Információbiztonsági szabályzat

Cél

Az összegyűjtött, elemzett, tárolt, közölt és jelentett információk lopásnak, visszaélésnek, elvesztésnek és korrupciónak lehetnek kitéve.

Az információkat a nem megfelelő oktatás és képzés, valamint a biztonsági ellenőrzések megsértése veszélyeztetheti.

Az információbiztonsági incidensek kínos helyzetet, pénzügyi veszteséget, a szabványoknak és jogszabályoknak való meg nem felelést, valamint az Egyetemmel szembeni esetleges ítéleteket eredményezhetnek.

Ez a magas szintű információbiztonsági politika az információs kockázatkezelési politika és az adatvédelmi politika mellett helyezkedik el, hogy az Egyetem kockázatalapú információbiztonsági ellenőrzéseinek magas szintű vázlatát és indoklását adja.

  • Információs kockázatkezelési politika
  • Adatvédelmi politika

Célok

Az Egyetem biztonsági célkitűzései a következők:

  • Az információs kockázatokat azonosítjuk, kezeljük és a megállapított kockázati toleranciának megfelelően kezeljük
  • A jogosult felhasználóink biztonságosan hozzáférhetnek az információkhoz és megoszthatják azokat a feladataik ellátása érdekében
  • A fizikai, eljárási és technikai ellenőrzéseink egyensúlyt teremtenek a felhasználói élmény és a biztonság között
  • Az információbiztonsággal kapcsolatos szerződéses és jogi kötelezettségeinket teljesítjük
  • Az oktatás, kutatási és igazgatási tevékenységünk figyelembe veszi az információbiztonságot
  • Az információinkhoz hozzáférő személyek tisztában vannak információbiztonsági felelősségeikkel
  • Az információs eszközeinket érintő incidenseket megoldjuk, és tanulunk belőlük az ellenőrzésünk javítása érdekében.

Hatály

Az információbiztonsági politika és az azt támogató ellenőrzések, folyamatok és eljárások az egyetemen használt valamennyi információra vonatkoznak, bármilyen formátumban. Ez magában foglalja a más szervezetek által az Egyetemmel való kapcsolattartás során feldolgozott információkat is.

Az Információbiztonsági politika és az azt támogató ellenőrzések, folyamatok és eljárások minden olyan személyre vonatkoznak, aki hozzáfér az egyetemi információkhoz és technológiákhoz, beleértve az Egyetem számára információfeldolgozási szolgáltatásokat nyújtó külső feleket is.

A részletes hatály, beleértve a felhasználók, az információs eszközök és az információfeldolgozó rendszerek bontását, az információbiztonsági irányítási rendszer (ISMS) keretdokumentumában található.

Megfelelés

A jelen szabályzatban foglalt ellenőrzések betartását az információbiztonsági csoport ellenőrzi és jelenti az információirányítási tanácsnak.

Felülvizsgálat

A jelen szabályzat felülvizsgálatát az Információbiztonsági csoport évente vagy szükség szerint gyakrabban végzi el, és azt az Információirányítási Tanács és az Egyetem Vezetői Csoportja hagyja jóvá.

Irányelvi nyilatkozat

Az Egyetem politikája, hogy biztosítsa az információk védelmét az elvesztéstől:

  • Titoktartás – az információkhoz csak az arra jogosult személyek férhetnek hozzá
  • Integritás – az információk pontosságát és teljességét fenntartják
  • Kihasználhatóság – az információk szükség esetén az arra jogosult felhasználók és folyamatok számára hozzáférhetők

Az Egyetem az ISO 27001 nemzetközi információbiztonsági szabványon alapuló információbiztonsági irányítási rendszert vezet be. Az Egyetem szükség szerint más szabványokra is hivatkozik, figyelembe véve az érdekelt felek, köztük a kutatási partnerek által elfogadott megközelítéseket.

Az Egyetem kockázatalapú megközelítést alkalmaz az ellenőrzések alkalmazása során:

  1. Információbiztonsági irányelvek
  2. Az információbiztonság megszervezése
  3. Az emberi erőforrások biztonsága
  4. Az eszközgazdálkodás
  5. A hozzáférés Control
  6. Cryptography
  7. Physical and Environmental Security
  8. Operations Security
  9. Communications Security
  10. System Acquisition, Fejlesztés és karbantartás
  11. Beszállítói kapcsolatok
  12. Információbiztonsági incidensek kezelése
  13. Az üzletmenet-folytonossági menedzsment információbiztonsági szempontjai
  14. Compliance

1. Az információbiztonsági incidensek kezelése

  • Az üzletmenet-folytonossági menedzsment információbiztonsági szempontjai
  • 1. Információbiztonsági politikák

    A magas szintű információbiztonsági politikát és annak meghatározott célkitűzéseit támogató, alacsonyabb szintű ellenőrzések, folyamatok és eljárások sorát határozzák meg az információbiztonságra vonatkozóan. Ezt a támogató dokumentációcsomagot az Információbiztonsági Testület hagyja jóvá, közzéteszik, és közlik az egyetemi felhasználókkal és a releváns külső felekkel.

    2. Az információbiztonság megszervezése

    Az Egyetem megfelelő irányítási intézkedéseket határoz meg és vezet be az információbiztonság irányítására. Ez magában foglalja a biztonsági felelősségi körök azonosítását és kiosztását, hogy kezdeményezzék és ellenőrizzék az információbiztonság megvalósítását és működtetését az Egyetemen belül.

    Az Egyetem kijelöl legalább:

    • Egy ügyvezető igazgatót, aki az Információirányítási Testület elnöke és az információs kockázatokért felelős
    • Egy Információirányítási Testületet, amely befolyásolja, felügyeli és előmozdítja az egyetemi információk hatékony kezelését
    • Egy információbiztonsági szakembert, aki a napi szintű információbiztonsági funkciót irányítja
    • Információs eszköz tulajdonosokat (IAO-k), akik az információkezelés helyi felelősségét vállalják; és a napi szintű információkezelésért felelős információs vagyonkezelők (IAM)

    3. Emberi erőforrások biztonsága

    Az Egyetem biztonsági politikáját és az elfogadható használatra vonatkozó elvárásokat minden felhasználóval közölni fogják, hogy biztosítsák a felelősségük megértését. Az információbiztonsági oktatás és képzés minden munkatárs számára elérhetővé válik, és a rossz és nem megfelelő viselkedés ellen fellépnek.

    Ahol lehetséges, a biztonsági felelősségeket beépítik a szerepleírásokba, a személyleírásokba és a személyi fejlesztési tervekbe.

    4. Az információbiztonsági oktatás és képzés a munkatársak számára elérhetővé válik. Eszközgazdálkodás

    Minden eszköz (információ, szoftver, elektronikus információfeldolgozó berendezés, szolgáltatási eszközök és emberek) dokumentálásra és elszámolásra kerül. Minden eszköznek azonosítják a tulajdonosát, és ők felelnek az eszközök karbantartásáért és védelméért.

    Minden információs eszközt a jogi követelmények, az üzleti érték, a kritikusság és az érzékenység szerint osztályoznak, és a besorolás jelzi a megfelelő kezelési követelményeket. Minden információs eszköznek meghatározott megőrzési és megsemmisítési ütemtervvel kell rendelkeznie.

    5. Az összes információs eszköznek meghatározott megőrzési és megsemmisítési ütemtervvel kell rendelkeznie. Hozzáférés-szabályozás

    Az összes információhoz való hozzáférést ellenőrzik, és azt az üzleti követelmények határozzák meg. A felhasználók számára a hozzáférést a szerepüknek és az információ minősítésének megfelelően csak olyan szinten biztosítják, vagy intézkednek, amely lehetővé teszi számukra feladataik elvégzését.

    Az összes információs rendszerhez és szolgáltatáshoz való hozzáféréshez hivatalos felhasználói regisztrációs és leiratkozási eljárást tartanak fenn. Ez magában foglalja a kötelező hitelesítési módszereket, amelyek a hozzáférés tárgyát képező információ érzékenységén alapulnak, és adott esetben több tényezőt is figyelembe vesznek.

    A megnövelt jogosultságokkal rendelkező felhasználók esetében speciális ellenőrzéseket hajtanak végre, hogy csökkentsék a rendszerrel való gondatlan vagy szándékos visszaélés kockázatát. Ahol lehetséges, a feladatok szétválasztása megvalósításra kerül.

    6. Kriptográfia

    Az Egyetem útmutatást és eszközöket biztosít a kriptográfia megfelelő és hatékony használatához az információk és rendszerek titkosságának, hitelességének és integritásának védelme érdekében.

    7. Fizikai és környezeti biztonság

    Az információfeldolgozó létesítmények biztonságos területeken vannak elhelyezve, amelyeket meghatározott biztonsági határokkal fizikailag védenek az illetéktelen hozzáféréstől, sérülésektől és beavatkozástól. Többszintű belső és külső biztonsági ellenőrzéseket alkalmaznak a jogosulatlan hozzáférés megakadályozására vagy megakadályozására, valamint az eszközök – különösen a kritikus vagy érzékeny eszközök – erőszakos vagy alattomos támadással szembeni védelmére.

    8. Védelmi rendszerek. Működésbiztonság

    Az Egyetem biztosítja az információfeldolgozó rendszerek helyes és biztonságos működését.

    Ez magában foglalja:

    • Dokumentált működési eljárások
    • A hivatalos változás- és kapacitáskezelés alkalmazása
    • Kártevők elleni ellenőrzés
    • A naplózás meghatározott használata
    • Hibás sebezhetőség kezelése

    9. Kommunikációs biztonság

    Az Egyetem hálózatbiztonsági ellenőrzéseket tart fenn, hogy biztosítsa az információk védelmét a hálózatain belül, és biztosítja azokat az eszközöket és útmutatást, amelyek biztosítják az információk biztonságos továbbítását mind a hálózatain belül, mind a külső szervezetekkel, összhangban az információkhoz kapcsolódó minősítési és kezelési követelményekkel.

    10. Kommunikációs biztonság

    . Rendszerbeszerzés, -fejlesztés és -karbantartás

    Az új információs rendszerekre vagy a meglévő információs rendszerek módosítására vonatkozó üzleti követelmények kidolgozása során meghatározzák az információbiztonsági követelményeket.

    Ahol szükséges, az azonosított kockázatok mérséklését szolgáló ellenőrzéseket végrehajtják.

    A rendszerek fejlesztését változásellenőrzéssel és a tesztelési, fejlesztési és üzemeltetési környezetek szétválasztásával végzik.

    11. A rendszerfejlesztés során a rendszerbiztonsági követelményeket az új információs rendszerekre vagy a meglévő információs rendszerek módosítására vonatkozó üzleti követelmények kidolgozása során határozzák meg. Beszállítói kapcsolatok

    A beszállítókkal való kapcsolatok kialakításakor figyelembe veszik az Egyetem információbiztonsági követelményeit, hogy biztosítsák a beszállítók számára hozzáférhető eszközök védelmét.

    A beszállítók tevékenységét az eszközök értékének és a kapcsolódó kockázatoknak megfelelően figyelemmel kísérik és ellenőrzik.

    12. A rendszereket és a rendszereket a beszállítókkal való kapcsolattartás során is ellenőrizni fogják. Információbiztonsági incidensek kezelése

    Az információbiztonsági incidensek fogalmáról és bejelentésének módjáról útmutatás áll rendelkezésre.

    Az információbiztonság tényleges vagy feltételezett megsértését jelenteni kell, és ki fogják vizsgálni.

    A megfelelő korrekciós intézkedéseket megteszik, és a tanulságokat beépítik az ellenőrzésekbe.

    13. Az üzletmenet-folytonossági menedzsment információbiztonsági aspektusai

    Az Egyetem rendelkezik olyan intézkedésekkel, amelyek megvédik a kritikus üzleti folyamatokat az információs rendszerek jelentős meghibásodásának vagy katasztrófáknak a hatásaitól, és biztosítják azok időben történő helyreállítását a dokumentált üzleti igényekkel összhangban.

    Ez magában foglalja a megfelelő biztonsági mentési rutinokat és a beépített rugalmasságot.

    Az üzletmenet-folytonossági terveket e politika támogatására fenn kell tartani és tesztelni kell.

    A katasztrófák, biztonsági hibák, szolgáltatáskiesés és a szolgáltatás elérhetőségének hiánya következményeinek üzleti hatáselemzését el kell végezni.

    14. Az üzletmenet-folytonossági terveket a jelen politika támogatására fenn kell tartani és tesztelni kell.

    Az üzletmenet-folytonossági terveket a jelen politika támogatására fenn kell tartani. Megfelelés

    Az információs rendszerek tervezésének, üzemeltetésének, használatának és kezelésének meg kell felelnie minden törvényi, jogszabályi és szerződéses biztonsági követelménynek.

    Ez jelenleg az adatvédelmi jogszabályokat, a fizetési kártyás iparági szabványt (PCI-DSS), a kormány Prevent-irányelveit és az egyetem szerződéses kötelezettségeit foglalja magában.

    Az Egyetem belső és külső auditok kombinációját fogja alkalmazni a kiválasztott szabványoknak és a legjobb gyakorlatnak való megfelelés bizonyítására, beleértve a belső irányelvek és eljárások betartását is.

    Ez magában foglalja az IT állapotfelméréseket, a dokumentált szabványokkal szembeni hiányelemzéseket, a személyzet megfelelőségének belső ellenőrzését, valamint az információs eszközök tulajdonosainak visszajelzéseit.

  • Vélemény, hozzászólás?

    Az e-mail-címet nem tesszük közzé.