III-1D控制 - 保护内部使用的信息系统

批准日期:2016年8月29日
生效日期:2016年8月29日
负责人:首席信息安全官
负责办公室:[U]高科技信息安全办公室
修订历史:2.0版;凡是注日期2016年8月25日
相关立法和大学政策:  

审查期限:5年 
最后一次审查的日期:2016年8月25日
有关:教师,员工,学生,校友,会员帐户持有人
 

一世。政策声明

此过程概述对所有内部使用的信息(IUO)所需的基本控件,包括纸的文件,它的设备,系统处理,存储,或仅传输内部使用。因为内部使用的信息需要,旨在保护机密诉讼和行政职能在大学灵敏度水平,这个过程定义了其他适当的管理流程。

仅供内部使用的控制标准是对公众信息的控制标准建造,因此被认为是增强的安全配置标准。所有IT系统处理内部使用的信息,公共信息控制标准适用,以及 这里列出的控制是除了应用 那些较低级别的信息。

II。这一政策的目的

作为企业级信息保护风险缓解动作,永利棋牌游戏app下载内部使用仅提供控制,以引导用户和管理员提供了正确的存储要求,处理,并在它的设备或纸张资源内部使用的保护只(IUO)信息,包括对永利棋牌游戏app下载网络联网的主机。

包含来自多个等级的数据信息必须在代表信息的最高级别的保护。因此,数据处理的信息分类为IUO和限制应需要用于限制的数据定义的控制。

III。定义

受限制的数据:限制信息是通过地方,国家或国际法规或条例,规定一定的限制受保护的信息。这可能包括学生的学业和家庭教育权利和隐私法案(FERPA)监管的金融记录;由健康保险流通与责任法案(HIPAA)规定的个人健康信息;或其他形式的监管信息,如社会安全号码和信用卡号码。受限制的信息其他例子包括工资和税务信息,任期委员会审查和应用;捐赠者的信息;和绩效考评。

仅供内部使用的信息:必须限制在适当的大学教师,员工,学生或其他授权用户使用有效的业务需求的信息。此信息必须由大学的政策,合同或指定,或由于隐私考虑免遭未经授权的访问,修改,使用或披露。

主持人:利用网络服务的任何网络能力的设备。主机可以是个人计算机,网络设备,服务器资源,打印机,扫描仪,复印机,或类似的电子装置。

数据拥有者:数据所有者谁负责的制度性数据的一组或多组的生命周期所大学的高级职员。这个人有保护,使用和数据的管理财务和管理责任。

系统管理员:一个受过技术培训的大学员工提供实现IT系统的责任。任何人以“管理员”或“root”特权与内部使用IT系统只是信息被认为是符合目的的系统管理员。

学生员工:雇用兼职履行一个技术角色或完成它任务谁是大学生。这是最典型的本科生。研究生和专业的学生执行其角色他们的研究或论文的工作被认为是大学雇员的一部分。

IV。政策

范围

这个过程适用于使用永利棋牌游戏app下载的网络基础设施的所有高校信息和信息技术系统和服务。它被设计为支持永利棋牌游戏app下载的信息安全政策和可审计。

消除

不适用。

程序

公共信息控制级别的所有配置控制适用于内部使用(IUO)环境中,仅内部使用的数据被存储,传输,和管理。

行政控制

  1. 库存。任何一所大学组织(学校,管理中心,部门),负责IUO信息应保持其业务或行政能力所使用的数据的类型和位置的书面清单。这个清单应包括IT资源与内部使用的数据,基于纸张的记录,以及包含该信息的任何其他物理或逻辑的资产。例如,该部门应确定什么类型的IUO数据的定期访问(例如:学生记录,财务记录)
  2. 安全责任。任何一所大学的组织,负责IUO信息应以书面形式管理作为代表责任方执行和遵守安全保护和控制的信息指定。

如果IUO信息,密码或其他接入设备丢失或被盗,则用户CWRU必须立即通知help@case.edu以防止泄露,修改或CWRU IUO信息中断。

  1. 安全审查。所有UTECH系统处理和管理跟踪和确认应当具有或者寻求信息安全有关的周围仅供内部使用的信息安全控制咨询的手段IUO信息。额外的安全规划应包括以下内容:
    1. 数据所有权。
    2. 工作人员安全的责任,包括员工的安全程序。
    3. 它的库存系统是保持和/或IUO信息主机访问。
    4. 的列表的已知的风险,并解决顶部风险的行动计划(例如:丢失/破坏,修饰,拦截,披露)
    5. 对于任何高影响基本应急计划的风险和融入其业务连续性计划
    6. 数据安全计划,详细到位已知的保护(对于数据安全计划咨询可从信息安全办公室help@case.edu)。
    7. 计划和控制,包括漏洞扫描的方式来代替控制和保护验证和跟踪审计的年度审查。
    8. 批准的一份声明中对系统进行操作,从高级管理人员(CISO院长或副总裁)。
  2. 培训用户和系统管理员。的IUO信息的所有系统管理员和用户应获得敏感数据的处理和管理的适当和记录的培训。至少一个系统管理员负责IT系统与内部使用信息应完成基础上,SANS保护人类的信息安全意识计划。
    1. 非雇员的学生须避免处理内部使用信息或管理它用于处理内部使用的信息系统被禁止。
  3. 评估和审计。在年度基础上,组织的负责仅供内部使用信息的内部员工将完成和/或更新数据的安全计划,包括安全控制审查(参见 关键控制海报)。与整治规划进行差距分析报告进行审查,并提交给该组织的管理和永利棋牌游戏app下载首席信息安全官。
  4. 人员控制。背景调查应授权访问,处理和存储信息IUO所有人员定期进行。人力资源的大学部门将确定适当的时间间隔。此外,它与内部使用的信息系统的系统管理员的背景调查应包括犯罪背景调查,就业备案审查和信用检查。
  5. 标签。所有文件和含有内部使用的信息通信,应包括指示“仅供内部使用”标签的信息是否存在。典型的例子是使用文件的页眉和页脚和/或水印与标签“仅供内部使用。”
  6. 业务连续性计划。部门与内部使用的信息系统和关键IT基础设施的,经管理自由裁量权,制定和实施业务连续性计划。

技术控制

  1. 登录屏幕。支持登录屏幕的所有主机将被配置为要求个人用户与登录凭据(如用户名和密码),即坚持永利棋牌游戏app下载的标准。主机不应配置为自动登录。密码应每年变化(参见[U]科技 密码更改策略)。
  2. 访问控制。访问IUO数据应在(SSO)使用单次登录要求身份验证;陈词滥调或Kerberos或LDAP。
  3. 支撑IUO信息设备将通过活动目录来管理。异常可能被授予,根据业务需求,或基于管理的要求。
  4. 屏幕超时/锁定。屏幕必须15分钟内不进行锁定,并要求解锁的用户名和密码。企业系统和/或临床科室可能具有较短的锁定要求。
  5. 评价。通过威胁状况专注于最大限度地减少攻击面和威胁的载体。与内部使用信息的任何系统必须寻求信息安全办公室(ISO)进行评估,以确保信息得到充分公共访问。这可以包括漏洞管理,硬化和/或物理访问控制的测试。
  6. 防火墙。它支持基于主机的防火墙的所有主机必须以某种方式配置本地防火墙,以减轻常见的基于网络的攻击。
  7. 操作系统和软件的安全更新。信息安全需要定期,主动,及时关注修补和更新。所有主机都必须配置为以最更新的软件供应商发布后通过管理服务器(如WS)接收并执行安全更新,软件和操作系统软件1个月。第三方软件升级和功能更新不在此要求的范围之内。活动的证据利用在野外将升级的紧迫性已发布的脆弱性,需要更短的时间框架。
  8. 防毒软件。所有基于Windows的主机有支持的防病毒应用程序,而不得不安装和自动签名更新启用防病毒软件。对于具有支持的防病毒应用程序的非Windows主机,建议使用此软件的安装。至少用户应该进行每月完整的系统扫描,包括Mac。具有抗病毒的所有受支持的操作系统应该进行扫描。
  9. 反间谍软件。反间谍软件推荐谁使用网络资源的所有用户。在[U]科技 帮助台 列出了可防间谍软件。
  10. 防盗工具。移动系统(例如平板电脑,笔记本电脑,PDA等),是高度推荐的防盗技术。锁定电缆强烈推荐。还建议基于软件的跟踪服务。
  11. 数据备份。也就是说的值给用户内部使用的信息应在备份能力被保持,以减轻硬件故障,损失,和盗窃的影响。
  12. 基于云的服务。唯一批准的基于云的服务被授权的永利棋牌游戏app下载内部使用信息存储。实施例在列出 比较存储选项.

物理控制

  1. 设施和设备的访问。
    1. 各部门要防止未经授权的物理访问,恶意篡改,失窃(办公和计算机设备)实行保护处理。基础设施(例如文件服务器)应放置在永利棋牌游戏app下载的数据中心或托管云服务提供商进行保护。
    2. 限制时,身体远离办公室或工作空间,通过实施清洁办公桌上的笔记本电脑的物理访问,清洁屏幕政策(锁定办公室或套装门;使用安全电缆或锁定装置;屏幕锁和注销时不再访问永利棋牌游戏数据) 。
    3. 访问应每年审查,并需要重新授权。不再需要物理访问的人应与接入的状态变化的通知1个工作日内被删除。
    4. 必须控制访问包含信息技术基础设施的房间,只允许授权人员访问服务器资源。这组授权人必须是个有记录需要访问人员的最低数量。
    5. 按法律规定相应的防火/抑制能力。
    6. 适当的环境控制,例如冷却,湿度控制。
    7. 规划适当的电力。考虑一个不间断电源(UPS)作为业务连续性计划的一部分。
  2. 访问控制和验证。
    1. 没有仅供内部使用的数据应作出在其系统或可见的形式公开可用的无访问控制,以确保只有授权的个人被授予访问权限。
  3. 处置。在其生命周期的结束时,所有它的资源处理,存储,和管理IUO或内部使用的信息,依照该CWRU数据处理程序,其包括硬盘重写程序加以处理。

监管控制

  1. 研究数据。与联邦政府资助的研究相关的某些数据系统可能会受到额外的安全控制。这些控件将被应用到的也应符合IUO控制系统的一小部分。这些控制应通过单独的系统来解决,并写入,由信息安全办公室审查,以评估该信息仅供内部使用或限制数据。
  2. 学生记录数据。从学生的教育记录某些个别身份数据可由联邦法律的保护,包括家庭教育权利和隐私法案(FERPA)。 CWRU观看FERPA保护的数据作为IUO数据,和控制IUO是适当的。

责任

CWRU终端用户:保证控制基于CWRU信息类别执行。

工作人员部门的资讯:在保持机密性,完整性和IT系统的可用性部门和大学的目标管理IT系统。

永利棋牌游戏app下载[U]高科技信息安全人员:监控安全风险的持续的基础上,并定期更新根据不断变化的安全威胁情况下的程序管制。

首席信息安全官(CISO):确保符合仅供内部使用和限制数据的保护要求。

数据所有者:制定安全计划,以确保内部使用的控制应用适用于保护限制的数据。承担IT系统和数据的数据保护和风险管理的责任。

标准复审周期

这个过程将每三年检讨有关政策生效日的周年纪念日,在最低限度。标准可根据风险的变化更频繁的基础上进行审查。