91.005:信息安全
批准
2018年10月26日
Craig Bantz b|首席信息官
Chaden Djalali b|执行副总裁兼教务长
杜安·内利斯先生,b|总裁
目的
该政策提供了一个框架,以持续保护和保护俄亥俄大学的数据和信息资源,并遵守和维护法律和合同要求。
范围
操作技术资源的Ohio大学组织单位负责确保收集、创建、存储、处理和分发信息的组件集,通常包括硬件和软件、系统用户和数据本身(“Ohio系统”)得到安全管理。用户(“用户”)定义为教员;工作人员;学生雇员;第三方代理商,以及任何其他获得授权的大学附属机构访问敏感数据。
未经授权使用或披露受法律或合同义务保护的数据可能对大学、大学社区成员造成损害,并使大学受到罚款或政府制裁的处罚。此类法律或合同义务的例子有《健康保险流通与责任法案》(HIPAA)和支付卡行业数据安全标准(PCI-DSS)。为了妥善管理这些风险,用户必须确保他们的电子设备和任何其他创建、收集、存储、传输或处理信息的资源符合最低信息安全标准。
信息安全办公室(“ISO”)将就关键风险问题向涉及数据和资产保护的关键利益相关者提供建议和咨询,并建议补救措施,以支持政策91.006“信息安全风险管理”中定义的信息安全风险管理计划(“ISRMP”)。俄亥俄系统和数据所有者将负责确保由他们维护的关键任务俄亥俄系统得到充分的风险评估,并确保任何已识别的风险被接受、减轻或转移。
策略
ISO将与利益相关者协商,以定义信息安全标准,以帮助支持和维持适当的信息安全态势。信息安全治理委员会将批准新的标准。每个标准确定了数据或IT资源所需的控制,并分配了适当的安全风险级别。
信息安全标准适用于大学拥有、租赁、运营、提供或以其他方式连接到大学资源的所有IT数据资源。这包括物理资产,如计算机、工作站、外部驱动器、移动电话、无线设备、操作系统、软件和应用程序(免费或由大学承包)。
用户需要按照此流程对数据和IT资源应用适当的控制。
数据所有者负责按照策略93.001“数据分类”中的流程确定数据和IT资源的安全级别。国际标准化组织将提供建议和咨询,以协助遵守。数据所有者负责根据安全级别对数据和IT资源应用来自信息安全标准的适当控制。安全级别定义了每个分类必须遵循的最低要求,然而,单元可能需要超出此策略的额外控制,因为任何策略都不可能要求少于此策略中所指示的控制。
执行
威廉希尔亚洲真人平台的用户必须向ISO报告不遵守此政策的任何部分(security@ohio.edu)。
不遵守本政策或相关信息安全标准的用户可能会被拒绝访问信息技术(“IT”)资源,并受到纪律处分,直至并包括终止使用。
异常
此政策的所有例外情况必须在总裁或代表批准之前与ISO正式记录。政策例外将由ISO定期审查和更新。
申请例外:填写初始例外申请表、政策例外模板和风险接受表:" (/oit/security/policy-and-practices/standards)
评论家
本政策的修订建议应由以下人员进行检讨:
- 学术领导
- 负责财务和行政领导的副总裁
- 教师参议院
- 学生参议院