信息安全与隐私(VII.B.8)

第七卷:信息技术
B章:安全性
负责人:信息技术副总裁兼系统首席信息官
负责办公室:信息技术副总裁办公室
发行日期:2017年11月1日
修订日期:2018年1月22日 

目录

联络人
政策声明
制定此政策的原因
受本政策影响的个人和实体
排除项目
职责范围
定义 (定义的术语在整个文档中均用大写字母表示)
相关文件,表格和工具
本政策的网址
历史和更新
附录

联系方式

政策澄清

职务/办公室

电话

电子邮件/网页

信息技术安全和政策

765-494-4000

[email protected]

政策声明

值得信赖且有效的信息技术(IT)环境对大学至关重要’发现,学习和参与的持续使命。为此,大学将:

  • 建立总体信息安全和隐私计划,以建立旨在通过标准,程序,准则,信息共享和培训来维护,促进和促进对信息资产和IT资源的充分保护的内部控制环境。
  • 根据信息资产和IT资源的使用,敏感性和对大学的重要性,并遵守联邦和/或州法律,对信息资产和IT资源进行识别和分类。
  • 认识到需要响应和适应快速变化的新兴技术,促进整个大学社区利益相关者之间的协作和沟通,以帮助保护信息资产和IT资源。
  • 确保通过IT资源对信息资产的访问受到适当的基于角色的访问控制以及最低特权原则的控制,大学员工仅被授予对履行职务所需的那些信息资产和IT资源的访问权限。
  • 支持大学内部信息所有者,数据管理员和数据用户的活动和职责’s IT environment.
  • 通过适当的管理,技术和物理控制来管理信息资产和IT资源的风险,以保护信息资产和IT资源免受未经授权的访问或修改,滥用或损坏。
  • 建立安全和隐私控制措施,以满足法律,道德,内部施加或外部施加的约束的要求。
  • 建立适用于不遵守控制标准和程序或违反适用法律,法规或其他法律要求的制裁措施。
  • 定期检查信息安全标准和程序,以保持有效控制并与业务流程,技术,适用法律或法规的变化和/或风险评估期间发现的问题相关。
  • 通过维护有效的IT环境以及对信息资产和IT资源进行管理以实现其最大的有效收益,该大学得到了支持’s ongoing mission.

使用或可以访问信息资产和IT资源的所有个人,无论用户是谁’与大学的关系或隶属关系,应按照本政策及其支持的“信息安全和隐私计划”以及所有相关法律,合同义务和最高道德标准行事。违反行为可能导致纪律处分,甚至处以驱逐或解雇,或可以转介给适当的外部机构。

此政策的原因

信息资产和IT资源对于推进普渡大学的使命至关重要。这些是大学资产或附属机构委托给它们的资产,必须在其使用寿命的各个阶段进行保护,包括在创建或收集,存储,传输或转让并最终销毁时。为了实现此目标,必须采取某些行政,技术和物理保障措施,以充分保护信息资产和IT资源,同时支持将其用于进一步推动Purdue。’的使命。本政策概述的职责建立并定义了识别,颁布,实施和维护此类保障措施的组织结构。

受此政策影响的个人和实体

使用或可以访问信息资产和IT资源的所有个人均受此政策及其支持的标准和过程影响并受其约束。 

排除事项

没有。

责任

信息技术与系统副总裁首席信息官(CIO)

  • 监督此政策的管理。
  • 充当那些拥有多种大学职能且没有跨职能团队充当信息所有者的企业范围目录和应用程序的信息所有者,或指定信息所有者。在这些情况下,只要需要就信息资产做出决定,CIO或指定人员还负责确定所有受影响的利益相关者,与之沟通并建立共识。

首席信息安全官(CISO)

  • 领导大学IT安全官员工作组和信息安全治理委员会。
  • 领导,维护和协调组织范围内的信息安全和隐私计划,包括相关标准和程序,以支持程序控制和组织实体之间的通用安全控制。
  • 确保“信息安全和隐私计划”支持保护信息和尊重隐私但不妨碍大学中信息使用的保障措施’发现,学习和参与的使命。
  • 确保信息安全和隐私计划支持遵守适用的州和联邦法律法规和合同要求。
  • 如果认为任何涉及破坏大学信息安全的行为,则授权断开任何设备或禁用任何帐户,直到证明该设备或帐户不再构成威胁为止;在断开连接之前,请先与商定的部门或单位官员进行协商,除非存在严重情况(即严重的漏洞,拒绝服务,蠕虫或病毒攻击)并且无法迅速联系官员。
  • 如果在风险评估中发现特定威胁的影响很可能损害大学的信息安全并产生重大影响,则授权中止应用程序开发或部署工作,直到实施补救措施以减少或消除该威胁的影响为止威胁。

资料使用者

  • 符合访问和保护信息资产的标准和程序。

数据管理员

  • 与信息所有者合作,以确保信息资产与其维护,使用,保护和分配相关地被正确分类。
  • 建立程序以维护与数据管家下的信息资产相关的数据机密性’的管理。与安全员一起执行程序。

信息所有者

  • 以不妨碍大学使用此类资产的方式,解释和实施有关信息资产的访问,可用性和保护的标准和程序’发现,学习和参与的使命。
  • 可以将此责任委托给数据管理员。

信息安全治理委员会

  • 指导信息安全策略,建立适用的政策和程序,并审查信息安全和隐私计划的进度。

IT安全官员工作组

  • 引导信息安全和隐私计划在整个大学范围内促进技术,政策,意识和补救活动。
  • 将安全问题和安全程序要求传达到各自的覆盖区域。
  • 在其覆盖区域内进行风险评估。
  • 维护信息资产清单。
  • 咨询新政策,标准,安全工具和技术的开发。

大学教职员工和其他可以访问大学信息资产和IT资源的各方

  • 根据《大学诚信和行为准则》,担任信息资产和IT资源的管理员。
  • 遵守支持以下内容的政策,标准和程序 信息安全和隐私计划,包括支持大学信息安全活动和适用的合规计划。
  • 为实现大学信息安全目标并确保遵守适用的法律,法规和大学政策而进行的必要或适当的完整意识培训。

定义

所有定义的术语在整个文档中均以大写字母表示。其他定义的术语可以在中央找到 政策词汇.

数据
收集或捕获的离散的,客观的事实,统计数据或其他信息,以供参考,分析,计算,度量或其他用途。 

数据管理员
信息所有者指派的个人,以促进数据政策,标准和程序的解释和实施。 

资料使用者
每天需要和使用信息资产作为其分配的职务或职能的一部分的个人。

设备)
用于存储,检索,操作或传输数据的任何机制,包括但不限于台式机或便携式计算机,CD,USB闪存驱动器,外部USB硬盘驱动器,平板电脑,智能电话或蜂窝电话。 

信息资产
具有上下文关系或可定义的数据主体,无论其格式如何,均具有可识别和可管理的价值,风险,内容和生命周期,并且通常由大学定义,分类和管理,以便可以对其进行有效理解,共享,保护和使用。在日常活动中,大学定期创建,收集,维护,使用和传输信息资产。  

信息所有者
该单位的行政首长,是该单位在开展大学业务中所拥有的信息资产的决策者。除非单位级别的控制会阻碍大学信息的一般使用’作为发现,学习和参与的使命,信息所有者对单位中使用,管理或定期访问的信息资产具有决策权’的管理职能,以及与该信息资产有关的任何形式,文件,信息和记录,无论格式如何。 

信息安全治理委员会
一个由个人组成的委员会,由于其在大学中的职位性质,负责监督信息资产,这些信息资产必须遵守州或联邦法律法规和/或与信息安全和隐私有关的合同义务。 

IT资源(或信息技术资源)
大学或授权的第三方提供的所有有形和无形的计算和网络资产,无论这些资源或资产是从校园内还是校园外或通过设备访问。此类资产的示例包括但不限于硬件,软件,有线和无线网络以及语音电信资产和相关带宽,移动设备,电子和硬拷贝信息资源以及打印机。 

IT安全官员工作组
一组个人,已被指定为其IT部门或园区的安全官员。 

相关文件,表格和工具

信息安全和隐私计划

信息技术资源和信息资产的可接受使用(VII.A.4)

诚信声明和行为准则

相关标准:

此政策的网站地址

www.purdue.edu/policies/information-technology/viib8

历史与更新

2018年1月22日:学期“Data Custodian” changed to “Data User.”

2017年11月1日:此政策取代了1994年11月11日的数据安全和访问政策(第C-34号执行备忘录),2011年11月18日的数据分类和治理(VII.B.6),以及日期为2011年11月18日的行政权限和信息保证,安全性和意识的责任(WL-4)。

附录

此政策没有附录。

普渡大学(Purdue University),普渡购物中心(Purdue Mall)610,西拉斐特,印第安纳州47907,(765)494-4600

©2017普渡大学 | 机会均等/机会均等的大学 | 版权投诉 | 由大学政策室维护

此页面有问题吗?残疾相关 可及性 问题?请通过以下方式与大学政策办公室联系 政策@ purdue.edu.