国立大学法人福岡教育大学情報システム運用リスク管理規程

○国立大学法人福岡教育大学情報システム運用リスク管理規程

(制定　平成21年12月14日)

改正	平成22年7月1日	平成23年3月22日
	平成24年3月30日	平成26年12月25日
	令和3年6月15日	令和3年12月27日

第1条　この規程は，国立大学法人福岡教育大学情報セキュリティポリシー(以下「セキュリティポリシー」という。)，国立大学法人福岡教育大学情報ネットワーク管理規程第18条及び国立大学法人福岡教育大学情報システム運用管理規程第72条の規定に基づき，国立大学法人福岡教育大学(以下「法人」という。)の情報システム運用におけるリスクを分析し，必要な対策を立て，情報セキュリティを確保することを目的とする。

[国立大学法人福岡教育大学情報ネットワーク管理規程第18条] [国立大学法人福岡教育大学情報システム運用管理規程第81条]

第2条　この規程において，次の各号に掲げる用語は，それぞれ当該各号の定めるところによる。

(1)　機密性(Confidentiality)　アクセス権を持つ者だけが，情報にアクセスできることを確実にすること。

(2)　完全性(Integrity)　情報及び処理方法が正確であること及び完全であることを保護すること。

(3)　可用性(Availability)　認可された利用者が，必要なときに，情報及び関連する資産にアクセスできることを確実にすること。

(4)　その他の用語の定義はセキュリティポリシーの定めるところによる。

(リスク評価手順)

第3条　最高情報セキュリティ責任者(以下「CISO」という。)は，情報資産の価値と脅威，脆弱性を評価するための情報システム運用リスク評価手順を定めるものとする。

(リスク管理)

第4条　CISOは，部局システム管理責任者を含む各情報資産の管理者(以下「当該管理者」という。)に対して，少なくとも年に一回，機密性，完全性及び可用性にかかるリスク管理を次の各号に従って実施し，その結果を報告するよう求めなければならない。

(1)　当該管理者は，自らが扱う情報資産について情報システム運用リスク評価手順に基づきリスク評価を行わなければならない。

(2)　当該管理者は，前項の評価結果に従い，リスクに対する事前の対策を必要とするものについてその具体策を定め，あるいはトラブルが発生した場合の具体的な対策についてその手順を定め，CISOに報告しなければならない。対策を施さないと判断したものについても同様とする。

(3)　CISOは，報告に基づいて，セキュリティポリシー及びその関連規程等の見直しを行なうものとする。

第5条　この規程に関する事務は，学術情報課において処理する。

第6条　この規程に定めるもののほか，法人の情報システムリスク管理に関し必要な事項は，情報運用管理委員会における審議の後，学長が別に定める。

この規程は，平成21年12月14日から施行する。

附　則(平成22年7月1日)

この規程は，平成22年7月1日から施行する。

附　則(平成23年3月22日)

この規程は，平成23年4月1日から施行する。

附　則(平成24年3月30日)

この規程は，平成24年4月1日から施行する。

附　則(平成26年12月25日)

この規程は，平成27年4月1日から施行する。

附　則(令和3年6月15日)

この規程は，令和3年6月15日から施行する。

附　則(令和3年12月27日)

この規程は，令和3年12月27日から施行する。