29.01.03.R0.02电子资讯保安
Procedure语句
皇冠体育365赌博&大学商学院的电子信息资源是重要的学术和行政资产,需要适当的保护. 计算机系统、网络和数据容易受到各种威胁. 这些威胁有可能破坏完整性, 可用性, 以及信息的保密性.
处理步骤原因
本程序为信息安全过程的管理和监督提供指导.
程序和职责
- 一般
- 必须采用有效的安全管理程序来适当地消除或减轻对大学信息资源的潜在威胁所带来的风险. 应采取措施保护这些资源免遭未经授权的访问, 信息披露, 修改, 或者破坏,无论是偶然的还是故意的.
- 皇冠体育365赌博&M 大学-Commerce, 作为州立大学, 是否需要遵守德州行政法规(TAC)的信息安全标准. 《皇冠体育365》将保护信息资源的责任赋予了总统. 就本程序而言, 关于学校遵守德州信息安全标准行政法规的权力和责任已由校长授权给首席信息官.
- 责任
- 总统已指定信息技术信息安全官负责管理本程序和TAC信息安全标准的规定.
- 部门负责人或主管应负责确保适当的安全程序生效,并确保部门拥有和运营支持的信息系统符合本程序和TAC标准.
- 一个部门的负责人或主任,为另一个部门拥有的信息系统提供业务支持(保管人)&移动商务部门应负责确保所支持的信息系统有适当的安全程序并符合TAC标准.
- 遵从交谘会标准的运作责任,可由部门主管或总监委派给适当的资讯系统支援人员(例如.g. (系统管理员).
- 保存在个人工作站或个人计算机上的关键任务或机密信息必须提供TAC标准中规定的适当保障措施. 这是操作员的责任, 或所有者, 及/或该工作站或个人电脑的部门系统管理员,以确保有适当的保安措施,并进行年度风险评估.
- 合规性评估报告
- 对电子信息系统负有所有权或者保管责任的部门应当确保, 按年计算, 向信息安全官提交安全评估报告. 本报告由信息安全意识评估和合规(ISAAC)系统生成. 报告应由指定的系统管理员或信息系统保管人提交.
- 负责存储信息资源的部门, 传输, 或处理关键任务或机密信息的人员可使用ISAAC系统评估其安全状态并衡量其是否符合TAC信息安全标准.
- 资讯保安标准
- 确定A的可接受使用的程序&移动商务信息资源在以下信息安全标准中得到处理:
所有校园用户
可接受的使用 大学计算机资源的合理使用
授权软件 使用许可软件的标准
电子邮件的使用 确保谨慎和可接受地使用电子邮件的标准
互联网/内联网使用 合理利用大学网络资源
恶意代码 检测和阻止病毒和间谍软件
网络访问 访问和使用网络基础设施的标准
密码身份验证 密码复杂度和管理标准
便携式计算机 存储在移动计算设备上的机密数据的存储标准
隐私 掩盖了隐私的限制和期望
网络管理员
网络配置 维护、扩展和使用网络基础设施的标准
供系统管理员使用
账户管理 管理用户帐户的标准
管理员/特殊的访问 管理特殊访问权限帐户的标准
备份/恢复 包含重要数据的系统的备份和恢复标准
变更管理 包含重要数据的系统的修改程序
事件管理 描述安全事件的预防、检测和响应
入侵检测 管理对企图绕过安全的检测
物理访问 管理对信息基础设施的访问
安全监视 确保安全控制到位并有效
服务器硬化 确保服务器控件配置为保护机密信息
供应商访问 要求非大学员工在访问前签署保密表格
对于系统开发人员
系统开发 确保准确和有效的系统获取和/或开发过程
相关法规、政策和要求
系统的政策 29.01信息资源
系统管理 29.01.03电子信息服务的接入与安全
大学的过程 29.01.03.R0.01信息安全标准便携式计算
取代:
大学的规则 24.99.99.R1电子信息安全
大学的过程 24.99.99.R1.01电子信息安全标准
定义
机密信息 -根据《皇冠体育365赌博》或其他适用的州或联邦法律的规定,不包括在披露要求之外的信息. 大多数学生档案都是保密档案.
关键任务信息 -由皇冠体育365赌博定义的信息&M大学-商业或其任何部门(系等.)对其功能至为重要,而若资料/系统遗失而无法及时修复,则会造成严重的不利影响.
老板 -负责某一大学功能并决定控制和访问支持该大学功能的电子信息资源的人员.
托管人 -为信息系统提供操作支持并负责实施所有者定义的控制和访问权限的人员(或部门).
资讯保安意识评估及合规 -一个以网络为基础的系统,用以评估资讯系统的保安状况及衡量是否符合资讯保安标准. 它还提供了创建灾难恢复计划和执行物理安全检查的指南. 此外,还提供安全培训课程(信息和测试).
联系办公室
首席信息官,2003年.886.5550