A magas szintű információbiztonsági politikát és annak meghatározott célkitűzéseit támogató, alacsonyabb szintű ellenőrzések, folyamatok és eljárások sorát határozzák meg az információbiztonságra vonatkozóan. Ezt a támogató dokumentációcsomagot az Információbiztonsági Testület hagyja jóvá, közzéteszik, és közlik az egyetemi felhasználókkal és a releváns külső felekkel.

2. Az információbiztonság megszervezése

Az Egyetem megfelelő irányítási intézkedéseket határoz meg és vezet be az információbiztonság irányítására. Ez magában foglalja a biztonsági felelősségi körök azonosítását és kiosztását, hogy kezdeményezzék és ellenőrizzék az információbiztonság megvalósítását és működtetését az Egyetemen belül.

Az Egyetem kijelöl legalább:

• Egy ügyvezető igazgatót, aki az Információirányítási Testület elnöke és az információs kockázatokért felelős
• Egy Információirányítási Testületet, amely befolyásolja, felügyeli és előmozdítja az egyetemi információk hatékony kezelését
• Egy információbiztonsági szakembert, aki a napi szintű információbiztonsági funkciót irányítja
• Információs eszköz tulajdonosokat (IAO-k), akik az információkezelés helyi felelősségét vállalják; és a napi szintű információkezelésért felelős információs vagyonkezelők (IAM)

3. Emberi erőforrások biztonsága

Az Egyetem biztonsági politikáját és az elfogadható használatra vonatkozó elvárásokat minden felhasználóval közölni fogják, hogy biztosítsák a felelősségük megértését. Az információbiztonsági oktatás és képzés minden munkatárs számára elérhetővé válik, és a rossz és nem megfelelő viselkedés ellen fellépnek.

Ahol lehetséges, a biztonsági felelősségeket beépítik a szerepleírásokba, a személyleírásokba és a személyi fejlesztési tervekbe.

4. Az információbiztonsági oktatás és képzés a munkatársak számára elérhetővé válik. Eszközgazdálkodás

Minden eszköz (információ, szoftver, elektronikus információfeldolgozó berendezés, szolgáltatási eszközök és emberek) dokumentálásra és elszámolásra kerül. Minden eszköznek azonosítják a tulajdonosát, és ők felelnek az eszközök karbantartásáért és védelméért.

Minden információs eszközt a jogi követelmények, az üzleti érték, a kritikusság és az érzékenység szerint osztályoznak, és a besorolás jelzi a megfelelő kezelési követelményeket. Minden információs eszköznek meghatározott megőrzési és megsemmisítési ütemtervvel kell rendelkeznie.

5. Az összes információs eszköznek meghatározott megőrzési és megsemmisítési ütemtervvel kell rendelkeznie. Hozzáférés-szabályozás

Az összes információhoz való hozzáférést ellenőrzik, és azt az üzleti követelmények határozzák meg. A felhasználók számára a hozzáférést a szerepüknek és az információ minősítésének megfelelően csak olyan szinten biztosítják, vagy intézkednek, amely lehetővé teszi számukra feladataik elvégzését.

Az összes információs rendszerhez és szolgáltatáshoz való hozzáféréshez hivatalos felhasználói regisztrációs és leiratkozási eljárást tartanak fenn. Ez magában foglalja a kötelező hitelesítési módszereket, amelyek a hozzáférés tárgyát képező információ érzékenységén alapulnak, és adott esetben több tényezőt is figyelembe vesznek.

A megnövelt jogosultságokkal rendelkező felhasználók esetében speciális ellenőrzéseket hajtanak végre, hogy csökkentsék a rendszerrel való gondatlan vagy szándékos visszaélés kockázatát. Ahol lehetséges, a feladatok szétválasztása megvalósításra kerül.

6. Kriptográfia

Az Egyetem útmutatást és eszközöket biztosít a kriptográfia megfelelő és hatékony használatához az információk és rendszerek titkosságának, hitelességének és integritásának védelme érdekében.

7. Fizikai és környezeti biztonság

Az információfeldolgozó létesítmények biztonságos területeken vannak elhelyezve, amelyeket meghatározott biztonsági határokkal fizikailag védenek az illetéktelen hozzáféréstől, sérülésektől és beavatkozástól. Többszintű belső és külső biztonsági ellenőrzéseket alkalmaznak a jogosulatlan hozzáférés megakadályozására vagy megakadályozására, valamint az eszközök – különösen a kritikus vagy érzékeny eszközök – erőszakos vagy alattomos támadással szembeni védelmére.

8. Védelmi rendszerek. Működésbiztonság

Az Egyetem biztosítja az információfeldolgozó rendszerek helyes és biztonságos működését.

Ez magában foglalja:

• Dokumentált működési eljárások
• A hivatalos változás- és kapacitáskezelés alkalmazása
• Kártevők elleni ellenőrzés
• A naplózás meghatározott használata
• Hibás sebezhetőség kezelése

9. Kommunikációs biztonság

Az Egyetem hálózatbiztonsági ellenőrzéseket tart fenn, hogy biztosítsa az információk védelmét a hálózatain belül, és biztosítja azokat az eszközöket és útmutatást, amelyek biztosítják az információk biztonságos továbbítását mind a hálózatain belül, mind a külső szervezetekkel, összhangban az információkhoz kapcsolódó minősítési és kezelési követelményekkel.

10. Kommunikációs biztonság

. Rendszerbeszerzés, -fejlesztés és -karbantartás

Az új információs rendszerekre vagy a meglévő információs rendszerek módosítására vonatkozó üzleti követelmények kidolgozása során meghatározzák az információbiztonsági követelményeket.

Ahol szükséges, az azonosított kockázatok mérséklését szolgáló ellenőrzéseket végrehajtják.

A rendszerek fejlesztését változásellenőrzéssel és a tesztelési, fejlesztési és üzemeltetési környezetek szétválasztásával végzik.

11. A rendszerfejlesztés során a rendszerbiztonsági követelményeket az új információs rendszerekre vagy a meglévő információs rendszerek módosítására vonatkozó üzleti követelmények kidolgozása során határozzák meg. Beszállítói kapcsolatok

A beszállítókkal való kapcsolatok kialakításakor figyelembe veszik az Egyetem információbiztonsági követelményeit, hogy biztosítsák a beszállítók számára hozzáférhető eszközök védelmét.

A beszállítók tevékenységét az eszközök értékének és a kapcsolódó kockázatoknak megfelelően figyelemmel kísérik és ellenőrzik.

12. A rendszereket és a rendszereket a beszállítókkal való kapcsolattartás során is ellenőrizni fogják. Információbiztonsági incidensek kezelése

Az információbiztonsági incidensek fogalmáról és bejelentésének módjáról útmutatás áll rendelkezésre.

Az információbiztonság tényleges vagy feltételezett megsértését jelenteni kell, és ki fogják vizsgálni.

A megfelelő korrekciós intézkedéseket megteszik, és a tanulságokat beépítik az ellenőrzésekbe.

13. Az üzletmenet-folytonossági menedzsment információbiztonsági aspektusai

Az Egyetem rendelkezik olyan intézkedésekkel, amelyek megvédik a kritikus üzleti folyamatokat az információs rendszerek jelentős meghibásodásának vagy katasztrófáknak a hatásaitól, és biztosítják azok időben történő helyreállítását a dokumentált üzleti igényekkel összhangban.

Ez magában foglalja a megfelelő biztonsági mentési rutinokat és a beépített rugalmasságot.

Az üzletmenet-folytonossági terveket e politika támogatására fenn kell tartani és tesztelni kell.

A katasztrófák, biztonsági hibák, szolgáltatáskiesés és a szolgáltatás elérhetőségének hiánya következményeinek üzleti hatáselemzését el kell végezni.

14. Az üzletmenet-folytonossági terveket a jelen politika támogatására fenn kell tartani és tesztelni kell.

Az üzletmenet-folytonossági terveket a jelen politika támogatására fenn kell tartani. Megfelelés

Az információs rendszerek tervezésének, üzemeltetésének, használatának és kezelésének meg kell felelnie minden törvényi, jogszabályi és szerződéses biztonsági követelménynek.

Ez jelenleg az adatvédelmi jogszabályokat, a fizetési kártyás iparági szabványt (PCI-DSS), a kormány Prevent-irányelveit és az egyetem szerződéses kötelezettségeit foglalja magában.

Az Egyetem belső és külső auditok kombinációját fogja alkalmazni a kiválasztott szabványoknak és a legjobb gyakorlatnak való megfelelés bizonyítására, beleértve a belső irányelvek és eljárások betartását is.

Ez magában foglalja az IT állapotfelméréseket, a dokumentált szabványokkal szembeni hiányelemzéseket, a személyzet megfelelőségének belső ellenőrzését, valamint az információs eszközök tulajdonosainak visszajelzéseit.