の行う監査の適正かつ円滑な実施に協力するものとする。
(リスク管理の実施)
第42条 最高情報セキュリティ責任者は、情報資産の価値並びに当該資産に対する脅威及び脆弱性を評価するための実施手順を定めるものとする。
2 最高情報セキュリティ責任者は、各情報資産の管理者に対して、原則として年に1回以上、次に定めるところによりリスク管理を実施し、及びリスク管理の結果を報告するよう指示する。
(1) システム管理者は、自らが扱う情報資産について、別に定める実施手順に従い、リスク管理を行うこと。
(2) システム管理者は、リスク管理の評価結果に基づき、リスクに対する事前の対策を必要とするものについてその具体策を定め、及びインシデントが発生した場合の具体的な対応手順を定めること。
3 システム管理者は、前項第2号において事前の対策を必要と認めなかったリスクについても、最高情報セキュリティ責任者に評価結果を報告するものとする。
4 最高情報セキュリティ責任者は、システム管理者の報告に基づき、ポリシー、実施規則及び実施手順の見直しを行う。
附 則
この規則は、平成23年2月24日から施行する。
附 則(平成28年11月9日規則第442号)
この規則は、平成28年11月9日から施行する。
附 則(令和3年1月7日規則第4号)
この規則は、令和3年1月7日から施行する。