1. 目的

   信息安全风险管理计划（“ISRMP”）是管理俄亥俄大学（“俄亥俄”）信息安全风险的正式流程，以确保政策93.001“数据分类”中概述的大学数据和信息系统（“俄亥俄系统”）的机密性、完整性和可用性。ISRMP通过将我们的信息技术实践与大学的风险承受能力威廉希尔亚洲，在应对不断发展的信息安全威胁方面发挥着战略作用。

2. 范围

   本政策适用于由大学和俄亥俄系统创建、收集、存储、处理或传输的所有数据。

3. 策略

   1. 根据政策93.001“数据分类”中概述的大学信息安全官角色，在对俄亥俄系统进行重大更改之前，将评估俄亥俄系统对数据完整性、可用性和机密性的任何风险或威胁。
   2. 评估将定期对威廉希尔亚洲真人平台存储、处理或传输敏感数据的系统进行。
   3. 根据政策93.001“数据分类”的描述，从评估中识别的风险将由负责任的企业所有者减轻、转移或接受。

   4. 根据信息安全办公室（“ISO”）确定的风险级别，剩余风险仅由具有适当权限级别的人员接受。如果有书面文件，批准权可以下放，但风险接受的最终责任不能下放。

      风险水平	风险承担责任
      高	总裁或代表
      媒介	院长和行政官员
      低	企业主

   5. 每个任务关键的俄亥俄系统将有一个系统安全计划，由负责任的业务所有者使用来自风险、安全性和脆弱性评估的输入来准备。

4. 责任

   1. ISO将提供风险评估和建议，以纠正根据行业特定框架、方法或业务最佳实践发现的差异。
   2. 企业所有者将负责确保由他们维护的关键任务俄亥俄系统得到充分的风险评估，并确保任何已识别的风险被接受、减轻或转移。

5. 执行

   如政策91.005“信息安全”中所定义，用户将向ISO （security@ohio.edu）报告任何不遵守本政策任何部分的情况。

   不遵守本政策或相关信息安全标准的用户可能会被拒绝访问信息技术（“IT”）资源，并受到纪律处分，直至并包括终止使用。

6. 异常

   此政策的所有例外情况必须在总裁或代表批准之前与ISO正式记录。政策豁免将由ISO定期检讨和更新。

   请求异常：完成初始异常请求表单：/oit/security/policy-and-practices/standards

7. 权威

   政策91.005“资讯保安”

---

评论家

本政策的修订建议应由以下人员进行检讨：

1. 学术领导
2. 负责财务和行政领导的副总裁
3. 教师参议院
4. 学生参议院

表格、参考资料和历史

1. 形式

   以下表格适用于本保单：

   1. “例外申请表格”可从ISO或通过/oit/security/policy-and-practices/standards在线获得

2. 参考文献

   下列事项与本政策有关：

   1. 政策93.001“资料分类”
   2. 政策91.005“资讯保安”
   3. NIST 800系列出版物
   4. HIPAA安全规则
   5. 资讯保安标准

3. 历史

   在这个有密码保护的审查网站上，可以找到该政策的草案版本、封面备忘录、表格和审稿人对它们的评论。

   1. 2024年7月19日（ESPC批准非实质性更新）
   2. 2018年10月26日