安全与保证

足球现场比分 信息安全角色和责任

目的

根据联邦、州、监管和合同要求,足球比赛结果负责 制定和实施全面的信息安全计划。的 本文件的目的是明确定义以下角色和职责: 对于大学信息安全的实施和持续至关重要 计划 (ISP)。

定义

  • 信息系统—任何存储、处理或传输信息的电子系统。
  • 信息资产—任何形式的可定义信息,记录或存储在任何介质上 被认为对大学“有价值”
  • 最小特权原则—任何用户的访问权限应仅限于完成所需的权限 他们被分配的职责或职能,仅此而已。
  • 职责分离原则—只要可行,任何人都不应负责完成或控制 一项任务或一组任务,从开始到结束,当它涉及潜在的 欺诈、滥用或其他伤害。

信息安全审查委员会

信息安全审查委员会 (ISBR) 是指定的管理机构 其职责是提供有关信息系统安全的监督和指导 以及校园范围内的隐私保证。与首席信息官合作 (CIO),ISBR 的具体监督职责包括以下内容:

  • 监督全校战略的制定、实施和维护 信息系统安全计划。
  • 监督全校信息的开发、实施和执行 系统安全政策和相关推荐指南、操作程序、 和技术标准。
  • 监督处理请求的政策例外的流程
  • 就相关风险问题向大学行政部门提供建议,并建议适当的建议 支持大学更大的风险管理计划的行动。

安全和信息合规官

安全和信息合规官负责监督制定和实施 大学的 ISP。具体职责包括:

  • 确保满足相关合规要求,例如隐私、安全和 与联邦和州法律相关的行政法规。
  • 确保针对安全事件采取适当的风险缓解和控制流程, 必填。
  • 记录并传播信息安全政策、程序和指南
  • 协调全校信息安全的开发和实施 培训和意识计划
  • 协调对实际或疑似违反机密性、完整性的行为的响应 或信息资产的可用性。

数据所有者

数据所有者是指被正式指定的个人或团体 负责系统上传输、使用和存储的特定数据 或大学的部门、学院、学校或行政单位内的系统。

数据保管人的作用是提供对数据的直接授权和控制 特定信息的管理和使用。这些人可能是院长、部门 主管、经理、主管或指定工作人员。数据所有者的责任 包括以下内容:

确保遵守足球比赛结果的政策和所有监管要求

数据所有者需要了解大学政策是否管辖他们的数据 信息资产。数据所有者有责任了解法律 以及围绕其职能范围内的信息资产的合同义务 地区。例如,《家庭教育权利和隐私法案》(“FERPA”)规定 与处理学生信息相关的要求。信息技术 服务可以帮助数据所有者更好地理解法律义务。

为信息资产分配适当的分类

所有信息资产均应根据其敏感度、价值级别进行分类 以及对大学的重要性。足球比赛结果采用了三个主要分类: 机密、内部/私人和公开。请参阅数据分类和 防护标准供进一步参考。

确定获取敏感信息资产访问权限的适当标准

数据所有者对谁有权访问其范围内的信息资产负责 功能区。这并不意味着数据所有者负责日常工作: 日间提供访问。配置访问权限是数据保管人的责任。

数据所有者可以决定单独审核和授权每个访问请求,或者 可以定义一组规则,根据业务确定谁有资格访问 功能、支持角色等。必须根据最少原则授予访问权限 特权以及职责分离。例如,一个简单的规则可能是 所有学生都可以查看自己的成绩单,或者所有工作人员都可以 允许访问自己的健康福利信息。数据保管人应该 以很少或没有解释空间的方式记录这些规则。

批准与信息资产管理相关的标准和程序

虽然数据托管人有责任制定和实施运营 程序,数据所有者有责任审查和批准这些标准 和程序。数据所有者应考虑数据和相关数据的分类 审查和批准这些标准和程序时的风险承受能力。例如, 高风险和/或高度敏感的数据可能需要更全面的文档 同样,还有更正式的审查和批准流程。

了解信息资产如何存储、处理和传输

了解并记录信息资产的存储、处理和记录方式 传输是保护该数据的第一步。如果没有这些知识, 很难以有效的方式实施或验证保障措施。

执行此评估的一种方法是为子集创建数据流程图 说明存储数据的系统的数据、数据的处理方式 以及数据如何穿越网络。数据流程图也可以说明安全性 实施时进行控制。无论采用哪种方法,都应该存在文档 并提供给适当的数据所有者。

实施适当的物理和技术保障措施以保护机密性、 信息资产的完整性和可用性

信息技术已发布关于实施合理、适当的指南 针对三类数据的安全控制:机密、内部/私人、 和公共。合同义务、监管要求和行业标准 在实施适当的保障措施方面也发挥着重要作用。

数据托管人应与数据所有者合作,更好地了解这些 要求。数据保管人还应该记录哪些安全控制措施 已实施以及当前控制中存在差距的地方。该文档应该是 提供给适当的数据所有者。

记录并传播管理和操作程序,以确保一致 信息资产的存储、处理和传输

记录管理和操作程序与理解密切相关 数据如何存储、处理和传输。数据保管人应记录为 尽可能多的可重复过程。这将有助于确保信息资产 以一致的方式处理,也将有助于确保保障措施得到落实 有效利用杠杆。

根据数据所有者的授权提供和取消提供访问权限

数据保管人负责配置和取消配置访问权限 根据适当的数据所有者制定的标准。如上所述,标准 应记录并制定配置和取消配置访问的程序 可供适当的数据所有者使用。

了解并报告安全风险以及它们如何影响机密性、完整性 和信息资产的可用性

数据托管人需要全面了解影响数据的安全风险 他们的信息资产。例如,在存储或传输敏感数据 未加密的形式存在安全风险。使用弱密码保护对数据的访问 和/或不修补系统或应用程序中的漏洞都是以下示例 安全风险。

需要记录安全风险并与相应的数据所有者一起审核 以便他或她能够确定是否需要投入更多资源来缓解 这些风险。信息技术服务可以帮助数据保管人获得 更好地了解他们的安全风险。

数据用户

所有用户在保护和维护大学信息方面都发挥着关键作用 系统和数据。出于信息安全的目的,数据用户是指任何员工, 被授权访问大学的大学承包商或第三方提供商 信息系统和/或信息资产。数据使用者的责任包括 以下:

遵守与信息保护相关的政策、准则和程序 资产

信息技术发布了各种相关政策、程序和指南 保护信息资产和系统,可以在 IT 网站上找到 网站。

用户还必须遵守所有具体政策、准则和程序 由所属部门、学校、学院或者业务单位设立 关联并为他们提供了访问权限。

向 IT 部门报告实际或可疑的安全和/或政策违规行为或违规行为

在日常操作过程中,用户可能会遇到以下情况: 他们认为信息资产的安全可能面临风险。例如,一个用户 在网站上发现他或她认为不应该的敏感信息 可以访问。如果发生这种情况,用户有责任报告这种情况。

请参阅事件响应程序,了解有关采取哪些步骤的进一步指导 如果您怀疑有违规或违规行为,请采取。

文档结束。

修订版 2016 年 9 月 20 日