- トップ >
慶應義塾情報セキュリティ対策基本規程
改正 平成27年4月21日 2020年10月16日
(目的)
第1条 慶應義塾(以下,「義塾」という。)における情報セキュリティ対策を実施するための運用・体制については,本規程の定めるところによる。
(適用範囲)
第2条 ① 本規程は,義塾において情報を管理・利用するすべての者に適用する。
② 法律およびこれに基づく命令の規定によって,情報の管理・利用に関する事項について特別の定めが設けられている場合にあっては,当該事項については,当該法律およびこれに基づく命令の定めるところによる。
(定義)
第3条 次の各号に掲げる用語の意義は,当該各号の定めるところによる。
1 基本方針 義塾が定める「慶應義塾情報セキュリティ基本方針」をいう。
2 その他の用語の定義は基本方針の定めるところによる。
(最高情報責任者)
第4条 ① 義塾は,最高情報責任者を置くものとし,常任理事のうちIT担当理事をこれに充てる。
② 最高情報責任者は,義塾の情報システムの管理運用について,情報システムの遮断,隔離,検査を含むすべての権限と責任を掌握し,情報システムの円滑な管理運用の維持に関する一切の業務を統括する。
③ 最高情報責任者は,情報セキュリティ対策として,セキュリティ基本方針およびそれに基づく規程の執行,および各種情報セキュリティ問題に対する処置を行う。
④ 最高情報責任者は,全塾向け情報セキュリティ教育を統括する。
⑤ 最高情報責任者は,情報セキュリティに関する専門的な知識および経験を有した専門家を情報セキュリティアドバイザーとして置くことができる。
⑥ 最高情報責任者は,情報セキュリティ監査責任者を置く。
(情報システム部門管理責任者)
第5条 ① 義塾は,最高情報責任者の下に,情報システムの管理部門に部門管理責任者(以下,「部門管理責任者」という。)を置く。
② 部門管理責任者は,次の者をこれに充てる。
1 大学各学部長
2 大学院各研究科委員長
3 研究所長およびこれに準ずる組織の責任者
4 大学病院長
5 一貫教育校の各校代表責任者
6 事務組織における各部署の上位管理職1名
③ 部門管理責任者は,各情報システム部門における運用方針の決定や情報セキュリティに関する各種問題に対する処置を担当する。
④ 部門管理責任者が情報セキュリティ対策を実施するうえで必要となる業務を補佐するものとして,情報システム部門管理補佐を置くことができるものとし,各地区を担当するKIC所長、副所長ならびに各地区KIC課長等をこれに充てる。
⑤ 部門管理責任者は,各情報システム部門においてインシデントの可能性がある事象が確認された際には,速やかに情報セキュリティインシデント対応チーム(Computer Security Incident Response Team,以下,「CSIRT」という。)に報告しなくてはならない。
(情報システム部門の役割)
第6条 各情報システム部門では,情報セキュリティ対策として,以下の各号に掲げる事項を実施する。
1 情報システム部門に固有の情報セキュリティおよび情報セキュリティ教育に係る規程および手順の制定
2 情報システム部門における情報セキュリティに関する教育の計画の制定および改廃,ならびにその計画の実施状況の把握
3 情報システム部門におけるセキュリティポリシーの運用実施状況の調査および周知徹底
4 情報システム部門におけるリスク管理および非常時行動計画の策定および実施
5 情報システム部門においてインシデントの可能性のある事象が確認された際のCSIRTへの報告
6 情報システム部門におけるインシデントの再発防止策の策定および実施
(情報セキュリティインシデント対応チーム)
第7条 ① 義塾は,インシデントの発生時に,迅速かつ円滑に対応するため,CSIRTを整備し,その役割を明確化する。
② 最高情報責任者が,CSIRT長の助言に基づき,インシデントにより,義塾および外部のシステムに甚大な被害がもたらされることを防ぐために必要であると認めたとき(以下,「緊急事態対応時」という。)は,CSIRTに対し,義塾のネットワークに接続されたすべての情報システムについて遮断,隔離または検査を命じることができる。
③ 最高情報責任者が不在であり,CSIRT長が緊急事態対応時であると判断した場合,CSIRT長は,前号に掲げる遮断,隔離,または検査を指示することができる。ただし,この指示を行ったことを,速やかに常任理事会に報告することとする。
④ 各情報システム部門内の情報システムにかかるインシデントが発生した場合,部門管理責任者およびCSIRT長は,当該情報システムについて遮断,隔離または検査を指示することができる。ただし,この指示を行ったことを,速やかに最高情報責任者に報告することとする。
(情報セキュリティ委員会)
第8条 ① 義塾は,義塾の情報セキュリティに必要な一切の事項について審議する機関として,情報セキュリティ委員会を置く。
② 情報セキュリティ委員会は以下の各号に掲げる事項の実施および実施状況の把握を行う。
1 情報セキュリティポリシーの制定および改廃の検討
2 セキュリティポリシー教育の実施ガイドラインの制定および改廃
3 全塾的な情報セキュリティに関する教育の計画の制定および改廃
4 全塾的情報セキュリティリスク管理規程の制定および改廃
5 情報セキュリティ監査規程の制定および改廃
6 全塾的情報セキュリティ非常時行動計画の制定および改廃
7 インシデントの全塾的な再発防止策の検討
8 その他,情報セキュリティに必要な事項の検討
③ 情報セキュリティ委員会は,次の者をもって構成する。
1 最高情報責任者
2 専任教員のうち,各キャンパスおよび一貫教育校から選出された者 7名
3 専任教員のうち,塾長が指名する者 若干名
4 専任職員のうち,塾長が指名する者 若干名
④ 委員会に委員長と副委員長を置く。
1 委員長は,最高情報責任者とする。
2 委員長は,委員会を招集し,議事を行う。
3 副委員長は,委員のうちから委員長が指名する。
4 副委員長は,委員長を補佐し,委員長に事故のあるときは,委員長に代わってその職務を行う。
⑤ 委員会は,次のとおり運営する。
1 委員会は,委員の過半数の出席がなければ開くことができない。
2 委員会の審議および評決は,出席委員の3分の2以上の賛成をもって行う。
3 委員会は,必要があると認めるときは,委員以外の者の出席を求め,その意見を聴取できる。
4 前各号に定めるほか,委員会の運営に関する事項は,委員会において定める。
⑥ 委員の任期は2年とし,重任を妨げない。ただし,任期の途中で退任した場合は,後任者の任期は前任者の残任期間とする。
(情報セキュリティ委員会事務局)
第9条 情報セキュリティ委員会の事務は,CSIRTが行う。
(役割の分離)
第10条 情報セキュリティ対策の運用において,以下の各号に掲げる役割を同じ者が兼ねることはできない。
1 承認または許可事案の申請者とその承認者または許可者
2 監査を受ける者とその監査を実施する者
(情報の格付け)
第11条 情報セキュリティ委員会は,義塾が取り扱う情報について,機密性,完全性および可用性の観点から当該情報の格付けおよび取扱制限の指定ならびに明示等の規程を整備する。
(塾外の情報セキュリティ水準の低下を招く行為の禁止)
第12条 ① 情報セキュリティ委員会は,義塾外の情報セキュリティ水準の低下を招く行為の防止に関する措置についての規程を整備する。
② 義塾において情報を管理・利用する者は,原則として,義塾外の情報セキュリティ水準の低下を招く行為の防止に関する措置を講ずる。
(情報資産関連業務の外部委託管理)
第13条 義塾の情報資産に関する業務のすべてまたはその一部を第三者に委託する場合には,当該第三者による情報セキュリティの確保が徹底されるよう必要な措置を講じるものとする。
(情報セキュリティ監査)
第14条 情報セキュリティ監査責任者は,最高情報責任者の指示によって,情報セキュリティ対策がセキュリティポリシーに基づく手順に従って実施されていることを監査する。情報セキュリティ監査に際しては,別途定める情報セキュリティ監査規程に従う。
(規程の改廃)
第15条 本規程の改廃は,情報セキュリティ委員会の議を経て,常任理事会が決定する。
附則
この規程は,平成25年4月1日から施行する。
附則(平成27年4月21日)
この規則は、平成27年4月21日から施行する。
附 則(2020年10月16日)
この規程は,2020年11月1日から施行する。
最終更新日: 2023年10月6日
内容はここまでです。