资讯保安政策
该政策的目的是确保赌博正规的十大网站的信息资源免受意外或故意的访问或损害,同时也保持和培育开放, 高校学术文化的信息共享需求. 这项政策适用于所有学生, 教师, 教职员工和其他所有被授予使用赌博正规的十大网站信息资源的人. 科罗拉多大学信息资源的每个用户都有保护这些资产的一般责任, 虽然有些办公室和个人有具体的责任. 这一政策是指所有的大学信息资源,无论是单独控制还是共享, 独立或联网. 它适用于所有拥有的计算机和通信设备, 租赁, 操作, 或者由学院承包. 这包括所有联网设备, 包括但不限于个人数字助理, 手机, 个人电脑, 工作站, 微型计算机, 其他无线设备,如ipad, 以及任何相关的外围设备和软件, 不管是否用于管理, 研究, 教学或其他用途. 今天, 信息技术(IT)渗透到教学的各个方面, 学习, 研究, 学院的外展、商业和设施功能. 保护信息和信息系统对于维护学院履行其使命和履行其对学生的责任的能力至关重要, 教师, 工作人员, 以及它所服务的公民. 州和联邦法规, 规则, 法规, 大学政策和其他明确的协议也要求信息和信息系统的安全. 未能保护好学院的信息技术资产可能会带来财务损失, 法律, 道德后果. 赌博正规的十大网站承认其有义务确保其所有权和控制范围内信息系统的适当安全性. 此外, 学院认识到其在赌博正规的十大网站社区成员中提高安全意识的责任. 这一政策建立了信息安全的一般原则,将在整个学院应用.
范围
所有涉及校园内社区成员的财务和行政政策, 包括志愿者在内,都在这项政策的范围内. 如果在部门期望和大学政策中描述的共同方法之间存在差异, 学院将依靠校园社区, 支持包括志愿者在内的大学政策的精神和目标. 除非学校政策里特别提到, 学院的董事会受其章程管辖.
政策
授权和保留的权力/行政责任
学院院长将学院信息安全政策的管理授权给首席技术官/信息技术副校长.
资讯保安目标
信息安全对学院及其服务的众多选区的利益至关重要. 下面的列表提供了赌博正规的十大网站信息安全的一些目标. 此列表具有代表性,并不意味着建议学院信息安全政策或计划的全部目标.
- 支持和维护学院的正常运作. 学院越来越多的功能都是电子处理的, 再加上街区规划的严格性, 信息和信息系统受到保护是至关重要的,这样学院才能不间断地运作.
- 保护大学资产. 该学院拥有包括知识产权在内的许多资产, 研究和教学数据系统, 还有实物资产. 这些资产的损失可能会产生重大的财务影响,以及对关键研究和教学计划的重大负面影响.
- 保障个人及资料的私隐. 随着身份欺诈和其他潜在的个人信息滥用风险的增加, 这是至关重要的,学院保护个人信息委托给其管理.
- 保护金融交易和电子通讯. The college is the custodian of financial records and transactions; safeguarding these records is critical to maintaining trust relationships essential to our business function. 电子通讯受可接受使用政策规管.
- 维护机构的诚信和声誉. 安全漏洞会对学院管理委托资源的能力产生负面影响. 此外,安全漏洞可能导致潜在的刑事或民事诉讼.
- 防止利用大学系统进行恶意行为. 学院的开放性质和为广大和多样化的选民提供方便访问的愿望使我们成为未经授权的用户不恰当地利用大学资源的目标. 学院必须防止使用赌博正规的十大网站的系统和基础设施对自己的系统进行恶意行为,以及对其他个人和组织的攻击.
- 遵守州和联邦法律. 州和联邦法律法规要求学院采取合理措施确保数据的安全性(FERPA), 健康保险流通与责任法案, GLBA). 未能保护这些信息可能会导致法律诉讼或导致学院失去提供服务的能力.
责任及问责
首席技术官
学院的首席技术官(CTO)全面负责学院信息技术的安全. 安全政策的实施在整个学院委托给学院的各个服务部门, departments and other units; and to individual users of campus 信息 resources.
信息安全工程师
信息安全工程师负责对本政策和其他相关政策进行解释, 传播相关信息, 在整个校园执行信息安全政策.
大学服务
学院内的各种官员负有主要责任和权力,以确保赌博正规的十大网站满足外部和内部对知识产权的要求, 研究和机构数据, 机密和商业信息的隐私和安全. 多个部门负责一般安全问题(法律问题), 安全合规, 物理安全, 通信, 及资讯科技基建保安). 这些个人或部门负责协助制定大学信息安全政策, 标准, 以及他们职责范围内的最佳实践. 他们还负责就与其监管领域相关的安全实践向部门和个人提供建议, 如下:
- 人事信息和保密-人力资源
- 学生信息和保密-注册办公室
- 财务信息和交易-财务和管理
- 财政援助信息-财政援助
- 珀金斯贷款信息-学生账户
- 基础设施、通信和系统安全与审计——ITS
- 法律事务-财务及行政部门提供法律顾问服务
- 健康资讯-学生生活
- 校友,家长和捐赠者信息-进步办公室
- 其他资料-资讯保安主任
部门及其他单位
部门和其他单位负责他们创建的任何信息的安全, 管理, 或储存, 对于他们从其他学院系统获得或访问的任何信息(例如.e. 学生档案、人事档案、业务资料).
注:资讯科技署以外的部门及个人所管理的应用程式及资料的保安,由管理部门负责. ITS:工作人员将根据要求为实施安全措施提供建议和支持.
数据管理
数据访问
学生, 教师, 使用个人系统访问学院资源的员工对其个人计算机和其他网络设备的安全负责,并遵守以下规定:学院安全政策的规定, 大学计算机和网络设施用户的最佳实践标准和指导方针以及所有其他法律, 规定, 或者针对单个用户的策略.
(1)未经授权的帐户或系统访问
- 您不得访问或使用, 或试图访问或使用, 除您自己指定的帐户以外的任何计算机帐户或您未被授予访问权限的任何计算机系统. 换句话说, 用户只能使用自己的文件, 被指定为公共物品的, 或者那些在所有者知情和同意的情况下提供给他们的信息. 学院的学术荣誉制度及其对抄袭和作弊的禁止, 除此之外, 适用于学生使用从CC的计算资源中获得的任何文件和信息,用于准备学术课程.
- 用户不得访问计算机, 软件, 数据或信息, 或未经适当授权的网络, 不管是否有任何损坏或是否电脑, 软件, data, 信息, 或者这个网络属于学院所有.
(2)校园社区成员共同致力于保护学院的数据. 学院将根据“最小特权”原则授予获取数据和信息的权利.
- 对数据和信息的初始访问必须得到适当的数据管理员的授权;
- 校园社区成员的访问需求可能会因新职位而改变, 现有职位职责的变更, 或终止. 人力资源和ITS:应合作确保持续访问的适当性;
- 特权用户(系统管理员), 数据库管理员)对数据的访问应定期进行审查,以确保对数据的访问保持适当;
- 有时, 校园社区需要提供外部个人或团体(审计员), 承包商, 供应商)有访问权限. 在这些情况下, 接入开始日期和接入终止日期应当同时标识. 是否需要在终止日期之后访问, 应咨询最初批准访问的数据管理员或指定人员.
提供有效安全的操作控制
学院通过隔离获得访问权的实体来控制内部访问权, 批准访问, 提供访问权限. 当一个实体与学院分离时,访问权就被取消了.
报告资讯保安事故
报告事件是赌博正规的十大网站社区所有成员的道德责任. 所有与信息安全事件有关的信息应通过联系帮助台及时报告给ITS部门.
丧失电脑特权/纪律影响
保护大学信息和信息系统的安全是每个大学社区成员的责任. 每一个学生, 教师, 员工有责任理解并遵守所有当前和未来批准的IT政策和程序,包括本信息安全政策. 不遵守这些政策可能会导致失去计算特权和/或纪律处分, 直至并包括终止. 不合规的例子包括但不限于:
- 不恰当地访问和/或使用大学数据;
- 任何人不得在大学拥有的系统上存储或使用侵犯或妨碍他人使用计算资源的程序. 这类程序的例子是试图获取另一个用户的密码, 获取其他用户的文件, 规避系统安全措施, 或者使计算机系统崩溃.
教育
提高对资讯科技保安重要性的认识,是建立一个环境的重要组成部分,在这个环境中,每个人都感到有责任并有权为自己和社会的最佳利益行事. 所有部门将提供机会,让个人了解他们在建立安全资讯科技环境中的角色.
程序
没有一个
定义
安全 -没有不可接受风险的状态. 因此,信息安全的重点是降低计算系统的风险, 通信系统, 信息被滥用, 摧毁了, 因故意或意外而不适当地修改或披露的.
独立的 -没有连接到网络的计算机.
网络资源 -参考数据的形式, 一组用户可以通过使用共享连接访问的信息和硬件设备.
数据管理员 数据管理员是对一种或多种机构数据负有直接操作责任的管理员,由数据受托人指定. 它们决定管理单元中的数据访问.
数据分类级别- 有关分类级别的定义,请参阅学院的数据分类政策, 以及具体的角色和职责.
数据完整性- 存储数据的准确性和一致性, 用数据记录的两次更新之间的数据没有任何差异来表示.
受托人的数据 -负责数据决策和规划的内阁成员或其高级指定人员. 他们为他们的单位指定数据管理员和分配数据管理角色,并为他们的学术或行政单位设置外部报告的优先级.
最小特权 用户访问仅限于为学院执行工作所需的资源.
〇入侵防御 执行入侵检测并试图阻止检测到的可能事件的过程
入侵检测—— 监视计算机系统或网络的异常事件并对其进行分析以确定事件是否已经发生的过程.
加密, 使用一种算法将数据转换为一种形式,其中的内容被屏蔽,只有那些拥有密钥或其他机密手段来显示数据的人才能查看.