资讯保安政策
生效日期:2024年2月7日
政策声明
本政策的目的是协助新泽西理工学院(“新泽西理工学院”或“大学”)努力履行其与信息资产保护有关的受托责任(定义见下文第3条).0)并遵守适用法律, 监管, 以及涉及信息安全和隐私的合同要求. 本政策框架如下所述,由美国国家标准与技术研究院(“NIST”)标准文件补充, 基于NIST特别出版物800-53 Rev .提供的指导. 5[1]; Special Publication 800-171 Rev .. 2[2], 可能会不时修改; and controls implemented based on the 互联网安全关键安全控制中心 priorities[3], 可能会不时修改.
尽管没有一套政策可以解决所有可能的情况, 这个框架, 作为一个整体, 提供一个全校范围的管理结构,解决所有已知领域的关键控制,以提供机密性, 完整性, 以及大学资讯资产的可用性. 该框架还为管理员提供制定优先级决策所需的指导, 以及在整个大学范围内实施变革的理由.
目的
本信息安全政策的目的是明确确立NJIT在保护其信息资产方面的角色,并传达满足这些要求的最低期望. 实现这些目标使威尼斯人娱乐城能够在全校范围内实施“信息安全计划”。.
适用性
本政策的范围包括由大学管理的所有信息资产. “信息资产”指所有NJIT拥有或租赁的信息技术(“IT”), 办理加工等业务所使用的信息资源, 传输, 存储, 通信包括, 但不限于计算机实验室, 课堂教学技术, 计算和终端设备和服务, 电子邮件, 网络和基础设施, 通过NJIT系统上网, 计算机硬件和软件, 电话, 语音邮件, 传真, video, 多媒体, 以及任何教学材料, 还包括所有拥有的服务, 租赁, 由大学运营或提供,或以其他方式与威尼斯人娱乐城资源相连, 比如云服务和基础设施, 或任何其他连接和托管的服务. 所有接触或使用大学资产的人员和服务提供者, 包括静态数据, 在运输或加工过程中应遵守这些要求. 本政策适用于:
- 大学运作的所有资讯资产及资讯科技资源;
- 大学透过合约提供的所有资讯资产及资讯科技资源, 根据合同的规定和限制, as applicable; and
- 所有使用我校信息资产和IT资源的用户.
“用户”是指威尼斯人娱乐城社区的所有成员, 包括学生, 教职员工, 学生员工, 承包商, 以及由NJIT授予访问NJIT信息资产权限的关联公司和客人. 用户还包括以其他方式担任代理或代表NJIT工作的人员, 包括经NJIT授权访问信息资产的任何人员或个人产生的任何流程.
政策
NJIT认识到保护可用性的必要性, 完整性, 和数据的保密性,同时提供信息资源,以完成大学的使命. 信息安全计划必须以风险为基础, 实施决策必须以首先解决最高风险为基础.
管理部门必须尽可能实施NIST标准, 并在不可行的情况下记录例外情况. NJIT已实施信息安全委员会(“ISC”). 信息安全委员会通过监督和优先处理信息安全问题来支持大学的使命, 风险缓解工作, 通过审查和制定信息安全政策进行资源投资, 程序, 和指导方针. 资讯保安中心将协助确保资讯保安的目标和工作与大学的战略业务目标保持一致. 它将为威尼斯人娱乐城提供指导,以降低操作风险, 识别大学内部新出现的风险和解决这些风险的潜在解决方案,并作为高级管理层和董事会的咨询机构. 下文第5部分列出的角色.建立职责,确保NJIT信息安全计划的维护和持续改进. 操作区域将实施文件化的控制,并确保遵守信息安全计划.
角色和职责
NJIT分配了以下角色和职责:
1)首席信息官:首席信息官最终对信息安全计划的实施负责,包括, 但不限于:
a)安全政策、标准和程序;
b) Security compliance 包括 managerial, administrative, and technical controls; and
c)向总裁理事会报告信息安全项目的状态和方向, 每年至少一次或视具体情况而定.
首席信息官应被告知安全事件, 信息安全实施, 以及信息安全计划设计的持续发展.
2)信息安全委员会:ISC负责管理安全风险和补救工作, 大学的所有运作. 委员会将由高级职员的代表组成。[4], 并担任信息安全项目办公室. ISC的职责包括但不限于:
a)审核并推荐与信息安全计划相关的策略;
b)审核和批准信息安全政策和标准, 及其他证明文件;
c)批准并保持对风险管理过程的监督, 包括风险评估方法, 风险接受准则, 剩余风险和已接受风险;
d)批准措施,以有效、及时地解决评审中发现的问题;
e)就信息安全计划的年度目标和优先事项提供建议.
f)确保符合所有信息安全计划的要求, 政策, 标准, 和程序;
g)审查各种审核和评估的结果;
h)监督整改计划的实施,确保高优先级风险得到解决;
i)确保ISC和其他部门之间的公开沟通,以促进信息安全举措的协同规划和执行, 企业目标, 和合作伙伴;
j)让校园了解保密的内在风险, 完整性, 或者系统和数据的可用性, 以及如何帮助保护信息;
k)根据需要协助解决资源分配问题;
l)审查信息安全风险评估总结,对无法避免的信息安全风险的接受情况进行审查, 转移, 或者减轻;
m) Assist in the development of relevant and appropriate metrics designed to measure the effectiveness of the Information Security Program and 审查 results; and
n)审查信息安全事件总结, 审计发现, 业务连续性测试或其他测试报告,并确保执行了适当的根本原因分析,并采取了纠正措施.
ISC应至少每季度召开一次会议,但可根据具体情况增加或减少这一频率. 会议议程将在会议前分发给所有ISC成员,会议记录将在会议结束后分发给ISC和其他内部利益相关者. 鼓励所有ISC成员提交议程项目. 会议议程将由ISC主席与ISC成员协商后编制. 会议应由信息安全官指导.
3)信息安全官:信息安全官负责开发, 实现, 并维护NJIT的全面信息安全计划. 建立和维护信息安全计划, ISO将通过以下方式支持ISC, 但不限于:
a)提供战略指导,以保持符合适用的安全标准, 政策, 规定, 和立法;
b)确保安全计划符合大学的目标;
c)提供影响大学和/或行业的安全趋势的可视性;
d)在发现潜在安全事件时,监督内部团队对安全事件的处理;
e)推动建立强有力的资讯保安文化;
f)在与供应商和/或分包商签订合同时,提供对固有或剩余风险的可视性;
g)确保信息安全计划的预算高效有效;
h)提高大学内部对信息安全重要性的整体认识. 确保所有威尼斯人娱乐城的员工/教师/学生/工作人员(“人员”)充分了解最新的网络威胁.
4)用户:用户有责任但不限于:
a)理解并遵守所有适用的NJIT政策、标准和程序;
b) Protect and properly use all Information Assets made available to the User; and
c)根据NJIT事件响应计划,通过适当渠道立即通报任何检测到的安全事件或异常.
信息与系统分类
NJIT必须为Data建立和维护安全类别, 大学的数据, 数据分类(如数据分类政策所定义)和信息系统. 有关更多信息,请参考数据分类策略[5].
信息安全标准规定
NJIT的信息安全计划以NIST标准为框架,并根据互联网安全关键安全控制优先级中心实施控制. NJIT必须制定适当的控制标准和程序,以支持大学的信息安全政策. 本信息安全策略由NIST标准进一步定义, 程序, 控制指标, 控制测试, 漏洞测试和管理, 和补丁程序,以确保功能验证.
NJIT信息安全计划基于NIST特别出版物800-53 Rev. 5和特别出版物800-171 Rev .. 2、互联网安全关键安全控制中心(“信息安全标准”).
访问控制(AC)
NJIT必须限制授权用户访问信息系统, 代表授权用户或设备(包括其他信息系统)执行的流程,以及授权用户被允许执行的交易类型和功能.
意识及训练(AT)
NJIT必须:(i)确保信息系统的管理者和用户了解与其活动相关的安全风险以及适用的法律, 指令, 政策, 标准, 指令, 规定, or 程序 related to the 安全 of the University’s information systems; and (ii) ensure that personnel are adequately trained to carry out their assigned information 安全-related duties and responsibilities.
审计与问责(AU)
NJIT必须:(i)创造, 保护, 并将系统审核记录保留到监控所需的程度, 分析, 调查, 报告非法行为, 未经授权的, 或者保护飞地系统上不适当的信息系统活动, 具体到机密数据和机密网络, at a minimum; and (ii) ensure that the actions of individual information system users can be uniquely traced for all restricted systems.
评估和授权(CA)
NJIT must: (i) periodically assess the 安全 controls in the University’s information systems to determine if the controls are effective in their application; (ii) develop and implement plans of action designed to identify and correct deficiencies and reduce or eliminate vulnerabilities in University information systems; (iii) authorize the operation of the University’s information systems and any associated information system connections; and (iv) monitor information system 安全 controls on an ongoing basis to ensure the continued effectiveness of the controls.
配置管理(CM)
NJIT必须:(i)建立和维护大学信息系统(包括硬件)的基线配置和清单, 软件, 固件, and 文档ation) throughout the respective system development life cycles; and (ii) establish and enforce 安全 configuration settings for information technology products employed in the University’s information systems.
应变计划(CP)
威尼斯人娱乐城必须建立, 维护, 有效实施应急预案, 备份操作, 以及大学信息系统的灾后恢复,以确保关键信息资源的可用性和紧急情况下业务的连续性.
身份识别和认证(IA)
NJIT必须识别信息系统用户, 代表用户的进程, 或设备,并验证(或验证)这些用户的身份, 流程, 或设备, 作为进入大学信息系统的先决条件.
事件响应(IR)
NJIT必须:(i)为大学的信息系统建立一个操作事件处理能力,包括充分的准备, 检测, 分析, 容器, 复苏, and user response activities; and (ii) track, 文档, 并向适当的大学官员和/或当局报告事件.
维护(MA)
NJIT must: (i) perform periodic and timely maintenance on the University’s information systems; and (ii) provide effective controls on the tools, 技术, 机制, 并配备人员进行信息系统的维护.
媒体保护(MP)
NJIT必须:(i)保护信息系统媒体, both paper and digital; (ii) limit access to information-on-information system media to authorized users; (iii) 加密, where applicable; and (iv) sanitize or destroy information system media before disposal or release for reuse.
物理和环境保护(PE)
NJIT必须:(i)限制对信息系统的物理访问, 设备, and the respective operating environments to authorized individuals; (ii) 保护 the University’s physical and support infrastructure for information systems; (iii) provide supporting utilities for information systems; (iv) 保护 information systems against environmental hazards; and (v) provide appropriate environmental controls in facilities containing information systems.
计划(PL)
威尼斯人娱乐城必须发展, 文档, 定期更新, 实施大学信息系统的安全计划,该计划描述了信息系统的现有或计划的安全控制措施,以及访问信息系统的个人行为规则.
人事保安(PS)
NJIT must: (i) ensure that individuals occupying positions of responsibility within the University meet established 安全 criteria for those positions; (ii) ensure that the University’s information and information systems are 保护ed during and after personnel actions such as terminations and transfers; and (iii) employ formal sanctions for personnel failing to comply with NJIT’s 安全 政策 and 程序, 包括, 但不限于可接受和负责任的使用政策.
风险评估(RA)
NJIT必须定期评估大学运营(包括使命)的风险, 功能, 图像, 或声誉), 大学资产, 和个人, 产生于大学信息系统的运行和相关的处理, 存储, 或传送大学资料.
系统和服务获取(SA)
NJIT must: (i) allocate sufficient resources to adequately 保护 University information systems; (ii) employ system development life cycle 流程 that incorporate information 安全 considerations; (iii) employ 软件 usage and installation restrictions; and (iv) ensure that third-party providers employ adequate 安全 measures, 通过联邦和州法律以及合同要求, 保护资料, 应用程序, 及/或由大学外判的服务.
系统及通讯保护(SC)
威尼斯人娱乐城必须:(i)监控、控制和保护大学的通信.e., information transmitted or received by the University’s information systems) at the external boundaries and key internal boundaries of the information systems for confidential data 传输s; and (ii) employ architectural designs, 软件开发技术, 加密, 和系统工程原理,以促进大学资讯系统内有效的资讯保安.
系统和信息完整性(SI)
NJIT必须:(i)确定, 报告, and correct information and information system flaws in a timely manner; (ii) provide 保护ion from malicious code at appropriate locations within the University’s information systems; and (iii) monitor information system 安全 alerts and advisories and take appropriate actions in response.
项目管理(PM)
NJIT将实施安全项目管理控制,为NJIT的信息安全项目提供基础. 举个例子,没有限制, 对包括数据分类在内的政策和举措进行持续评估, 隐私, 安全意识, 资产管理, 脆弱性管理, 身份访问管理, 事件响应.
执行
为了保护完整性,NJIT可能会在必要时暂停或阻止对任何个人或设备的访问, 安全, 或大学和计算机资源的功能.
任何被发现违反本程序的人员都可能受到纪律处分, 直至并包括终止雇佣关系.
隐私
NJIT信息资产的使用并不完全是私有的, 用户在使用大学的信息资产时不应期望获得隐私保护. 用户没有隐私权的通信传输或存储在大学的资源. 欲了解更多信息,请参考NJIT可接受和负责任的使用政策[6].
另外, 为响应司法命令或法律要求或大学官方政策允许的任何其他行动,或为保护或促进大学的合法利益而被认为合理必要的其他行动, 首席信息官, 或授权代理人, 可以访问, 审查, 监视和/或披露与用户帐户有关的计算机文件.
异常
首席信息官或其指定人员可对该政策作出例外规定. 要请求例外,请向NJIT的IST服务台提交信息安全例外请求.
免责声明
NJIT不对驻留在非NJIT系统上或可在公共网络上获得的信息和材料承担任何责任,也不担保. 这些材料不一定反映威尼斯人娱乐城的态度、观点或价值观.
合规
本信息安全政策自发布之日起生效. 本政策可随时修改,自公布之日起生效.
如果遵守此政策不可行或在技术上不可能, 或者为了支持大学的使命,是否有必要偏离这一政策, 必须按照第10条规定的流程提出例外申请.0.
参考文献
- NIST特别出版物800-53 Rev. 5
- NIST特别出版物800-171 Rev. 2
- 互联网安全关键安全控制中心
- 格拉姆-里奇·比利利法案(GLBA)
- 家庭教育权利和隐私法(FERPA)
- fips - 199
- Pci DSS 3.1
威尼斯人娱乐城相关政策
- 数据分类策略
- 可接受和负责任的使用政策