政策

政策

  1. 首页。
  2. 目录
  3. 政策

综合资讯科技服务

脆弱性及风险评估

政策: 
 
利记sbo将进行包括脆弱性评估在内的定期审计, 渗透测试, 网络监控, 以及针对大学电脑系统的风险评估, 网络, 电话, 信息资源. 大学的信息安全官被授权进行这些审计,并根据需要访问系统和文件,以支持这些审计. 除了, 大学校长可以, 由他或她自行决定, 授权其他大学人员对特别项目进行审计.
 
审计可针对以下方面进行: 
 
  • 协助风险管理过程
  • 确认物理和虚拟信息系统和过程的安全性
  • 确保符合大学的IITS政策和相应的法规(FERPA), PCI DSS /, HIPAA, GLBA, 等.)
  • 确保只有那些应该能够访问信息的个人才能访问信息
  • 确保信息不被未经授权的个人修改
  • 确保系统资源可用以支持大学的使命
  • 识别关键资产
  • 调查可能发生的保安事故 
执行, 发展, 实施整治方案是校园使用者的共同责任, 部门, 系统工作人员, 负责评估系统和领域的小组. 用户应充分配合对他们负责的系统进行的任何风险评估. 此外,用户应与指定的风险评估小组合作,制定补救计划.
 
范围: 
 
这项政策适用于所有利记sbo的教师, 工作人员, 和学生, 涵盖了利记sbo的所有计算机, 网络, 电话, 信息资源.
 
政策原因: 
 
该政策旨在主动识别和减轻大学网络的风险, 遵守美国国家标准与技术研究所和财务会计与准则委员会(FASB)规定的最佳实践, 并确保风险评估的有效进行.
 
定义:
 
审计: 为确保数据和/或系统的完整性而设计的系统评价. 审计可以定期进行(1).e., 在指定的时间表)或当有合理的证据表明大学的数据或网络已被破坏.
 
漏洞评估: 由无 (SysAdmin . net)定义, 审计, 网络, 安全研究所, “漏洞是威胁显现的门户.“系统漏洞可以通过系统中的弱点发生. 漏洞评估是搜索这些弱点/暴露,以便应用补丁或修复以防止泄露(www.无.org, 2001).
 
渗透测试: 试图利用在漏洞评估期间发现的漏洞来查找/获取相关数据.
 
风险评估: 确定存在哪些需要保护的信息资源的过程, 以及了解和记录资讯科技保安故障可能造成的潜在风险, 保密, 完整性, 或可用性(http://policy.ucop.edu/doc/7000543/BFB-IS-3).
 
风险评估小组: 一个灵活的团队,其成员由信息安全官决定(请参阅参考资料/问题), 根据手头的任务.
 
过程:
 
而负责监督特定领域的IITS工作人员(例如.g.,电子邮件,网络等.)负责日常运作, 信息安全干事负责主动进行审计,以识别漏洞, 并获得了执行这些职责所需的权限. 在发生可疑活动或作为脆弱性或风险评估的一部分时, 或者季度回顾, 访问可能包括: 
 
  • 用户级和/或系统级访问任何大学计算, 网络, 电话, 或者信息资源
  • 获取信息(电子、硬拷贝等.)可能在利记sbo的设备或场所生产、传播或存储的信息
  • 进入工作区域(实验室、办公室、小隔间、储藏区等).),由校园安全办公室协助办理
  • 根据政策和监管要求,访问交互式监控和记录Utica大学网络上的流量
当需要用户交互时, 在安排和部署任何评估之前,信息安全主任将与有关地区的负责人讨论漏洞评估的细节.
 
如果需要立即采取行动, 信息安全官将在适当情况下与大学员工联系.
 
服务降级和/或中断
 
网络扫描可能会影响网络和服务器性能和/或可用性. 我们会事先通知可能受此程序影响的人士. 将采取措施减少对大学网络性能和可用性的影响,并确保大学运作的连续性.
 
紧急情况
 
在紧急情况下或资讯保安主任不在时, 负责维护有关系统的人员可采取行动. 在某些情况下,这可能意味着在没有事先协商的情况下采取行动. 这些操作可能包括使系统不可访问. 例如, 如果用户的电子邮件帐户有问题, 负责邮件管理的主管将采取适当的措施来保护整个系统的完整性.
 
反应分类
 
信息安全官将使用以下分类来确定采取行动的必要性和时间表:
 
高度紧急程序必须立即制定. 响应时间将在24小时内.
中等分辨率必须在尽可能早的时间安排. 答复时间将在三天内.
低分辨率必须在下一个计划维护期间实施. 回复时间将在两周内.
 
责任:
 
信息安全官负责本文件的年度审查. IITS将根据相关系统确保适当的保护措施到位. 信息安全官及其指定人员负责遵循本文档中定义的策略. 
 
执行:
 
执行Utica大学的政策是每个政策的“资源/问题”部分列出的办公室或办公室的责任. 负责办公室将联系有关教职员工的适当当局, 学生, 供应商, 或者违反政策的游客.
 
利记sbo承认,大学的政策可能无法预料到可能出现的每一个问题. 因此,大学保留就本政策的执行作出合理和相关决定的权利. 所有这些决定都必须得到大学官员的批准.e. 总统, 教务长兼学术事务副校长, 执行副总裁兼首席晋升官, 财务副总裁, 或法律事务副总裁兼总法律顾问).
 
资源/问题:
 
欲了解更多信息,请联系信息安全官.
 
请注意,其他利记sbo的政策可能适用或与此政策相关. 如果需要查询相关策略,请使用在线策略手册中的“关键字查询”功能.
 
有效日期: 02/22/2013
发布日期: 03/01/2013

首页。 | 利记sbo | 站点地图 | 可打印版本

相关文档

目前没有相关文件.

我希望看到登录和资源:

有关常用登录的一般列表,您也可以访问 我们的登录页面.