(目的)

第1条　この規程は、国立大学法人東北大学(以下「本学」という。)における情報システムの適切な運用及び管理について必要な事項を定め、もって本学の情報資産の保護及び活用並びに情報セキュリティ対策の推進を図ることを目的とする。

(定義)

第2条　この規程において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(全学総括責任者)

第3条　本学に、本学における情報システムの運用及び管理に関する業務を総括させるため、全学総括責任者を置く。

(全学実施責任者)

第4条　本学に、全学総括責任者の命を受け、本学における情報システムの運用及び管理に関する業務を掌理させるため、全学実施責任者を置く。

(管理運営部局)

第5条　データシナジー創生機構は、本学における情報システムの運営及び管理並びに情報セキュリティ対策の推進に関し、その管理運用にあたるものとする。

(情報基盤運用室)

第6条　本学における情報システムの運用及び利用並びに情報セキュリティ対策の推進に関する企画及び実施は、東北大学データシナジー創生機構規程(平成21年規第22号)第6条第1項に定めるところにより、データシナジー創生機構情報基盤運用室が行う。

(情報セキュリティインシデント対応チーム)

第7条　本学におけるインシデントの発生時の対応は、東北大学データシナジー創生機構規程第7条第1項に定めるところにより、情報セキュリティインシデント対応チームが行う。

(情報セキュリティアドバイザー)

第8条　本学に、本学における情報セキュリティに係る運営に関し、助言及び専門的な技術支援を行わせるため、情報セキュリティアドバイザーを置く。

(情報セキュリティ監査責任者)

第9条　本学に、本学における情報システムの運用及び管理の状況について監査させるため、情報セキュリティ監査責任者を置く。

(情報セキュリティ対策推進室)

第9条の2　本学に、情報セキュリティに配慮した業務の改善を推進するとともに、適正な情報セキュリティ対策の整備及び運用について検証し、又は助言を行うため、情報セキュリティ対策推進室を置く。

(部局総括責任者)

第10条　部局に、当該部局における情報システムの運用及び利用に関する業務を総括させるため、部局総括責任者を置く。

(部局実施責任者)

第11条　部局に、当該部局の部局総括責任者の命を受け、当該部局における情報システムの運用及び利用に関する業務を掌理させるため、部局実施責任者を置く。ただし、部局の事情によって固有の部局実施責任者を置くことが困難な場合は、複数の部局が合同でこれを置くことができる。

(部局技術担当者)

第12条　部局に、当該部局の部局実施責任者の命を受け、当該部局における情報システムの運用及び利用に関する技術的実務を処理させるため、部局技術担当者を置く。ただし、部局の事情によって固有の部局技術担当者を置くことが困難な場合は、複数の部局が合同でこれを置くことができる。

(部局情報システム運用組織)

第13条　部局に、当該部局における情報システムの運用及び利用並びに情報セキュリティ対策の推進について企画し、及び調整するため、部局情報システム運用組織を置く。ただし、部局の事情によって固有の部局情報システム運用組織を置くことが困難な場合は、複数の部局が合同でこれを置くことができる。

(情報システム総括責任者会議)

第14条　本学に、本学における情報システムに関する重要事項について審議するため、情報システム総括責任者会議(以下「総括責任者会議」という。)を置く。

(総括責任者会議の組織)

第15条　総括責任者会議は、議長及び次に掲げる委員をもって組織する。

(総括責任者会議の議長)

第16条　総括責任者会議の議長は、全学総括責任者をもって充てる。

(委嘱)

第17条　第15条第3号に掲げる委員は、総長が委嘱する。

(任期)

第18条　第15条第3号に掲げる委員の任期は、2年とする。ただし、補欠の委員の任期は、前任者の残任期間とする。

(情報システムの運用及び管理)

第19条　全学総括責任者は、本学における情報システムの運用及び管理について必要な事項(この規程に定めるものを除く。)を定めるとともに、本学の情報資産を適正に保護し、及び活用し、並びに情報システムの信頼性、安全性及び効率性の向上を図るために必要な措置を講ずるものとする。

(情報システムの利用)

第20条　全学総括責任者は、本学における情報システムの利用について必要な事項を定めるとともに、情報セキュリティの確保及び円滑な情報システムの利用について必要な措置を講ずるものとする。

(本学以外の情報セキュリティ水準の低下を招く行為の防止)

第21条　全学総括責任者は、本学以外の情報セキュリティ水準の低下を招く行為の防止に関する措置を講ずるものとする。

(利用制限等)

第22条　全学総括責任者は、この規程及び別に定める規則等に違反した者に対し、情報システム及び情報資産に係る運用及び利用を制限する等必要な措置を講ずることがある。

(情報の格付け)

第23条　全学総括責任者は、本学における情報システムで取り扱う情報資産について、電磁的記録については機密性、完全性及び可用性の観点から、書面については機密性の観点から格付けを行うために、及びそれぞれに応じた取扱い上の制限を設けるために、必要な事項を定めるものとする。

(リスク管理)

第24条　全学総括責任者は、本学における情報システムに係るリスクを適正に管理するため、運用及び利用上のリスクを分析し、情報資産の価値及び脅威並びに脆ぜい弱性を評価するための手順(以下「リスク評価手順」という。)を定めるものとする。

(非常時行動計画等)

第25条　全学総括責任者は、本学における情報システムの運用においてインシデントが発生した場合であって、そのうち特に重大性のある事態(以下「非常事態」という。)が発生した場合の対応についての行動計画等を定めるものとする。

(非常時対策本部)

第26条　全学総括責任者は、非常事態が発生し、又は発生するおそれが特に高いと認められる場合は、直ちに総長に報告するとともに、被害の拡大防止、被害からの早急な復旧その他非常事態の対策等を実施するため、非常時対策本部を設置する。

(情報システムに関する教育研修)

第27条　全学実施責任者は、本学の情報資産の保護及び活用並びに情報セキュリティ対策の推進を図るため、情報システムの適正な運用及び管理並びに利用のために必要な教育研修を行うものとする。

(点検・評価)

第28条　部局総括責任者は、当該部局における情報システムの運用及び管理の状況について定期又は随時に点検を行い、その結果を全学総括責任者に報告するものとする。

(雑則)

第29条　この規程に定めるもののほか、本学における情報システムの運用及び管理に関し必要な事項は、別に定める。