○国立大学法人東京工業大学情報セキュリティ規則
平成17年4月8日
規則第32号
目次
第1章 総則(第1条―第4条)
第2章 情報セキュリティ対策基準(第5条―第13条)
第3章 情報セキュリティ組織体制(第14条―第27条)
第4章 個人情報の取扱い(第28条)
第5章 情報危機管理体制(第29条―第35条)
第6章 罰則(第36条)
第7章 雑則(第37条)
附則
第1章 総則
(目的)
第1条 この規則は,国立大学法人東京工業大学情報セキュリティポリシー(平成17年4月8日決定。以下「ポリシー」という。)に基づき,国立大学法人東京工業大学(以下「大学」という。)における情報及び情報システムの情報セキュリティ対策について必要な事項を定め,もって大学の保有する情報資産の保護と活用及び適切な情報セキュリティ対策を図ることを目的とする。
一 情報システム 情報処理及び情報ネットワークに係わるシステムで,次のいずれかに該当するものをいう。
イ 大学により,所有され,又は管理されているもの
ロ 契約又はその他協定に基づき,大学に提供されるもの
ハ 大学情報ネットワークに接続する機器
二 情報コンテンツ 大学が管理・運用する教育,研究及び事務処理に係る全ての情報(紙媒体・電磁媒体等に記録されたもの)をいう。
三 情報資産 情報システム及び情報コンテンツを合わせたものをいう。
四 情報セキュリティ 情報資産の機密性,完全性及び可用性を維持することをいう。
五 実施手順 ポリシー及びこの規則に基づき策定された情報セキュリティに関する具体的な手順やガイドラインをいう。
六 役職員等 大学に所属するすべての役員及び職員(非常勤職員を含む。),その他これらに類する者をいう。
七 学生等 大学院課程又は学士課程に在学する学生,研究生,科目等履修生,特別聴講学生,特別研究学生,海外交流学生,海外訪問学生等の大学において修学する者及び附属科学技術高等学校の生徒をいう。
八 利用者 役職員等及び学生等で,情報資産を利用する許可を受けて利用する者をいう。
九 臨時利用者 役職員等及び学生等以外の者で,情報資産を臨時に利用する許可を受けて利用する者をいう。
十 インシデント 情報資産への侵害又は情報セキュリティを脅かす事案をいう。
十一 部局等 国立大学法人東京工業大学組織運営規則(平成27年規則第81号)に定める組織並びに国際交流会館,地球史資料館,キャンパス・イノベーションセンター及び東工大蔵前会館をいう。
十二 クラウドサービス 事業者との相互契約に基づき,事業者によって定義されたインタフェースを用いて,共用可能な物理的又は仮想的なリソースにネットワーク経由でアクセスでき,利用者によって自由にリソースの設定・管理が可能なサービスをいう。
十三 約款によるクラウドサービス クラウドサービスのうち,画一的な約款に基づいた契約により,事業者がインターネット上の不特定多数の利用者に提供する電子メール,ファイルストレージ,グループウェア等のサービスをいう。
(適用範囲)
第3条 この規則は,情報資産を管理・運用する全ての者,並びに利用者及び臨時利用者に適用する。
(秘密保持)
第4条 前項の者は,職務上知り得た秘密を漏らしてはならない。その職を退いた後も,同様とする。
第2章 情報セキュリティ対策基準
(管理責任)
第5条 情報資産の管理責任は,次のとおりとする。
一 情報コンテンツの管理責任は,当該情報コンテンツを作成し,又は入手した部局等が負う。
二 情報システムの管理責任は,当該情報システムを管理し,又は運用する部局等が負う。
(利用者の責任)
第6条 情報コンテンツを利用する者は,第6条の2に規定する格付けに応じて適切に利用する責任を負う。
2 情報システムの利用者及び臨時利用者は,当該情報システムの利用規約等を遵守して利用する責任を負う。
(情報コンテンツの格付け)
第6条の2 情報コンテンツは,その機密性,完全性及び可用性を踏まえ,別記に定めるところにより,第24条に規定する部局等情報セキュリティ責任者のもとで,格付けされなければならない。
(情報コンテンツの管理)
第7条 情報コンテンツの管理について,部局等情報セキュリティ責任者は,その格付けに応じて,適切な措置を講じなければならない。
2 不要となった情報コンテンツは,適切な処置を施して廃棄しなければならない。
3 大学に帰属する情報コンテンツのうち,その取扱いについて,国立大学法人東京工業大学法人文書管理規程(平成23年規程第5号)又は共同研究若しくは受託研究等の契約等により規定されているもの,その他法令等の定めがあるものについては,それによる。
(物理的セキュリティ)
第9条 部局等情報セキュリティ最高責任者は,情報システムを保護するため,必要な措置を講じなければならない。
(人的セキュリティ)
第10条 利用者及び臨時利用者は,この規則及び関係法令等を遵守し,大学の情報資産に対する情報セキュリティを確保しなければならない。
2 部局等情報セキュリティ最高責任者は,大学に帰属する情報資産に対する情報セキュリティを確保するため,必要な措置を講じなければならない。
(技術的セキュリティ)
第11条 部局等情報セキュリティ最高責任者は,大学の情報資産を不正アクセス等から保護するため,必要な措置を講じなければならない。
(外部委託)
第12条 大学の業務を外部委託により遂行する場合は,委託先においてポリシー及びそれに基づく規程等に適合した情報セキュリティ対策を確実に実施させる必要があるため,次の各号に掲げる対策を実施するものとする。
一 契約 情報システムの開発,運用若しくは保守又は情報コンテンツの処理を外部委託事業者(下請けとして受託する業者を含む。)に発注する場合は,遵守事項を契約書に明記すること。
二 委託先選定 部局等情報セキュリティ責任者又は部局等情報システム管理責任者は,外部委託を実施する場合には,選定基準を定め選定条件に従って委託先を選定すること。
三 再委託 部局等情報セキュリティ責任者又は部局等情報システム管理責任者は,委託先がその役務内容を一部再委託する場合には,再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう,前号の選定条件を委託先に担保させるとともに,再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を大学に提供し,大学の承認を受けるよう,仕様に含めること。
四 委託先管理 部局等情報セキュリティ責任者又は部局等情報システム管理責任者は,委託先における情報セキュリティ対策や情報セキュリティの履行状況及び情報の取扱事項が遵守されていること等を確認すること。
五 クラウドサービスの利用 部局等情報セキュリティ責任者又は部局等情報システム管理責任者は,クラウドサービスを利用する場合には,クラウド基盤部分を含む情報の流通経路全般を俯瞰し,総合的に対策を検討又は構成した上でセキュリティを確保すること。
六 約款によるクラウドサービスの利用 部局等情報セキュリティ責任者又は部局等情報システム管理責任者は,約款によるクラウドサービスを利用する場合には,大学の情報をサービス提供事業者等に送信していることを十分認識し,リスクを十分に踏まえた上で利用の可否を判断し,情報セキュリティ対策を適切に講ずること。
(実施手順の作成)
第13条 各部局等は,この規則を遵守し,大学の情報資産に対する情報セキュリティ確保を実現するための具体的な対策基準として,実施手順を定め,個別の項目に関して,具体的な対策を規定しなければならない。
第3章 情報セキュリティ組織体制
(総括)
第14条 大学における情報セキュリティ組織体制は,別図1のとおりとする。
(最高情報セキュリティ責任者)
第15条 大学に,最高情報セキュリティ責任者(Chief Information Security Officer。以下「CISO」という。)を置き,情報基盤を担当する副学長をもって充てる。
2 CISOは,大学の情報セキュリティに関する全ての権限及び責任を有し,大学の情報セキュリティに関する事項を統括する。
3 CISOは,大学及び学外組織の情報資産に対する重大な侵害又は脅威等のインシデントが発生した場合は,速やかに第34条に規定する対策本部を設置し,別図2及び別図3のとおり当該インシデントに対処しなければならない。
4 CISOは,緊急を要するインシデントが発生した場合又は緊急を要するインシデントが発生することが想定される場合,当該インシデントに係る関連部署及び第17条第8項に定める情報システム緊急対応チームに対し,当該インシデントに関する初動体制としての緊急措置を講ずる全権を委任することができる。
5 CISOは,学外の情報セキュリティ水準の低下を招く行為の防止に関する措置を講じなければならない。
6 CISOは,次条に規定する最高情報セキュリティ責任者補佐について,職務代行順位を定め,CISOに事故がある時又は不在時は,最高情報セキュリティ責任者補佐に,その職務を代行させるものとする。
(最高情報セキュリティ責任者補佐)
第16条 大学に,CISOを補佐するため,最高情報セキュリティ責任者補佐(以下「CISO補佐」という。)を置き,CISOが指名する者若干人をもって充てる。
2 大学に,副最高情報セキュリティ責任者(以下「副CISO」という。)を置き,CISO補佐のうち,前条第6項の職務代行順位が第1位である者をもって充てる。
3 CISO補佐の任期は2年とし,重任,再任を妨げない。
(情報セキュリティ管理委員会)
第17条 大学に,情報セキュリティ管理委員会(以下「管理委員会」という。)を置く。
2 管理委員会に,委員長,副委員長及び委員を置き,CISOが指名する者をもって充てる。
3 前項の委員長,副委員長及び委員の任期は2年とし,重任,再任を妨げない。
4 第2項の委員の指名にあたっては,管理委員会委員長は,管理委員会の業務について適任者がいる場合は,CISOに推薦することができる。
5 監事,CISO及び第19条に定める情報セキュリティ監査委員会委員長は,管理委員会に陪席し,意見を述べることができる。
6 管理委員会は,次の各号に掲げる業務を実施する。
一 この規則及びポリシーの改廃等の重要事項に係る検討及び関係部署との連絡調整
二 部局等における情報セキュリティに関する取組等の実施状況の把握
三 インシデントの予防対策及び再発防止策の検討及び策定
四 インシデントが発生した場合において,当該部局等と協働した迅速かつ円滑な対応に関する必要措置
五 特に緊急を要するインシデントが発生した場合又は発生することが想定される場合において,第15条第4項に基づきCISOから委任された初動体制としての緊急措置
六 その他情報セキュリティに関すること。
7 管理委員会は,必要に応じて部局等に対し改善命令を出すよう,CISOに勧告することができる。
8 管理委員会に,インシデントに関する情報収集,分析及び危機対応並びに各部局等に対する情報セキュリティに関する通知等を行うため,情報システム緊急対応チーム(Computer Emergency Response Team。以下「CERT」という。)を置く。
9 管理委員会は,必要に応じて,研究・産学連携本部情報基盤部門その他関係する委員会等へ,情報を共有する。
10 部局長等への意見徴収や周知が必要となる重要な案件については、CISOを通じ,役員会へ報告する。
11 前各項に定めるもののほか,管理委員会に関し必要な事項は,CISOが別に定める。
(CERT)
第18条 CERTは,情報資産を管理・運用し,及び利用するすべての者を対象として,次に掲げる業務を行う。
一 情報セキュリティに関する注意喚起又は各種通知等の業務
二 インシデント情報の集積及び分析
三 大学の情報資産に対する学内外からの侵害若しくは大学及び学外組織の情報資産に対して脅威を与える行為が発生した場合又はこれらの侵害若しくは脅威を与える行為が発生することが想定される場合の緊急対応
四 大学の情報資産に対する侵害を阻止し,又は大学及び学外組織の情報資産に対して脅威を与える行為を抑止するための予防対策
五 その他情報セキュリティ対策の実施に関すること。
2 CERTは,次の各号に掲げる者をもって組織する。
一 統括責任者
二 情報セキュリティ及びそれに関連した専門的知識を有する研究推進部情報基盤課(以下「情報基盤課」という。)の職員 若干人
三 その他業務を遂行する上で統括責任者が適任と認める者 若干人
3 統括責任者は,CISOが指名する者をもって充て,CERTの業務を統括する。
4 統括責任者の任期は,2年とし,重任,再任を妨げない。
5 統括責任者は,第1項に定める業務の執行状況について,CISO及び管理委員会に定期的に報告しなければならない。
6 前各項に定めるもののほか,CERTの運営に関し必要な事項は,管理委員会が定める。
(情報セキュリティ監査委員会)
第19条 大学に,情報セキュリティ監査委員会(以下「監査委員会」という。)を置く。
2 監査委員会に,委員長及び委員を置き,CISOが指名する者をもって充てる。
3 前項の委員長及び委員の任期は2年とし,重任,再任を妨げない。
4 第2項の委員の指名にあたっては,監査委員会委員長は,監査委員会の業務について適任者がいる場合には,CISOに推薦することができる。
5 第2項の委員には,少なくとも2人以上の学外委員を含むものとする。
6 監事及びCISOは監査委員会に陪席し,意見を述べることができる。
7 監査委員会は,次に掲げる事項について,別に定める情報セキュリティ監査(以下「監査」という。)を行う。
一 各部局等が第13条の規定に基づき,実施手順を作成していること。
二 各部局等の情報セキュリティが,ポリシー,この規則及び実施手順に基づき運用されていること。
三 各部局等において次項に掲げる事前の点検及び情報セキュリティに関する通知等に対応していること。
四 前3号のほか,情報セキュリティに関する問題点の改善に係ること。
8 前項の監査にあたっては,監査委員会は点検事項を作成し,各部局等へ事前の点検を行うよう通知するものとする。
9 監査委員会は,各部局等の監査結果に基づき,この規則の実施状況が不十分であると判断した場合は,CISOに当該部局等に対し改善命令を出すよう勧告するものとする。
10 監査委員会は,各部局等の監査結果を踏まえ,この規則の改廃等が必要と判断した場合は,CISOの承認を得て,この規則の見直しを管理委員会に勧告することができる。
11 監査委員会は,監査業務の一部又は全部を外部の事業者に委託することができる。この場合において,監査委員会は,CISOの承認を得て,事業者を選定しなければならない。
12 前各項に定めるもののほか,監査委員会に関し必要な事項は,CISOが別に定める。
(部局等の組織体制)
第21条 各部局等は,実施手順の作成又は改訂等の重要事項の決定を行うとともに,重要事項に関する部局等内の関係部署との連絡調整並びに部局等内における実施手順の周知,啓蒙,教育等を円滑に行うため,別表のとおり組織体制を整備しなければならない。
(部局等情報セキュリティ最高責任者)
第22条 部局等に,部局等情報セキュリティ最高責任者を置き,別表に掲げる者をもって充てる。
2 部局等情報セキュリティ最高責任者は,部局等の情報セキュリティに関する全ての権限と責任を有する。
3 部局等情報セキュリティ最高責任者は,部局等の情報セキュリティに関する事項を統括する。
4 部局等に,部局等情報セキュリティ最高責任者を補佐するため,必要に応じて部局等情報セキュリティ最高責任者補佐を置き,部局等情報セキュリティ最高責任者が指名する者をもって充てる。
(部局等情報セキュリティ管理委員会)
第23条 部局等に,実施手順の承認又は改訂等の重要事項を決定し,並びに重要事項に関する部局等内の関係部署との連絡調整を行うため,部局等情報セキュリティ管理委員会(以下「部局等管理委員会」という。)を置く。
2 部局等管理委員会は,次の各号に掲げる者をもって組織する。
一 部局等情報セキュリティ最高責任者
二 部局等情報セキュリティ責任者
三 その他部局等情報セキュリティ最高責任者が指名する者
3 部局等管理委員会に,委員長を置き,部局等情報セキュリティ最高責任者をもって充てる。
4 部局等管理委員会に,必要に応じて副委員長を置き,委員長が指名する者をもって充てる。
5 部局等管理委員会は,管理委員会の依頼を受け,定期的に部局等内での情報セキュリティに関する取組等の実施状況について調査を行い,その結果について管理委員会に報告しなければならない。
6 部局等管理委員会は,第19条第7項各号に掲げる事項について,監査委員会の監査に協力しなければならない。
(部局等情報セキュリティ責任者)
第24条 部局等内の当該部局等が定める範囲(以下「管理範囲」という。)ごとに,部局等情報セキュリティ責任者を置き,別表に掲げる者をもって充てる。ただし,部局等内において特別に認めた場合は,部局等情報セキュリティ責任者は,複数の管理範囲の責任者となることができる。
2 部局等情報セキュリティ責任者は,当該部局等の実施手順の周知,啓蒙及び教育等に関する責任を有するとともに,当該管理範囲の情報セキュリティに関する事項を統括する。
(部局等情報システム管理責任者)
第25条 部局等に,部局等のネットワークシステムを始めとする情報システムを管理するため,部局等情報システム管理責任者を置き,別表に掲げる者を持って充てる。
2 部局等情報システム管理責任者は,部局等のネットワークシステムをはじめとする情報システムに関する設定の変更,運用及び更新等の管理権限を有し,及び当該作業において取り扱う情報等に関し守秘義務を負う。
3 部局等情報システム管理責任者は,当該管理システムにおいてインシデントが発生した際は,管理委員会の指示に基づき,調査等に協力しなければならない。
(部局等情報システム管理担当者)
第26条 部局等情報システム管理責任者は,部局等のネットワークシステムをはじめとする情報システムを管理するため,部局等情報システム管理担当者を置く。ただし,部局等情報システム管理責任者が兼務することを妨げない。
2 部局等情報システム管理担当者は,部局等情報システム管理責任者の命に従い,システム管理作業を行う。
3 部局等情報システム管理担当者は,当該管理システムにおいてインシデントが発生した際は,部局等情報システム管理責任者の指示に基づき,調査等に協力しなければならない。
(部局等情報セキュリティ連絡担当者)
第27条 部局等内の管理範囲ごとに,部局等情報セキュリティ連絡担当者を置き,別表に掲げる者をもって充てる。ただし,部局等内において特別に認めた場合は,部局等情報セキュリティ連絡担当者は,複数の管理範囲の担当者となることができる。
2 部局等情報セキュリティ連絡担当者は,部局等情報セキュリティ責任者の指示のもと,当該部局等の実施手順の周知,啓蒙及び教育等に関する実務を担当する。
第4章 個人情報の取扱い
(個人情報の取扱い)
第28条 個人情報の取扱いに関しては,国立大学法人東京工業大学個人情報保護規程(令和4年規程第7号)及び国立大学法人東京工業大学個人情報管理規程(平成17年規程第6号)によるものとする。
第5章 情報危機管理体制
(管理体制)
第29条 大学は,別図2及び別図3のとおり大学及び学外組織の情報資産に対する侵害が発生した場合の連絡,証拠保全及び被害拡大の防止並びに復旧等の必要な措置を迅速かつ円滑に講じるとともに,再発防止のための必要な対策が講じられるよう,情報危機管理体制を整備しなければならない。
(連絡体制)
第30条 インシデントを認めた者は,速やかに部局等情報システム管理担当者及びCERTに連絡し,次の各号に掲げる事項について報告しなければならない。
一 インシデントの内容
二 インシデントが発生した原因として想定される行為
三 確認した被害・影響範囲
四 その他連絡に必要な事項
2 部局等情報システム管理担当者は,前項の連絡を受け,速やかに当該インシデントが発生した情報資産を管理している部局等にその内容を報告しなければならない。
(対応体制)
第31条 インシデントが発生した情報資産を管理している部局等の部局等情報セキュリティ最高責任者は,当該インシデントを調査の上,侵害度及び被害度等の重大性を迅速に判断し,別図2のとおり適切に対処しなければならない。
(重大でないインシデント)
第32条 インシデントが重大でない場合には,当該情報資産を管理している部局等の部局等情報セキュリティ最高責任者は,当該管理部署の部局等情報システム管理責任者にインシデントに適切に対処するよう指示する。
一 部局等情報セキュリティ最高責任者
二 部局等情報セキュリティ責任者
三 管理委員会又は情報基盤課
3 前項の報告を受けた管理委員会又は情報基盤課はCISOに報告するものとし,CISOは,情報基盤課を通じ,当該インシデントについて文部科学省に報告するものとする。
4 部局等内に,国立大学法人東京工業大学情報倫理規則(平成17年規則第31号。以下「情報倫理規則」という。)第3条の規定に違反の疑いのあるユーザ(以下「被疑ユーザ」という。)がいる場合は,当該部局等の部局等情報セキュリティ最高責任者は,必要に応じて当該部局等の情報倫理委員会に,情報倫理規則に従い調査及び審査を命ずる。
(重大なインシデント)
第33条 インシデントが重大である場合には,当該インシデントが発生した情報資産を管理している部局等の部局等情報セキュリティ最高責任者は,当該部局等の部局等情報セキュリティ責任者に速やかに次に掲げる対処策を講じるよう指示を出さなければならない。
一 CISO及びコンプライアンス・危機管理室への連絡
二 当該インシデントの対処に緊急を要する場合において,当該情報システムの停止等の緊急措置
2 前項の指示を受けた部局等情報セキュリティ責任者は,直ちに対処策を講じなければならない。
3 CISOは,第1項の連絡を受け,必要な場合には対策本部を設置し,学長に当該インシデントの内容と併せて報告するものとする。
4 CISOは,前項の対策本部の設置の有無について,当該部局等の部局等情報セキュリティ最高責任者にその結果を連絡するものとする。
(対策本部)
第34条 CISOは,当該インシデントが発生した情報資産を管理している部局等の部局等情報セキュリティ最高責任者からの連絡を受け,インシデントが重大なものと認め,必要と判断した場合には,別図3のとおり速やかに当該インシデントに対する対策本部(以下「対策本部」という。)を設置するものとする。
2 対策本部は,必要に応じ大学の顧問弁護士に意見を求めることができる。
3 対策本部は,必要に応じCERT及び監査委員会に協力を求めることができる。
4 対策本部は,次の各号に掲げる者をもって組織する。
一 本部長 CISO
二 副本部長 情報化統括責任者(情報を担当する理事・副学長)
CISOが指名する者
三 本部員 事務局長,当該インシデントに係わる部局等の部局等情報セキュリティ最高責任者,当該課・室長,当該部局等の部局等情報セキュリティ責任者,情報倫理委員会委員長,関連部課長,情報基盤課長及びその他CISOが指名する者
5 対策本部は,当該インシデントが極めて重大であると判断した場合には,国立大学法人東京工業大学における危機管理に関する規則(平成16年規則第102号。以下「危機管理規則」という。)に基づき,当該インシデントの処理に当たるものとする。この場合において,危機管理規則第7条の対策本部が設置された場合は,これをもって第1項の対策本部が設置されたものとみなす。
6 対策本部は,当該インシデントに係る情報システムのアクセス記録及び現状に関する記録を保存する。
7 対策本部は,当該インシデントに対処した経過を記録する。
8 対策本部は,当該インシデントに係る証拠保全の実施を完了し,再発防止の暫定措置について検討する。
9 対策本部は,当該インシデントを調査し,次の各号に掲げる関係部署にその調査結果について連絡する。
一 管理委員会
二 情報倫理委員会
三 情報基盤課
四 コンプライアンス・危機管理室
10 情報基盤課は,前項の報告を受け,当該インシデントを文部科学省に報告する。
11 対策本部は,被疑ユーザがいる場合は,情報倫理規則第13条から第21条までの規定に基づき調査及び審査を命ずる。
12 対策本部は,再発防止の暫定措置を講じた後には,情報システム等を速やかに復旧するための措置を講じるものする。
13 対策本部は,当該インシデントの事後対策案作成について管理委員会に勧告することができる。
14 管理委員会は,事後対策案を作成し,CISOの承認を得て,学長に報告する。
15 学長は,事後対策案に基づき,当該インシデントの事後対策について当該部局等に必要な措置を命ずるものとする。
16 本部長は,当該インシデントの対処終了をもって対策本部を解散する。
(再発防止の措置)
第35条 管理委員会は,当該インシデントに係るリスク分析を行い,実施手順及び各種セキュリティ対策の改善等の再発防止計画を策定し,CISOに報告しなければならない。
2 CISOは,再発防止計画が有効であると認める場合には,当該計画を実施する。
3 学長は,再発防止のため必要と認める場合には,不正アクセス行為の禁止等に関する法律(平成11年法律128号)の規定に基づき,都道府県公安委員会に対し援助の申出を行うものとする。
第6章 罰則
(罰則)
第36条 CISOは,第3条に掲げる者が,具体的な命令や注意喚起に従わない場合,大学の情報セキュリティ水準を低下させると認められる行為を繰り返す場合又は情報セキュリティの確保に必要な対策を怠った場合は,情報システムの利用を停止する等の措置を講じるものとする。
2 前項の措置のほか,懲戒処分に該当するものについては,国立大学法人東京工業大学職員の懲戒等に関する規則(平成30年規則第44号)又は東京工業大学学生の懲戒等に関する規程(平成24年規程第1号)の定めるところによる。
第7章 雑則
(雑則)
第37条 この規則に定めるもののほか,大学の情報セキュリティに関し必要な事項は,管理委員会の議を経て学長が定める。
附則
この規則は,平成17年4月8日から施行し,平成17年4月1日から適用する。
附則(平20.7.18規64)
この規則は,平成20年7月18日から施行し,改正後の国立大学法人東京工業大学情報セキュリティ規則の規定は,平成20年7月1日から適用する。
附則(平21.3.19規35)
この規則は,平成21年4月1日から施行する。
附則(平22.7.1規74)
この規則は,平成22年7月1日から施行する。
附則(平23.3.17規24)
この規則は,平成23年4月1日から施行する。
附則(平25.2.22規10)
この規則は,平成25年2月22日から施行する。
附則(平25.6.21規49)
この規則は,平成25年7月1日から施行する。
附則(平26.10.3規42)
この規則は,平成26年10月3日より施行する。
附則(平27.7.3規58)
この規則は,平成27年7月3日から施行する。
附則(平28.3.18規70)
この規則は,平成28年4月1日から施行する。
附則(平28.5.13規147)
この規則は,平成28年5月13日から施行し,改正後の国立大学法人東京工業大学情報セキュリティ規則の規定は,平成28年4月1日から適用する。
附則(平29.2.3規9)
この規則は,平成29年4月1日から施行する。
附則(平29.7.20規72)
この規則は,平成29年7月20日から施行する。
附則(平30.3.16規37)
この規則は,平成30年4月1日から施行する。
附則(令元.6.20規5)
この規則は,令和元年6月20日から施行し,改正後の国立大学法人東京工業大学情報セキュリティ規則の規定は,平成31年4月1日から適用する。
附則(令元.7.18規21)
この規則は,令和元年7月18日から施行する。
附則(令元.10.17規27)
1 この規則は,令和元年10月17日から施行する。ただし,改正後の国立大学法人東京工業大学情報セキュリティ規則(以下「改正規則」という。)第16条の2の規定は,平成31年4月1日から適用する。
2 この規則の施行の際,改正前の国立大学法人東京工業大学情報セキュリティ規則第17条第2項第3号,第18条第1項及び第18条の3第1項による各委員会の委員長及び委員(以下「委員等」という。)は,それぞれ改正規則第17条第2項第3号,第18条第1項及び第18条の3第1項による委員等とみなし,その任期は,改正規則第17条第3項,第18条第2項及び第18条の3第2項の規定にかかわらず,令和3年3月31日までとする。
附則(令2.2.21規24)
この規則は,令和2年4月1日から施行する。
附則(令3.3.19規33)抄
1 この規則は,令和3年4月1日から施行する。
附則(令3.6.18規58)
この規則は,令和3年6月18日から施行する。
附則(令3.9.17規94)
この規則は,令和3年9月17日から施行し,改正後の国立大学法人東京工業大学情報セキュリティ規則の規定は,令和3年6月18日から適用する。
附則(令4.3.18規34)
この規則は,令和4年4月1日から施行する。
附則(令5.3.17規38)
この規則は,令和5年4月1日から施行する。
別記 情報コンテンツの格付け及び取扱制限
情報コンテンツは,情報コンテンツの機密性,完全性及び可用性を踏まえ,その重要性に応じ部局等情報セキュリティ責任者の下で表1~3のように格付けする。また,必要に応じて取扱制限を決定する(表5)。格付け及び取扱制限を指定した場合には,それを認識できる方法を用いて明示等する。
なお,元の格付け又は取扱制限がその時点で不適当であり見直す必要がある場合は,その指定者或いは決定者と協議の上再度決定する。
表1 情報コンテンツの格付け(機密性)
格付け | 内容 |
機密性3情報 | 秘密保全の必要が高く,特定の者や部局等以外に公開することのできない情報コンテンツ。 例:構成員限り,関係者限りの資料等 |
機密性2情報 | 学外に公開することのできない情報コンテンツ |
機密性1情報 | 公表済みの情報,公表しても差し支えない情報,機密性3情報又は機密性2情報以外の情報 |
なお,機密性3情報及び機密性2情報を「要機密情報」という。
表2 情報コンテンツの格付け(完全性)
格付け | 内容 |
完全性2情報 | 改ざん,誤びゅう又は破損により,利用者の権利が侵害され又は大学の活動の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報(書面を除く。) |
完全性1情報 | 完全性2情報以外の情報(書面を除く。) |
なお,完全性2情報を「要保全情報」という。
表3 情報コンテンツの格付け(可用性)
格付け | 内容 |
可用性2情報 | 滅失,紛失又は当該情報が利用不可能であることにより,利用者の権利が侵害され又は大学の活動の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報(書面を除く。) |
可用性1情報 | 可用性2情報以外の情報(書面を除く。) |
なお,可用性2情報を「要安定情報」という。
また,「要機密情報」,「要保全情報」及び「要安定情報」を「要保護情報」という(表4)。
表4 要保護情報
情報コンテンツの種類 | 格付け | |
要保護情報 | 要機密情報 | 機密性3情報 機密性2情報 |
要保全情報 | 完全性2情報 | |
要安定情報 | 可用性2情報 |
表5 取扱制限の種類
取扱制限の種類 | 指定例 | |
機密性についての取扱制限 | 複製について | 複製禁止,複製要許可 |
配付について | 配付禁止,配付要許可 | |
暗号化について | 暗号化必須 (保存時暗号化必須,通信時暗号化必須等) | |
印刷について | 印刷禁止,印刷要許可 | |
転送について | 転送禁止,転送要許可 | |
転記について | 転記禁止,転記要許可 | |
再利用について | 再利用禁止,再利用要許可 | |
送信について | 送信禁止,送信要許可 | |
参照者の制限について | 構成員限り,関係者限り等 | |
完全性についての取扱制限 | 保存期間について | 別途定める期間まで保存 |
保存場所について | 施錠可能な机や書庫において保存 | |
書換えについて | 書換禁止,書換要許可 | |
削除について | 削除禁止,削除要許可 | |
保存期間満了後の措置について | 保存期間満了後要廃棄 | |
可用性についての取扱制限 | 復旧までに許容できる時間について | ○時間以内復旧,○日以内復旧 |
保存場所について | DVD,ブルーレイ等光学ディスクに保存,共有ファイルサーバ保存必須 |
別表 部局等における組織体制(第21条関係)
部局等 | 部局等情報セキュリティ最高責任者 | 部局等情報セキュリティ最高責任者補佐(任意) | 部局等情報セキュリティ責任者 | 部局等情報システム管理責任者 | 部局等情報システム管理担当者 | 部局等情報セキュリティ連絡担当者 |
学院 | 学院長 | 部局等情報セキュリティ最高責任者が指名する者 | 各系主任等 | 部局等情報セキュリティ責任者が指名する者 | 部局等システム管理責任者が指名する者 | 部局等情報セキュリティ責任者が指名する者 |
リベラルアーツ研究教育院 | 研究教育院長 | 部局等情報セキュリティ最高責任者が指名する者 | ||||
科学技術創成研究院 | 研究院長 | 各所長・各センター長等 | ||||
研究科(学系を含む。) | 研究科長・学系長 | 専攻長 | ||||
学部 | 学部長 | 学科長 | ||||
附属科学技術高等学校 | 校長 | 副校長 | ||||
附属図書館 | 附属図書館長 | 附属図書館長 | ||||
国際先駆研究機構(先駆研究組織を除く。)先駆研究組織,各共通教育組織,各共通支援組織等(キャンパス・イノベーションセンターを含む。) | 当該部局等の長等 | 当該部局等の長等 | ||||
企画立案執行組織 | オフィス長・本部長 | オフィス長補佐・副本部長 | ||||
未来社会DESIGN機構 | 機構長 | 副機構長 | ||||
事務局(国際交流会館及び東工大蔵前会館を含む。) | 事務局長 | 課長・室長 | ||||
オープンファシリティセンター | センター長 | 室長 | ||||
地球史資料館 | 地球史資料館長 | 主事等 |
別図1 大学の情報セキュリティ組織体制
別図2 大学の情報危機管理体制:対応体制
別図3 大学の情報危機管理体制:対策本部
