风险评估服务

信息安全办公室根据美国国家标准与技术研究院（NIST）框架和行业最佳实践，为各部门提供一系列信息安全评估，帮助您识别和优先考虑大学信息、设备和系统的风险。这包括但不限于：

• 俄亥俄技术评论 
  • 所有信息技术、通信技术或软件购买/续订都需要进行技术审查，包括“免费”服务和内部开发的服务。
• 漏洞评估
• 将资讯科技风险降低至可接受水平的一般建议。

如何申请

如需风险评估，请发送电子邮件至security@ohio.edu，并提供以下信息：

• 部门名称
• 简述部门提供的服务。
• 描述部门处理的数据类型（即FERPA，学生贷款数据，PCI数据，研究数据，PHI等）。
• 您是否遵守任何合规性要求（即HIPAA， ITAR， GLBA， PCI-DSS等）？
• 主要联系部门内部，以促进风险评估。
• 雇员的大致数目。
• 提供桌面管理的工作站和个人或单位的大致数量。
• 列出部门使用的系统，并说明是否有集中管理的系统。

异常流程

对于那些认为他们不能满足俄亥俄大学信息安全标准中规定的义务的人，他们必须填写信息安全例外请求表格。信息安全办公室将对信息安全标准的例外请求进行审查，不符合标准的相关风险将反馈给请求者和机构内有权代表机构根据俄亥俄大学信息安全风险管理政策（91.006）接受风险的适当个人。