○国立大学法人東京科学大学情報セキュリティ監査規則
令和6年10月1日
規則第71号
(目的)
第1条 この規則は、国立大学法人東京科学大学情報セキュリティポリシー(以下「ポリシー」という。)に基づき、情報セキュリティ監査(以下「監査」という。)に関し必要な事項を定め、もって監査体制の独立性を確保し、ポリシー、国立大学法人東京科学大学情報セキュリティ規則(以下「セキュリティ規則」という。)及び情報セキュリティ実施手順(以下「実施手順」という。)等が確実に遵守され、情報セキュリティに関する問題点が改善されることを目的とする。
(適用範囲)
第2条 この規則は、学内外を問わず国立大学法人東京科学大学に帰属する情報資産を運用・管理する全ての者並びに利用者及び臨時利用者に適用する。
(定義)
第3条 この規則における用語の意義は、セキュリティ規則に定めるところによる。
(情報セキュリティ監査委員会)
第4条 大学に、情報セキュリティ監査委員会(以下「監査委員会」という。)を置く。
2 監査委員会に、委員長及び委員を置き、最高情報セキュリティ責任者(Chief Information Security Officer。以下「CISO」という。)が指名する者をもって充てる。
3 委員長及び委員の任期は2年とし、重任、再任を妨げない。
4 第2項の委員の指名にあたっては、委員長は、監査委員会の業務について適任者がいる場合には、CISOに推薦することができる。
5 第2項の委員には、少なくとも2人以上の学外委員を含むものとする。
6 監事及びCISOは監査委員会に陪席し、意見を述べることができる。
7 監査委員会は、次に掲げる事項について、監査を行う。
一 各部局等がセキュリティ規則第13条の規定に基づき、実施手順等を作成していること。
二 各部局等の情報セキュリティが、ポリシー、セキュリティ規則及び実施手順等に基づき運用されていること。
三 各部局等において次項に掲げる事前の点検及び情報セキュリティに関する通知等に対応していること。
四 前3号のほか、情報セキュリティに関する問題点の改善に係ること。
8 前項の監査に当たっては、監査委員会は点検事項を作成し、各部局等へ事前の点検を行うよう通知するものとする。
9 監査委員会は、各部局等の監査結果に基づき、ポリシー、セキュリティ規則及び実施手順等の実施状況が不十分であると判断した場合は、CISOに当該部局等に対し改善命令を出すよう勧告するものとする。
11 監査委員会は、監査業務の一部又は全部を外部の事業者に委託することができる。この場合において、監査委員会は、CISOの承認を得て、事業者を選定しなければならない。
12 前各項に定めるもののほか、監査委員会に関し必要な事項は、CISOが別に定める。
(監査実施手順の策定)
第5条 委員長は、監査の詳細について、情報セキュリティ監査実施手順(以下「監査実施手順」という。)を定めるものとする。
(監査実施チーム)
第6条 委員長は、監査ごとに、当該監査を統括する者(以下「監査責任者」という。)及び監査責任者を補佐する者(以下「監査担当者」という。)で構成する監査実施チームを組織し、監査を行わせるものとする。
2 監査責任者及び監査担当者は、独立して公正な監査を行うため、監査を受ける部局等(以下「被監査部門」という。)における業務との関連性を考慮の上、委員長が選考し、指名する。
(監査計画の策定)
第7条 監査責任者は、監査実施手順に基づき、第3条第7項各号に掲げる事項について監査計画を策定し、委員会の審議を経て委員長の承認を得る。
(監査の実施の指示)
第8条 委員長は、監査責任者に対して、監査計画に従った監査の実施を指示する。
2 委員長は、情報セキュリティの状況の変化に応じて必要と判断した場合は、監査責任者に対して、監査計画で計画された事項以外の監査の実施を指示する。
(監査の実施)
第9条 監査実施チームは、監査計画に従って監査を実施する。
2 監査実施チームは、被監査部門に対して、監査実施上必要なもの一切の提出を求めるとともに、監査に必要な説明を求めることができる。
3 被監査部門は、前項の要求を正当な理由なく拒むことができない。
4 第2項の要求を拒む場合、被監査部門は、その理由を記載した書面を委員長に提出し、承認を得なければならない。
5 第1項の監査にあたっては、委員会は点検事項を作成し、各部局等へ事前の点検を行うよう通知するものとする。
6 監査実施チームは、監査を実施したときは、当該監査の記録を取りまとめた監査調書を作成するものとする。
7 監査実施チームは、監査を実施するにあたり、被監査部門の日常業務を著しく妨げることのないように配慮しなければならない。
8 監査実施チームは、監査終了後、その結果について被監査部門に説明、提示を行い、認識合せを行う。
9 監査実施上知り得た事項を、正当な理由なく他に漏らし、又は自己のために窃用してはならない。
10 監査責任者は、監査調書に基づき監査実施報告書を作成し、委員長へ提出する。
(監査結果への対応)
第10条 委員長は、監査責任者から監査実施報告書の提出があったときは、委員会において、その内容について審議の上、監査実施報告書の承認を行う。
2 委員長は、前項の規定により、監査実施報告書を承認したときは、監査報告書を作成し、CISOへ提出するものとする。なお、監査報告書には、委員長は、委員会における監査結果への指摘事項その他の意見を取りまとめた総評を付すものとする。
3 CISOは、監査報告書に基づき、ポリシー、セキュリティ規則及び実施手順等に定める事項の実施状況が不十分であると判断した場合は、当該部局等に対し改善命令を出すものとする。
4 委員会は、監査の結果を踏まえ、当該被監査部門以外の部局等においても同種の課題及び問題点がある可能性が高く、かつ、緊急に当該課題等の確認が必要と判断した場合には、CISOの承認を得て、管理委員会に対し、当該課題等への対応、ポリシー、セキュリティ規則及び実施手順等の見直し等の必要性について審議するよう、勧告するものとする。
5 部局等情報セキュリティ最高責任者は、監査報告書に基づいてCISOから改善を指示された事案について、対応計画を作成し、報告する。
6 監査責任者は、委員長の承認の下、監査の指摘事項に対する改善状況を確認するため、被監査部門と実施時期を調整の上、フォローアップ監査を実施する。
(庶務)
第11条 監査委員会の庶務は、情報部情報基盤課情報セキュリティ室において処理する。
(雑則)
第12条 この規則に定めるもののほか、監査の実施に関し必要な事項は、監査委員会が別に定める。
附則
1 この規則は、令和6年10月1日から施行する。
2 次に掲げる規則及び規程は、廃止する。
一 国立大学法人東京工業大学情報セキュリティ監査規程(令和3年規程第18号)
二 国立大学法人東京医科歯科大学情報セキュリティ監査規則(平成26年規則第6号)
3 この規則施行後、最初に監査委員会の委員長及び委員となる者の任期は、第3条第3項の規定にかかわらず、令和8年3月31日までとする。)の定めるところによる。