Scopo

Le informazioni raccolte, analizzate, conservate, comunicate e riportate possono essere soggette a furto, uso improprio, perdita e corruzione.

Le informazioni possono essere messe a rischio da scarsa istruzione e formazione, e dalla violazione dei controlli di sicurezza.

Gli incidenti relativi alla sicurezza delle informazioni possono provocare imbarazzo, perdite finanziarie, non conformità con gli standard e la legislazione, nonché possibili sentenze contro l’Università.

Questa politica di sicurezza delle informazioni di alto livello si affianca alla politica di gestione del rischio delle informazioni e alla politica di protezione dei dati per fornire il profilo di alto livello e la giustificazione dei controlli di sicurezza delle informazioni dell’Università basati sul rischio.

• Politica di gestione dei rischi informatici
• Politica di protezione dei dati

Obiettivi

Gli obiettivi di sicurezza dell’Università sono che:

• I nostri rischi informatici sono identificati, gestiti e trattati secondo una tolleranza del rischio concordata
• I nostri utenti autorizzati possono accedere e condividere le informazioni in modo sicuro per svolgere i loro ruoli
• I nostri controlli fisici, procedurali e tecnici equilibrano l’esperienza degli utenti e la sicurezza
• I nostri obblighi contrattuali e legali relativi alla sicurezza delle informazioni sono soddisfatti
• Il nostro insegnamento, La nostra attività di insegnamento, ricerca e amministrazione considera la sicurezza delle informazioni
• Le persone che accedono alle nostre informazioni sono consapevoli delle loro responsabilità in materia di sicurezza delle informazioni
• Gli incidenti che riguardano il nostro patrimonio informativo sono risolti e si impara da essi per migliorare i nostri controlli.

Ambito di applicazione

La politica di sicurezza delle informazioni e i suoi controlli, processi e procedure di supporto si applicano a tutte le informazioni utilizzate all’Università, in tutti i formati. Questo include le informazioni elaborate da altre organizzazioni nei loro rapporti con l’Università.

La politica di sicurezza delle informazioni e i suoi controlli, processi e procedure di supporto si applicano a tutti gli individui che hanno accesso alle informazioni e alle tecnologie dell’Università, comprese le parti esterne che forniscono servizi di elaborazione delle informazioni all’Università.

Un campo di applicazione dettagliato, compresa una ripartizione degli utenti, delle risorse informative e dei sistemi di elaborazione delle informazioni, è incluso nel documento Information Security Management System (ISMS) Framework.

Conformità

La conformità con i controlli di questa politica sarà monitorata dal team di sicurezza delle informazioni e riportata al Consiglio di governance delle informazioni.

Revisione

Una revisione di questa politica sarà intrapresa dal team per la sicurezza delle informazioni annualmente o più frequentemente se necessario, e sarà approvata dal Consiglio per la governance delle informazioni e dal Gruppo esecutivo dell’Università.

Dichiarazione della politica

È la politica dell’Università per garantire che le informazioni siano protette da una perdita di:

• Confidenzialità – le informazioni saranno accessibili solo alle persone autorizzate
• Integrità – l’accuratezza e la completezza delle informazioni saranno mantenute
• Disponibilità – le informazioni saranno accessibili agli utenti autorizzati e ai processi quando richiesto

L’Università implementerà un sistema di gestione della sicurezza delle informazioni basato sullo standard internazionale ISO 27001 per la sicurezza delle informazioni. L’Università farà anche riferimento ad altri standard come richiesto, tenendo conto degli approcci adottati dai suoi stakeholder, compresi i partner di ricerca.

1. Politiche di sicurezza delle informazioni

Sarà definito un insieme di controlli, processi e procedure di livello inferiore per la sicurezza delle informazioni, a sostegno della politica di sicurezza delle informazioni di alto livello e dei suoi obiettivi dichiarati. Questa serie di documenti di supporto sarà approvata dal Consiglio per la Sicurezza delle Informazioni, pubblicata e comunicata agli utenti dell’Università e alle parti esterne interessate.

2. Organizzazione della sicurezza delle informazioni

L’Università definirà e implementerà accordi di governance adeguati per la gestione della sicurezza delle informazioni. Questo includerà l’identificazione e l’assegnazione delle responsabilità di sicurezza, per avviare e controllare l’implementazione e il funzionamento della sicurezza delle informazioni all’interno dell’Università.

L’Università nominerà almeno:

• Un dirigente che presieda il consiglio di gestione delle informazioni e si assuma la responsabilità del rischio informativo
• Un consiglio di gestione delle informazioni per influenzare, supervisionare e promuovere la gestione efficace delle informazioni dell’università
• Uno specialista di sicurezza delle informazioni per gestire la funzione quotidiana di sicurezza delle informazioni
• I proprietari delle risorse informative (IAOs) per assumere la responsabilità locale della gestione delle informazioni; e gli Information Asset Manager (IAM) responsabili della gestione quotidiana delle informazioni

3. La sicurezza delle risorse umane

Le politiche di sicurezza dell’Università e le aspettative per un uso accettabile saranno comunicate a tutti gli utenti per assicurare che comprendano le loro responsabilità. L’istruzione e la formazione in materia di sicurezza delle informazioni saranno messe a disposizione di tutto il personale, e i comportamenti scorretti e inappropriati saranno affrontati.

Qualora sia pratico, le responsabilità di sicurezza saranno incluse nelle descrizioni dei ruoli, nelle specifiche delle persone e nei piani di sviluppo personale.

4. Gestione delle risorse

Tutte le risorse (informazioni, software, apparecchiature elettroniche di elaborazione delle informazioni, servizi e persone) saranno documentate e contabilizzate. I proprietari saranno identificati per tutte le risorse e saranno responsabili della manutenzione e della protezione delle loro risorse.

Tutte le risorse informative saranno classificate secondo i loro requisiti legali, il valore aziendale, la criticità e la sensibilità, e la classificazione indicherà i requisiti di gestione appropriati. Tutte le risorse informative avranno un programma di conservazione e smaltimento definito.

5. Controllo dell’accesso Controllo dell’accesso

L’accesso a tutte le informazioni sarà controllato e sarà guidato dai requisiti aziendali. L’accesso sarà concesso o saranno presi accordi per gli utenti secondo il loro ruolo e la classificazione delle informazioni, solo ad un livello che permetterà loro di svolgere i loro compiti.

Una procedura formale di registrazione e de-registrazione degli utenti sarà mantenuta per l’accesso a tutti i sistemi e servizi informativi. Questo includerà metodi di autenticazione obbligatori basati sulla sensibilità delle informazioni a cui si accede, e includerà la considerazione di più fattori come appropriato.

Saranno implementati controlli specifici per gli utenti con privilegi elevati, per ridurre il rischio di un uso improprio del sistema per negligenza o intenzionalmente. La segregazione dei compiti sarà implementata, dove pratico.

6. Crittografia

L’Università fornirà linee guida e strumenti per assicurare un uso corretto ed efficace della crittografia per proteggere la riservatezza, l’autenticità e l’integrità delle informazioni e dei sistemi.

7. Sicurezza fisica e ambientale

Le strutture di elaborazione delle informazioni sono ospitate in aree sicure, fisicamente protette da accessi non autorizzati, danni e interferenze mediante perimetri di sicurezza definiti. Saranno messi in atto controlli di sicurezza interni ed esterni a più livelli per scoraggiare o prevenire l’accesso non autorizzato e proteggere le risorse, specialmente quelle critiche o sensibili, da attacchi forzati o surrettizi.

8. Sicurezza delle operazioni

L’Università assicurerà il corretto e sicuro funzionamento dei sistemi di elaborazione delle informazioni.

Questo includerà:

• Procedure operative documentate
• L’uso di modifiche formali e gestione delle capacità
• Controlli contro il malware
• Uso definito della registrazione
• Gestione della vulnerabilità

9. Sicurezza delle comunicazioni

L’Università manterrà i controlli di sicurezza della rete per assicurare la protezione delle informazioni all’interno delle sue reti, e fornirà gli strumenti e la guida per assicurare il trasferimento sicuro delle informazioni sia all’interno delle sue reti che con entità esterne, in linea con i requisiti di classificazione e trattamento associati a tali informazioni.

10. Acquisizione, sviluppo e manutenzione del sistema

I requisiti di sicurezza delle informazioni saranno definiti durante lo sviluppo dei requisiti aziendali per i nuovi sistemi informativi o le modifiche ai sistemi informativi esistenti.

I controlli per mitigare qualsiasi rischio identificato saranno implementati dove appropriato.

Lo sviluppo dei sistemi sarà soggetto al controllo delle modifiche e alla separazione degli ambienti di test, sviluppo e operativi.

11. Relazioni con i fornitori

I requisiti di sicurezza delle informazioni dell’Università saranno presi in considerazione quando si stabiliscono relazioni con i fornitori, per assicurare che le risorse accessibili ai fornitori siano protette.

L’attività dei fornitori sarà monitorata e controllata in base al valore delle risorse e ai rischi associati.

12. Gestione degli incidenti di sicurezza delle informazioni

Sarà disponibile una guida su ciò che costituisce un incidente di sicurezza delle informazioni e come questo dovrebbe essere riportato.

Le violazioni effettive o sospette della sicurezza delle informazioni devono essere riportate e saranno investigate.

Saranno prese azioni correttive appropriate e qualsiasi apprendimento sarà incorporato nei controlli.

13. Aspetti di sicurezza delle informazioni Aspetti di sicurezza delle informazioni della gestione della continuità operativa

L’Università avrà in atto accordi per proteggere i processi aziendali critici dagli effetti di guasti importanti dei sistemi informativi o di disastri e per assicurare il loro recupero tempestivo in linea con le esigenze aziendali documentate.

Questo includerà appropriate routine di backup e resilienza incorporata.

I piani di continuità aziendale devono essere mantenuti e testati a sostegno di questa politica.

L’analisi dell’impatto aziendale sarà intrapresa sulle conseguenze di disastri, guasti alla sicurezza, perdita di servizio e mancanza di disponibilità del servizio.

14. Conformità

La progettazione, il funzionamento, l’uso e la gestione dei sistemi informativi devono essere conformi a tutti i requisiti di sicurezza statutari, normativi e contrattuali.

Oggi questo include la legislazione sulla protezione dei dati, lo standard industriale delle carte di pagamento (PCI-DSS), la guida Prevent del governo e gli impegni contrattuali dell’Università.

L’Università utilizzerà una combinazione di audit interni ed esterni per dimostrare la conformità rispetto agli standard scelti e alle migliori pratiche, comprese le politiche e le procedure interne.

Questo comprenderà IT Health Checks, analisi delle lacune rispetto agli standard documentati, controlli interni sulla conformità del personale, e restituzioni da parte dei proprietari delle risorse informative.