目的

本政策的目的是阐明大学信息技术安全计划的工作守则，并确定大学的安全活动与国际公认的最佳做法保持一致.

权威

Code of Virginia Section 23.第1-1301条，经修正，授予访问委员会制定有关该机构的规则和政策的权力. 第七节.第01(a)(6)条 访客委员会章程 授权校长执行董事会与大学运作有关的政策及程序.

重组高等教育财政和行政运作法; Code of Virginia Section 23.1-1000等序列.，经修订

定义

资讯保安管理实务守则(ISO/IEC 27002:2005) -定义组织内部有效管理信息安全的指导方针和一般原则的国际标准. 它是一个基于风险的框架，广泛用于指导安全标准和管理实践的建立.

EDUCAUSE协会 -一个非营利性协会，致力于通过有效利用信息技术促进高等教育的发展. 委员会成员包括来自高等教育机构的代表, higher education technology companies, and other related organizations.

Family Educational Rights and 隐私 Act (FERPA) -一项联邦法律，旨在保护学生记录的访问权，并对这些记录中的信息泄露进行控制.

Gramm-Leach-Bliley Act (GLBA) -为控制金融机构如何处理个人私人信息而颁布的联邦法律.

健康 Insurance Portability and Accountability Act (HIPAA) -颁布一项联邦法律，为受电子保护的健康信息的安全制定国家标准.

信息安全 -概念, 技术, 技术措施, 以及用于保护信息资产免遭蓄意或无意的未经授权的收购的行政措施, 损害, 信息披露, 操纵, 修改, 损失, 或使用.

信息安全 Officer (ISO) - The bet8体育娱乐入口 employee, appointed by the 总统 or designee, 谁负责开发和管理bet8体育娱乐入口的信息技术(IT)安全项目.

信息 技术 Security Program -提供一个高层次的观点，大学的安全控制和要素，用于满足有关信息安全的法律和法规. 信息安全官被授权选择和实施安全控制措施，并管理整个安全计划.

国际 Electrotechnical Commission (IEC) -开发和发布电气标准的全球性组织, 电子, 以及相关技术. Membership comes from government, 私营部门, 消费者团体, 专业协会, 和其他人.

国际 组织 for Standardization (ISO) - The world's largest developer of standards. 该组织由来自政府和私营部门标准机构的代表组成, e.g. the American National Standards Institute.

Payment Card Industry Data Security Standard - 一套全面的支付应用程序安全要求，旨在确保客户信息的机密性和完整性.

Virginia Alliance for Secure Computing and Networking (VA SCAN) -成立一个组织，以帮助加强弗吉尼亚州的信息技术安全计划. 该联盟由来自弗吉尼亚州几所高等教育机构的安全从业人员和RESEARCH人员组织和运营.

范围

This policy applies to all users, 决策者, 校园系统和运营相关设计的开发者和规划者, 收购, 维护, and use of information technology.

政策声明

大学的信息技术安全计划是基于国家和国际公认的标准和框架，并根据大学的具体情况量身定制的, 包括但不限于国际标准化组织和国际电工委员会发布的《bet8体育娱乐入口》(ISO/IEC 27002:2013)中推荐的内容。.

该程序还包含适用法规的安全要求，包括, 但不限于, the Family Educational Rights and 隐私 Act, Payment Card Industry Data Security Standard, 格雷姆-里奇-比利利法案和健康保险流通与责任法案. Professional organizations, 比如全国教育ause协会和弗吉尼亚安全计算与网络联盟, serve as resources for additional effective security practices.

ISO/IEC 27002:2013业务守则和上述其他来源用于指导必要时其他信息技术安全政策的开发和持续改进

程序

为遵守本政策而采用的具体标准已在 信息 技术服务 Computing 政策 and Standards 网站. 出于安全考虑, 程序和指引在内部保持，并可应信息安全主任授权的相关方的要求提供.

记录保留

适用的记录必须保留，然后按照 Commonwealth's 记录保留 Schedules.

负责人员

首席信息官

相关信息

大学政策 4100 - Student Record Policy

信息 技术 Standard 01.2.IT安全角色 & 责任

信息 技术 Standard 02.1.0 - Internet 隐私 Standard

信息 技术 Standard 02.2.0 - Workplace Device Technologies Standard

信息 技术 Standard 02.3.0 - Data 政府 and Classification Standard

信息 技术 Standard 02.4.0 - IT Asset Control Standard

信息 技术 Standard 02.5.0 -加密标准

信息 技术 Standard 02.6.0 - Remote Access and Virtual Private Network Standard

信息 技术 Standard 02.11.0 -密码管理

信息 技术 Standard 04.1.0 - MIDAS Identity Management Standard

信息 技术 Standard 04.2.0 - Account Management Standard

信息 技术 Standard 05.1.0 - IT Security Incident Handling Standard

信息 技术 Standard 05.2.0 - Data Breach Notification Standard

信息 技术 Standard 05.4.0病毒 & Malicious Code Protection Standard

信息 技术 Standard 06.1.0 - IT Facilities Security Standard

信息 技术 Standard 06.3.0 - Project Management Standard

信息 技术 Standard 06.4.0 - IT System Inventory Standard

信息 技术 Standard 06.5.0 - Server Management Standard

信息 技术 Standard 06.6.0 - Security Monitoring and Logging Standard

信息 技术 Standard 06.8.IT基础设施、架构和持续操作标准

信息 技术 Standard 06.9.0 - Data Center Operations Standard

信息 技术 Standard 06.11.0 - System Change Management Standard

信息 技术 Standard 06.12.0 - Network Management Standard

信息 技术 Standard 06.13.0 - Desktop Management Standard

信息 技术 Standard 07.1.0 - Business 影响 Analysis Standard

信息 技术 Standard 07.2.0 - Business Continuity and Disaster Recovery Plan Standard

信息 技术 Standard 08.1.0 - Risk Assessment Standard

信息 技术 Standard 08.2.0 - IT Security Program Review

信息 技术 Standard 09.1.0 - Acceptable Use Standard