ホーム > 大学紹介

規程集|国立大学法人 大阪教育大学

トップページに戻る
最上位 > 第3章 総 務 > 情 報
国立大学法人大阪教育大学情報セキュリティ対策基本規程
(目的)
第1条 本規程は,国立大学法人大阪教育大学(以下「本学」という。)における情報及び情報システムの情報セキュリティ対策について基本的な事項を定め,もって本学の保有する情報の保護と活用及び情報セキュリティ水準の適切な維持向上を図ることを目的とする。
(適用範囲)
第2条 本規程において適用対象とする者は,本学情報システムを運用及び管理するすべての者,並びに利用者及び臨時利用者とする。
2 本規程において適用対象とする情報は,次の各号に掲げるとおりとする。
(1)教職員等が職務上使用することを目的として本学が調達し,又は開発した情報処理若しくは通信の用に供するシステム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)
(2)その他の情報システム又は外部電磁的記録媒体に記録された情報(当該情報システムから出力された書面に記載された情報及び書面から情報システムに入力された情報を含む。)であって,教職員等が職務上取り扱う情報
(3)前各号のほか,本学が調達し,又は開発した情報システムの設計又は運用管理に関する情報
3 本規程において適用対象とする情報システムは,本規程の適用対象となる情報を取り扱う全ての情報システムとする。
(用語定義)
第3条 本規程において,次の各号に掲げる用語の定義は,当該各号に定めるところによる。
(1)外部委託
  本学の情報処理業務の一部又は全部について,契約をもって外部の者に実施させることをいう。「委任」「準委任」「請負」といった契約形態を問わず,全て含む。
(2)学生等
  本学の学部学生,大学院学生,研究生,研究員,研修員並びに研究者等,その他,部局総括責任者が認めた者をいう。
(3)機器等
  情報システムの構成要素(サーバ装置,端末,通信回線装置,複合機,特定用途機器等,ソフトウェア等),外部電磁的記録媒体等の総称をいう。
(4)教職員等
  本学の役員及び,本学に勤務する常勤又は非常勤の教職員(派遣職員を含む。)その他,部局総括責任者が認めた者をいう。教職員等には,個々の勤務条件にもよるが,例えば,派遣労働者,一時的に受け入れる研修生等も含まれる。
(5)記録媒体
  情報が記録され,又は記載される有体物をいう。記録媒体には,文字,図形等人の知覚によって認識することができる情報が記載された紙その他の有体物(以下「書面」という。)と,電子的方式,磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって,情報システムによる情報処理の用に供されるもの(以下「電磁的記録」という。)に係る記録媒体(以下「電磁的記録媒体」という。)がある。また,電磁的記録媒体には,サーバ装置,端末,通信回線装置等に内蔵される内蔵電磁的記録媒体と,USBメモリ,外付けハードディスクドライブ,DVD-R等の外部電磁的記録媒体がある。
(6)サーバ装置
  情報システムの構成要素である機器のうち,通信回線等を経由して接続してきた端末等に対して,自らが保持しているサービスを提供するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい,特に断りがない限り,本学が調達又は開発するものをいう。
(7)CSIRT(シーサート)
  本学において発生した情報セキュリティインシデントに対処するため,本学に設置された体制をいう。Computer Security Incident Response Teamの略。
(8)実施手順
  対策基準に定められた対策内容を個別の情報システムや業務において実施するため,あらかじめ定める必要のある具体的な手順をいう。
(9)情報
  本規程第2条第2項に定めるものをいう。
(10)情報システム
  ハードウェア及びソフトウェアから成るシステムであって,情報処理又は通信の用に供するものをいい,特に断りのない限り,本学が調達又は開発するもの(管理を外部委託しているシステムを含む。)若しくは本学情報ネットワークに接続されるものをいう。
(11)情報セキュリティインシデント
  JIS Q 27000:2014における情報セキュリティインシデントをいう。
(12)情報セキュリティ関連規程
  ポリシーに基づいて策定される規程,基準及び計画を総称したものをいう。
(13)情報セキュリティ対策推進体制
  本学の情報セキュリティ対策の推進に係る事務を遂行するため,学内に設置された体制をいう。
(14)対策基準
  本学が定める「国立大学法人大阪教育大学情報セキュリティ対策基準(以下「情報セキュリティ対策基準」という。)」及び同基準から参照される関連基準をいう。
(15)端末
  情報システムの構成要素である機器のうち,利用者が情報処理を行うために直接操作するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボードやマウス等の周辺機器を含む。)をいい,特に断りがない限り,本学が調達又は開発するものをいう。端末には,モバイル端末も含まれる。特に断りを入れた例としては,本学が調達又は開発するもの以外を指す「本学支給以外の端末」がある。また,本学が調達又は開発した端末と本学支給以外の端末の双方を合わせて「端末(支給外端末を含む。)」という。
(16)通信回線
  複数の情報システム又は機器等(本学が調達等を行うもの以外のものを含む。)の間で所定の方式に従って情報を送受信するための仕組みをいい,特に断りのない限り,本学の情報システムにおいて利用される通信回線を総称したものをいう。通信回線には,本学が直接管理していないものも含まれ,その種類(有線又は無線,物理回線又は仮想回線等)は問わない。
(17)通信回線装置
  通信回線間又は通信回線と情報システムの接続のために設置され,回線上を送受信される情報の制御等を行うための装置をいう。通信回線装置には,いわゆるハブやスイッチ,ルータ等のほか,ファイアウォール等も含まれる。
(18)ポリシー
  本学が定める「国立大学法人大阪教育大学情報セキュリティ対策基本方針」及び本規程をいう。
(19)モバイル端末
  端末のうち,必要に応じて移動させて使用することを目的としたものをいい,端末の形態は問わない。
(20)要管理対策区域
  本学の管理下にある区域(学外組織から借用している施設等における区域を含む。)であって,取り扱う情報を保護するために,施設及び執務環境に係る対策が必要な区域をいう。
(21)利用者
  教職員等及び学生等で,本学情報システムを利用する許可を受けて利用する者をいう。
(22)臨時利用者
  教職員等及び学生等以外の者で,本学情報システムを臨時に利用する許可を受けて利用する者をいう。
(全学総括責任者)
第4条 本学における情報セキュリティに関する事務を統括する全学総括責任者を置く。全学総括責任者は国立大学法人大阪教育大学情報に関する組織等設置に関する規程(以下「組織設置規程」という。)第4条に規定する最高情報セキュリティ責任者(CISO)とする。
2 全学総括責任者を助けて本学における情報セキュリティに関する事務を整理し,全学総括責任者の命を受けて本学の情報セキュリティに関する事務を統括する全学総括副責任者1人を必要に応じて置くこと。全学総括副責任者は組織設置規程第5条に規定する最高情報セキュリティ副責任者(副CISO)とする。
3 全学総括責任者は,次の各号に掲げる事務を統括すること。
(1)情報セキュリティ対策推進のための組織及び体制の整備
(2)情報セキュリティ対策基準の決定及び見直し
(3)対策推進計画の決定及び見直し
(4)情報セキュリティインシデントに対処するために必要な指示その他の措置
(5)前各号に掲げるもののほか,情報セキュリティに関する重要事項
4 全学総括責任者は,全学の情報基盤として供される本学情報システムのうち情報セキュリティが侵害された場合の影響が特に大きいと評価される情報システムを指定することができる。この指定された情報システムを「全学情報システム」という。
(全学情報セキュリティ委員会の設置)
第5条 全学総括責任者は,対策基準等の審議を行う機能を持つ組織として全学情報セキュリティ委員会を置くこと。
2 全学情報セキュリティ委員会の委員長は,全学総括責任者とし,委員は,次の各号に掲げる者とする。
(1)全学総括責任者
(2)全学実施責任者
(3)各機構長
(4)初等教育課程長
(5)教員養成課程長
(6)教育協働学科長
(7)教育学研究科主任
(8)連合教職実践研究科主任
(9)附属図書館長
(10)事務局長
(11)情報企画室長
(12)CSIRTに属する者 若干人
(13)その他全学総括責任者が必要と認める者
3 全学情報セキュリティ委員会は,次の各号に掲げる事項を審議すること。
(1)情報セキュリティ対策基準
(2)対策推進計画
(3)前各号に掲げるもののほか,情報セキュリティに関し必要な事項
(情報セキュリティ監査責任者)
第6条 全学総括責任者は,その指示に基づき実施する監査に関する事務を統括する者として,情報セキュリティ監査責任者1人を置くこと。
(管理運営部局)
第7条 本学情報システムの管理運営部局は情報基盤センターとする。
(管理運営部局が行う事務)
第8条 管理運営部局は,次条に規定する全学実施責任者の指示により,次の各号に掲げる事務を行う。
(1)全学情報セキュリティ委員会の運営に関する事務
(2)本学情報システムの運用と利用におけるポリシーの実施状況の取りまとめ
(3)講習計画,リスク管理及び非常時行動計画等の実施状況の取りまとめ
(4)本学の情報システムのセキュリティに関する連絡と通報
(全学実施責任者及び部局総括責任者の設置)
第9条 業務の特性等から同質の情報セキュリティ対策の運用が可能な組織のまとまりとする部局ごとに,情報セキュリティ対策に関する事務を統括する者として,部局総括責任者1人を置く。部局総括責任者は次表に掲げる者とする。そのうち,部局総括責任者を統括し,全学総括責任者及び全学総括副責任者を補佐する者として,全学実施責任者1人を置く。全学実施責任者は情報基盤センター長をもって充てる。

部局(組織のまとまり)

部局総括責任者

大学

情報基盤センター長

附属学校園

附属学校統括機構長

事務局

事務局長

2 全学実施責任者は,命を受け,次の各号に掲げる事務を統括すること。
(1)要管理対策区域の決定並びに当該区域における施設及び環境に係る対策の決定
(2)情報セキュリティ対策に関する実施手順の整備及び見直し並びに実施手順に関する事務の取りまとめ
(3)情報セキュリティ対策に係る教育実施計画の策定及び当該実施体制の整備
(4)例外措置の適用審査記録の台帳整備等
(5)情報セキュリティインシデントに対処するための緊急連絡窓口の整備等
(6)前各号に掲げるもののほか,情報セキュリティ対策に係る事務
3 部局総括責任者は,命を受け,管理を行う組織のまとまりにおける情報セキュリティ対策を推進するため,次の各号に掲げる事務を統括すること。ただし,別に定める附属学校園の情報セキュリティ対策に係る部分を除く。
(1)定められた区域ごとの区域部局総括責任者の設置
(2)部局の職場情報セキュリティ責任者の設置
(3)情報システムごとの部局技術責任者の設置
(4)情報セキュリティインシデントの原因調査,再発防止策等の実施
(5)情報セキュリティに係る自己点検計画の策定及び実施手順の整備
(6)前各号に掲げるもののほか,管理を行う組織のまとまりの情報セキュリティ対策に関する事務
(区域情報セキュリティ責任者の設置)
第10条 部局総括責任者は,情報セキュリティ対策基準第47条で定める区域ごとに,当該区域における情報セキュリティ対策の事務を統括する区域情報セキュリティ責任者 1 人を置くこと。
(職場情報セキュリティ責任者の設置)
第11条 部局総括責任者は,教室,研究室,事務室等の管理組織単位ごとに情報セキュリティ対策に関する事務を統括する職場情報セキュリティ責任者1人を置くこと。
2 職場情報セキュリティ責任者は,命を受け,教室,研究室,事務室等の管理組織単位における情報の取扱いその他の情報セキュリティ対策に関する事務を統括すること。
(部局情報セキュリティ委員会)
第12条 各部局に部局情報セキュリティ委員会を置くことができる。
2 部局情報セキュリティ委員会は次の各号に掲げる事項を実施する。
(1) 部局におけるポリシーの遵守状況の調査と周知徹底
(2)部局におけるリスク管理及び非常時行動計画の策定及び実施
(3)部局における情報セキュリティインシデントの再発防止策の策定及び実施
(4)部局における部局技術担当者向け教育の計画と企画
(部局情報セキュリティ委員会の構成員)
第13条 部局情報セキュリティ委員会は,委員長及び次の各号に掲げる者を委員として組織する。
(1)部局技術責任者
(2)部局技術担当者
(3)その他部局総括責任者が必要と認める者
(部局情報セキュリティ委員会の委員長)
第14条 部局情報セキュリティ委員会の委員長は,部局総括責任者をもって充てる。
(部局技術責任者の設置)
第15条 部局総括責任者は,所管する情報システムに対する情報セキュリティ対策に関する事務の責任者として,部局技術責任者を,当該情報システムの企画に着手するまでに選任すること。
2 部局技術責任者は,命を受け,情報システムにおける情報セキュリティ対策に関する事務を担うこと。
3 部局技術責任者は,所管する情報システムの管理業務において必要な単位ごとに部局技術担当者を置くこと。
(全学情報セキュリティアドバイザーの設置)
第16条 全学総括責任者は,情報セキュリティについて専門的な知識及び経験を有する者を全学情報セキュリティアドバイザーとして置くこと。
(情報セキュリティ対策推進体制の整備)
第17条 全学総括責任者は,本学の情報セキュリティ対策推進体制を整備し,その役割を規定すること。
2 情報セキュリティ対策推進体制は情報基盤センターをもって充てる。
3 全学総括責任者は,次の各号を含む情報セキュリティ対策推進体制の役割を規定すること。
(1)情報セキュリティ関係規程及び対策推進計画の策定に係る事務
(2)情報セキュリティ関係規程の運用に係る事務
(3)例外措置に係る事務
(4)情報セキュリティ対策の教育の実施に係る事務
(5)情報セキュリティ対策の自己点検に係る事務
(6)情報セキュリティ関係規程及び対策推進計画の見直しに係る事務
(情報セキュリティインシデントに備えた体制の整備)
第18条 全学総括責任者は,CSIRTを整備し,その役割を明確化する。
(事業継続計画(BCP)との整合)
第19条 全学実施責任者は,情報セキュリティ関連規程の整備又は見直しを指示するに際し,当該規程が満たすべき要件として国立大学法人大阪教育大学危機管理規程に基づく事業継続計画(BCP)との整合性の確保を含めること。
(兼務を禁止する役割)
第20条 教職員等は,情報セキュリティ対策の運用において,原則として次の各号の役割を兼務しないこと。
(1)承認又は許可の申請者と当該承認を行う者
(2)監査を受ける者とその監査を実施する者
(対策基準の策定)
第21条 全学総括責任者は,全学情報セキュリティ委員会における審議を経て,サイバーセキュリティ戦略本部決定「政府機関等の情報セキュリティ対策のための統一基準」に準拠した対策基準を定めること。また,対策基準は,本学の業務,取り扱う情報及び保有する情報システムに関するリスク評価の結果を踏まえた上で定めること。
(附属学校園の情報セキュリティ対策)
第22条 附属学校園における情報及び情報システムの情報セキュリティ対策については別に定める。
附 則 
1 この規程は,平成29年4月1日から施行する。 
2 国立大学法人大阪教育大学情報メディア基盤委員会規程(平成22年4月1日制定),国立大学法人大阪教育大学情報メディア基盤委員会情報セキュリティ専門部会要項(平成22年7月7日制定),国立大学法人大阪教育大学情報セキュリティポリシー(平成18年3月14日学長裁定)は,廃止する。
附 則 
 この規程は,平成30年2月7日から施行する。
附 則 
 この規程は,平成30年4月1日から施行する。
附 則 
 この規程は,令和2年4月1日から施行する。
附 則 
 この規程は,令和3年4月1日から施行する。