III-B的风险管理计划

批准日期:2017年1月31日
生效日期:2017年1月31日
负责人:首席信息安全官
负责办公室:[U]高科技信息安全办公室
修订历史:1.0版;日期为2017年1月31日
相关立法和大学政策:  

审查期限:5年
最后一次审查的日期:2017年1月31日
有关:全校教职工
 

其他参考资料:

一世。政策声明

这个风险管理计划描述了在永利棋牌游戏app下载(永利棋牌游戏app下载)建立正式的安全风险管理计划的战略。大学科技([U]高科技)的任务是保持由大学拥有的所有的信息安全风险的整体情况,并指出,多数关注的信息保存在它的系统。 

II。这个计划的目的

在信息安全结构化的风险管理方案的实施,以下计划描述的基本程序元素,以确保安全性风险被定期评估和适当的管理元件,包括控制和风险接受意外事件,进行监测,并呈现给[U]技术领导地位。引用(一)概述在永利棋牌游戏app下载采用持续的风险管理方法。 

III。定义 

安全风险: 不良事件的定性或定量的可能性存在的该负面影响的保密性,完整性,或信息和信息系统的可用性。 

危险指数:  一顶“N”为系统特定的系统或一组,由冲击优先的风险列表,并提出行动计划或有事项。风险指数是由风险管理程序维护的最终产品。 

风险信息: 有关安全风险,包括条件,后果和行动计划信息,应始终被视为至少内部使用的信息,并可能在某些情况下可以考虑限制信息,并应通知并就信息安全要求进行处理。 

风险评估: 对于安全风险识别的正式程序。 

风险管理: 识别风险和实施计划解决这些问题的持续进程。 

威胁: 任何情况或事件与潜在不利影响组织运作(包括使命,功能,图像或声誉)通过未经授权的访问,破坏,泄露,修改的信息,组织资产,个人,其他组织或国家通过信息系统和/或拒绝服务。 

IV。计划

  1. CWRU应使用参考文献2中描述的信息的敏感性标准方面根据下基准1.风险的标准和风险决定发布建立的标准识别信息的安全风险。
  2. 参考图2定义了机密性信息的灵敏度。在大学环境中,存在或使用的限制(高保密性要求)的信息是风险行动的主要驱动力。
  3. 永利棋牌游戏app下载的信息安全办公室将维持一个企业的风险指数,这是安全的集合上市风险要么通过评估确定,或者观察到从预期将再次出现一个事件响应活动的问题。企业风险指数将每季度更新,或更频繁的时候需要而产生的。 
    •  一世。大学信息安全委员会应当与审查企业风险和优先顺序进行排序他们还成立了风险委员会。全身或企业风险经常被用来提出IT基础设施或园区范围的控制。
    •  II。永利棋牌游戏app下载的CISO将定期向高校技术的副总裁/首席信息官对相关的风险和行动计划/资源需求。
    •  III。大学科技/ CIO的副总裁是风险接受企业级风险的唯一权威。 
  4. 永利棋牌游戏app下载的信息安全办公室将提出一个为期两年的风险评估计划,在每个会计年度的第一个季度更新一次。评估应该是合理搭配:
    • 一世。关键IT基础设施资产的评估
    • II。新的IT系统和新兴的技术和工作流程的评估
    • III。涉及敏感(限制)的信息或高价值的知识产权业务流程
    • IV。合规性驱动的系统评估(例如对某些研究活动或合同驱动的安全要求)
    • 诉安全事件验尸跟进“体检”
  5. 永利棋牌游戏app下载应使用以下资源组进行评估,如资源和进度要求:
    • 一世。信息安全办公室项目团队成员,进行“亲密接触”或复杂的内部系统评估
    • II。高校内部审计可以对财务总监的指导下进行合规性为基础的风险评估
    • III。外部承包风险评估供应商,确定的范围内
  6. 每个风险评估应当提供以下交付无论评估组:
    • 一世。一个风险指数相关到评估的范围,使用条件的后果术语如参照(a)中所述。
    • II。在有需要遵守的目的,安全计划,包括风险指数作为附录,与行动计划(程序和控制系统/流程的用户),以解决最大的风险。系统所有者/赞助商应该是安全计划的签名授权。
    • III。评估小组将使用他们的系统知识,以确定在给定的评估时发现被添加到企业风险指数的新风险。
  7. 风险的通信应使用适当的控制来执行,考虑风险信息是在内部仅使用电平以上。