bet8体育娱乐入口
大学政策
3505 信息 技术 Security Policy
Responsible Oversight Executive: | Vice 总统 for 政府 and Finance |
日期 of Current Revision or Creation: | 2023年2月2日 |
-
目的
本政策的目的是阐明大学信息技术安全计划的工作守则,并确定大学的安全活动与国际公认的最佳做法保持一致.
-
权威
Code of Virginia Section 23.第1-1301条,经修正,授予访问委员会制定有关该机构的规则和政策的权力. 第七节.第01(a)(6)条 访客委员会章程 授权校长执行董事会与大学运作有关的政策及程序.
重组高等教育财政和行政运作法; Code of Virginia Section 23.1-1000等序列.,经修订
-
定义
资讯保安管理实务守则(ISO/IEC 27002:2005) -定义组织内部有效管理信息安全的指导方针和一般原则的国际标准. 它是一个基于风险的框架,广泛用于指导安全标准和管理实践的建立.
EDUCAUSE协会 -一个非营利性协会,致力于通过有效利用信息技术促进高等教育的发展. 委员会成员包括来自高等教育机构的代表, higher education technology companies, and other related organizations.
Family Educational Rights and 隐私 Act (FERPA) -一项联邦法律,旨在保护学生记录的访问权,并对这些记录中的信息泄露进行控制.
Gramm-Leach-Bliley Act (GLBA) -为控制金融机构如何处理个人私人信息而颁布的联邦法律.
健康 Insurance Portability and Accountability Act (HIPAA) -颁布一项联邦法律,为受电子保护的健康信息的安全制定国家标准.
信息安全 -概念, 技术, 技术措施, 以及用于保护信息资产免遭蓄意或无意的未经授权的收购的行政措施, 损害, 信息披露, 操纵, 修改, 损失, 或使用.
信息安全 Officer (ISO) - The bet8体育娱乐入口 employee, appointed by the 总统 or designee, 谁负责开发和管理bet8体育娱乐入口的信息技术(IT)安全项目.
信息 技术 Security Program -提供一个高层次的观点,大学的安全控制和要素,用于满足有关信息安全的法律和法规. 信息安全官被授权选择和实施安全控制措施,并管理整个安全计划.
国际 Electrotechnical Commission (IEC) -开发和发布电气标准的全球性组织, 电子, 以及相关技术. Membership comes from government, 私营部门, 消费者团体, 专业协会, 和其他人.
国际 组织 for Standardization (ISO) - The world's largest developer of standards. 该组织由来自政府和私营部门标准机构的代表组成, e.g. the American National Standards Institute.
Payment Card Industry Data Security Standard - 一套全面的支付应用程序安全要求,旨在确保客户信息的机密性和完整性.
Virginia Alliance for Secure Computing and Networking (VA SCAN) -成立一个组织,以帮助加强弗吉尼亚州的信息技术安全计划. 该联盟由来自弗吉尼亚州几所高等教育机构的安全从业人员和RESEARCH人员组织和运营.
-
范围
This policy applies to all users, 决策者, 校园系统和运营相关设计的开发者和规划者, 收购, 维护, and use of information technology.
-
政策声明
大学的信息技术安全计划是基于国家和国际公认的标准和框架,并根据大学的具体情况量身定制的, 包括但不限于国际标准化组织和国际电工委员会发布的《bet8体育娱乐入口》(ISO/IEC 27002:2013)中推荐的内容。.
该程序还包含适用法规的安全要求,包括, 但不限于, the Family Educational Rights and 隐私 Act, Payment Card Industry Data Security Standard, 格雷姆-里奇-比利利法案和健康保险流通与责任法案. Professional organizations, 比如全国教育ause协会和弗吉尼亚安全计算与网络联盟, serve as resources for additional effective security practices.
ISO/IEC 27002:2013业务守则和上述其他来源用于指导必要时其他信息技术安全政策的开发和持续改进
-
程序
为遵守本政策而采用的具体标准已在 信息 技术服务 Computing 政策 and Standards 网站. 出于安全考虑, 程序和指引在内部保持,并可应信息安全主任授权的相关方的要求提供.
-
记录保留
适用的记录必须保留,然后按照 Commonwealth's 记录保留 Schedules.
-
负责人员
首席信息官
-
相关信息
大学政策 4100 - Student Record Policy
信息 技术 Standard 01.2.IT安全角色 & 责任
信息 技术 Standard 02.1.0 - Internet 隐私 Standard
信息 技术 Standard 02.2.0 - Workplace Device Technologies Standard
信息 技术 Standard 02.3.0 - Data 政府 and Classification Standard
信息 技术 Standard 02.4.0 - IT Asset Control Standard
信息 技术 Standard 02.6.0 - Remote Access and Virtual Private Network Standard
信息 技术 Standard 04.1.0 - MIDAS Identity Management Standard
信息 技术 Standard 04.2.0 - Account Management Standard
信息 技术 Standard 05.1.0 - IT Security Incident Handling Standard
信息 技术 Standard 05.2.0 - Data Breach Notification Standard
信息 技术 Standard 05.4.0病毒 & Malicious Code Protection Standard
信息 技术 Standard 06.1.0 - IT Facilities Security Standard
信息 技术 Standard 06.3.0 - Project Management Standard
信息 技术 Standard 06.4.0 - IT System Inventory Standard
信息 技术 Standard 06.5.0 - Server Management Standard
信息 技术 Standard 06.6.0 - Security Monitoring and Logging Standard
信息 技术 Standard 06.8.IT基础设施、架构和持续操作标准
信息 技术 Standard 06.9.0 - Data Center Operations Standard
信息 技术 Standard 06.11.0 - System Change Management Standard
信息 技术 Standard 06.12.0 - Network Management Standard
信息 技术 Standard 06.13.0 - Desktop Management Standard
信息 技术 Standard 07.1.0 - Business 影响 Analysis Standard
信息 技术 Standard 07.2.0 - Business Continuity and Disaster Recovery Plan Standard
信息 技术 Standard 08.1.0 - Risk Assessment Standard
政策的历史
Policy Formulation Committee (PFC) & 负责人员 Approval to Proceed:
负责人员
日期
Policy Review Committee (PRC) Approval to Proceed:
Chair, Policy Review Committee (PRC)
日期
Executive Policy Review Committee (EPRC) Approval to Proceed:
Responsible Oversight Executive
日期
大学法律顾问 Approval to Proceed:
大学法律顾问
日期
总统批准:
总统
日期
以前的版本
October 1, 2007; April 9, 2010; April 26, 2011; March 15, 2017; 2023年2月2日
预定复核日期
2028年2月2日