○大阪大学情報セキュリティ対策規程
第1章 総則
(目的)
第1条 この規程は、大阪大学(以下「本学」という。)における情報セキュリティの維持及び向上に関し必要な事項を定め、もって本学の有する情報資産の保護及び活用を図ることを目的とする。
(1) 情報システム ハードウェア及びソフトウェアからなるシステムであって、情報処理及び通信の用に供するものをいい、特に断りのない限り、本学が調達し、又は開発するもの(その管理を外部に委託しているシステムを含む。)をいう。
(2) 情報資産 情報システム及び情報システムに記録された情報(入出力した書面を含む。)並びに情報システムの開発及び運用に係るすべての情報をいう。
(3) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(4) 情報セキュリティポリシー 大阪大学情報セキュリティポリシー及びこの規程をいう。
(5) 対策基準 情報セキュリティポリシーに基づき、最高情報セキュリティ責任者が別に定める大阪大学情報セキュリティ対策基準をいう。
(6) リスク分析 情報セキュリティを侵害された場合の影響の評価をいう。
(7) 部局 附属図書館、各学部、各研究科、各附置研究所、各附属病院、各学内共同教育研究施設、各全国共同利用施設、本部事務機構その他これらに相当する組織をいう。
(8) 教職員等 本学の役員、教職員及び必要な許可を得て本学の情報資産を利用する者をいう。
(9) 学生等 本学の学生(特別研究学生、特別聴講学生、科目等履修生、聴講生及び研究生を含む。)その他本学に受け入れる研修員等をいう。
(10) 電磁的記録 電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。
(11) OU-CSIRT(Osaka University Computer Security Incident Response Team) 本学において発生した情報セキュリティインシデントに対処する体制をいう。
(適用範囲)
第3条 情報セキュリティポリシーは、次の各号に掲げる情報資産に適用する。
(1) 本学が所有又は管理する情報システム
(2) 本学以外の機関との契約又は協定に基づき提供された情報システム
(3) 前2号に規定する情報システムを利用する者が、本学の教育、研究その他の業務のために作成し、又は取得した情報で、当該情報システムに記録されたもの
(遵守事項)
第4条 前条に規定する情報資産を運用、管理又は利用する者は、情報セキュリティポリシー及び対策基準を遵守しなければならない。
第2章 組織体制
(最高情報セキュリティ責任者)
第5条 本学に最高情報セキュリティ責任者を置き、本学の専任教授のうちから、総長が指名する。
2 最高情報セキュリティ責任者は、本学の情報セキュリティに関する総括的な権限及び責任を有する。
(統括情報セキュリティ責任者)
第6条 本学に統括情報セキュリティ責任者を置き、本学の教職員のうちから、最高情報セキュリティ責任者が指名する。
2 統括情報セキュリティ責任者は、最高情報セキュリティ責任者の指示に基づき、本学における情報セキュリティ対策の実施に関する業務を統括する。
(情報セキュリティ監査責任者)
第7条 本学に情報セキュリティ監査責任者を置き、本学の教職員のうちから、最高情報セキュリティ責任者が指名する。
2 情報セキュリティ監査責任者は、第20条に定める監査を統括する。
(情報セキュリティ監査実施者)
第8条 本学に情報セキュリティ監査実施者を置き、本学の教職員のうちから、情報セキュリティ監査責任者が指名する。
2 情報セキュリティ監査実施者は、情報セキュリティ監査責任者の指示に基づき、第20条に定める監査を実施する。
(情報セキュリティアドバイザー)
第9条 本学に、情報セキュリティアドバイザーを置くことができる。
2 情報セキュリティアドバイザーは、情報セキュリティに関する専門的知識及び経験を有する者のうちから、最高情報セキュリティ責任者が委嘱する。
3 情報セキュリティアドバイザーは、最高情報セキュリティ責任者及び情報セキュリティ本部に対し、情報セキュリティに関する専門的な助言を行う。
(OU-CSIRT責任者)
第10条 本学にOU-CSIRT責任者を置き、情報セキュリティに関する専門的知識及び経験を有する教職員のうちから、最高情報セキュリティ責任者が指名する。
2 OU-CSIRT責任者は、情報セキュリティインシデントに関する業務を統括する。
(OU-CSIRT構成員)
第11条 本学に、OU-CSIRT構成員として、本部CSIRT及び部局CSIRTを置く。
2 本部CSIRTは、情報セキュリティに関する専門的知識及び経験を有する教職員のうちから、最高情報セキュリティ責任者が指名し、本学において発生した情報セキュリティインシデントの対応及び部局CSIRTに対する指示を行う。
3 部局CSIRTは、部局の教職員のうちから、第12条に規定する部局情報セキュリティ責任者が指名し、部局において発生した情報セキュリティインシデントの対応を行う。
(部局情報セキュリティ責任者)
第12条 部局に部局情報セキュリティ責任者を置き、当該部局の長(本部事務機構にあっては、事務担当理事)をもって充てる。
2 部局情報セキュリティ責任者は、当該部局の情報セキュリティに関する権限及び責任を有する。
(部局情報システムセキュリティ責任者)
第13条 部局に部局情報システムセキュリティ責任者を置き、当該部局の教職員のうちから、部局情報セキュリティ責任者が指名する。
2 部局情報システムセキュリティ責任者は、当該部局の情報システムにおける情報セキュリティ対策の実施に関する業務を統括する。
(部局情報システムセキュリティ管理者)
第14条 部局に、当該部局が保有する情報システムごとに部局情報システムセキュリティ管理者を置き、当該部局の教職員のうちから、部局情報セキュリティ責任者が指名する。
2 部局情報システムセキュリティ管理者は、管理する情報システムにおける情報セキュリティ対策を実施する。
(情報セキュリティ委員会)
第15条 本学における対策基準及び情報セキュリティ対策に係る推進計画(以下「対策推進計画」という。)の策定に関する事項を審議するため、情報セキュリティ委員会(以下「委員会」という。)を置く。
2 委員会は、次の各号に掲げる委員をもって組織する。
(1) 最高情報セキュリティ責任者
(2) 統括情報セキュリティ責任者
(3) 人文学研究科、人間科学研究科、法学研究科、経済学研究科、国際公共政策研究科及び高等司法研究科の教授のうちから、最高情報セキュリティ責任者が指名する者1名
(4) 理学研究科、工学研究科、基礎工学研究科及び情報科学研究科の教授のうちから、最高情報セキュリティ責任者が指名する者1名
(5) 医学系研究科、歯学研究科、薬学研究科、生命機能研究科及び大阪大学・金沢大学・浜松医科大学・千葉大学・福井大学連合小児発達学研究科の教授のうちから、最高情報セキュリティ責任者が指名する者1名
(6) 各附置研究所、各学内共同教育研究施設及び各全国共同利用施設の教授のうちから、最高情報セキュリティ責任者が指名する者1名
(7) 医学部附属病院及び歯学部附属病院の教授のうちから、最高情報セキュリティ責任者が指名する者各1名
(8) D3センター長及びD3センター副センター長
(9) 総務部長、教育・学生支援部長、情報推進部長及び附属図書館事務部長
(10) その他最高情報セキュリティ責任者が必要と認めた者
3 委員会に委員長を置き、最高情報セキュリティ責任者をもって充てる。
4 委員長は、委員会を招集し、議長となる。
5 前各項に定めるもののほか、委員会に関し必要な事項は、別に定める。
(部局情報セキュリティ委員会)
第16条 部局に、部局情報セキュリティ責任者を補佐し、部局における情報セキュリティに関する事項を審議するため、部局情報セキュリティ委員会(以下「部局委員会」という。)を置く。
2 前項の規定にかかわらず、部局が必要と認めるときは、複数の部局が共同で一の部局委員会を設置することができる。
(1) 部局情報セキュリティ責任者
(2) 部局情報システムセキュリティ責任者
(3) 部局情報セキュリティ責任者が指名する者若干名
4 部局委員会に委員長を置き、部局情報セキュリティ責任者をもって充てる。この場合において、第2項の部局委員会にあっては、関係部局の協議に基づき、いずれかの部局の部局情報セキュリティ責任者をもって充てるものとする。
5 部局委員会に関し必要な事項は、当該部局において定める。この場合において、第2項の部局委員会にあっては、関係部局の協議に基づき、これを定めるものとする。
第3章 情報資産の保護
(情報の格付け及び管理)
第17条 部局情報セキュリティ責任者は、対策基準に基づき、当該部局が管理する情報資産に対してリスク分析を行い、その結果に基づき、適切な情報の格付け及び管理を実施しなければならない。
(情報セキュリティ侵害への対処)
第18条 本学に対する情報セキュリティ侵害への対処に関し必要な事項は、対策基準で定める。
(利用の記録)
第19条 情報システムの利用記録の採取及び取扱いに関し必要な事項は、対策基準で定める。
第4章 監査、点検、情報セキュリティポリシー等の更新等
(監査)
第20条 情報セキュリティ監査責任者及び情報セキュリティ監査実施者は、本学における情報セキュリティポリシー及び対策基準の実施状況に係る監査を行い、その結果を最高情報セキュリティ責任者に通知するものとする。
(点検)
第21条 部局情報セキュリティ責任者は、当該部局における情報セキュリティポリシー及び対策基準の実施状況に係る点検を行い、その結果を最高情報セキュリティ責任者に報告するものとする。
(情報セキュリティポリシー及び対策基準の更新)
第22条 最高情報セキュリティ責任者は、前2条に定める監査及び点検の結果並びに本学における情報セキュリティ侵害を勘案し、情報セキュリティポリシー及び対策基準の更新その他必要な措置を講ずるものとする。
(雑則)
第23条 この規程に定めるもののほか、本学における情報セキュリティの維持及び向上に関し必要な事項は、対策基準で定める。
附則
この規程は、平成22年4月1日から施行する。
附則
この改正は、平成22年5月1日から施行する。
附則(抄)
(施行期日)
1 この改正は、平成24年4月1日から施行する。
附則
この改正は、平成26年8月1日から施行する。
附則
この改正は、平成27年4月1日から施行する。
附則
この改正は、平成28年4月1日から施行する。
附則
この改正は、平成29年4月1日から施行する。
附則
この改正は、平成29年8月26日から施行する。
附則
この改正は、平成30年4月1日から施行する。
附則
この改正は、平成31年4月1日から施行する。
附則
この改正は、令和4年4月1日から施行する。
附則
この改正は、令和6年10月1日から施行する。