○国立大学法人熊本大学情報セキュリティ監査規則
(平成23年2月24日規則第14号)
改正
平成31年2月28日規則第18号
(趣旨)
第1条 この規則は、国立大学法人熊本大学(以下「本学」という。)における情報セキュリティに係る監査(以下「監査」という。)に関し必要な事項を定める。
(年度監査計画の策定)
第2条 情報セキュリティ監査責任者は、年度情報セキュリティ監査計画(以下「年度監査計画」という。)を策定し、最高情報セキュリティ責任者の承認を得る。
(監査の実施に関する指示)
第3条 最高情報セキュリティ責任者は、年度監査計画に従って、情報セキュリティ監査責任者に対して、監査の実施を指示する。
2 最高情報セキュリティ責任者は、情報セキュリティの状況の変化に応じて必要と判断した場合は、情報セキュリティ監査責任者に対して、年度監査計画において計画された事項以外の事項に係る監査の実施を指示する。
(監査実施計画の策定)
第4条 情報セキュリティ監査責任者は、前条に規定する監査の実施指示に基づき、個別の監査業務に係る監査実施計画を策定する。
(監査を実施する者の要件)
第5条 情報セキュリティ監査責任者は、監査を実施する場合には、監査対象の部局等(以下「被監査部局等」という。)に関連を有しない者に対して、監査の実施を指示する。
2 情報セキュリティ監査責任者は、必要に応じて、学外の者に監査の一部を請け負わせることができる。
(監査の実施)
第6条 監査を実施する者(以下「監査実施者」という。)は、情報セキュリティ監査責任者の指示に基づき、監査実施計画に従って監査を実施する。
2 監査実施者は、被監査部局等において実施規則及び手順が作成されている場合は、それらがポリシーに準拠しているか否かを確認する。
3 監査実施者は、被監査部局等における実際の運用がポリシー、実施規則及び手順に準拠しているか否かを確認する。
4 監査実施者は、監査調書を作成し、情報セキュリティ監査責任者へ提出するものとする。
5 情報セキュリティ監査責任者は、監査調書に基づき監査報告書を作成し、最高情報セキュリティ責任者へ提出する。
(監査結果に対する対応)
第7条 最高情報セキュリティ責任者は、監査報告書の内容を踏まえ、被監査部局等の部局情報セキュリティ責任者に対して、指摘事項への対応の実施を指示する。
2 最高情報セキュリティ責任者は、監査報告書の内容を踏まえ、被監査部局等以外の部局等においても同種の課題及び問題点がある可能性が高く、かつ、緊急に同種の課題及び問題点があることを確認する必要があると判断した場合は、他の部局等の部局情報セキュリティ責任者に対しても、同種の課題及び問題点の有無を確認するよう指示する。
3 部局情報セキュリティ責任者は、最高情報セキュリティ責任者から対応を指示された事項について、対応計画を作成し、最高情報セキュリティ責任者に報告する。
4 最高情報セキュリティ責任者は、必要に応じて、情報セキュリティ監査責任者に対して、前項の対応計画に係るフォローアップのための監査の実施を指示する。
5 最高情報セキュリティ責任者は、前条の監査の結果を踏まえ、ポリシー、実施規則及び手順の妥当性を評価し、必要に応じてその見直しを全学システム管理責任者に指示する。
(雑則)
第8条 この規則に定めるもののほか、監査に関し必要な事項は別に定める。
附 則
この規則は、平成23年2月24日から施行する。
附 則(平成31年2月28日規則第18号)
この規則は、平成31年4月1日から施行する。