Polityka bezpieczeństwa informacji

Written by on in Articles

Cel

Informacje, które są zbierane, analizowane, przechowywane, przekazywane i raportowane mogą być przedmiotem kradzieży, niewłaściwego użycia, utraty i korupcji.

Informacje mogą być narażone na ryzyko przez słabe wykształcenie i szkolenie oraz naruszenie kontroli bezpieczeństwa.

Incydenty związane z bezpieczeństwem informacji mogą powodować zakłopotanie, straty finansowe, niezgodność z normami i przepisami, a także ewentualne wyroki sądowe przeciwko Uniwersytetowi.

Ta wysokopoziomowa Polityka Bezpieczeństwa Informacji funkcjonuje obok Polityki Zarządzania Ryzykiem Informacyjnym i Polityki Ochrony Danych w celu zapewnienia wysokopoziomowego zarysu i uzasadnienia kontroli bezpieczeństwa informacji Uniwersytetu opartych na ryzyku.

  • Polityka Zarządzania Ryzykiem Informacyjnym
  • Polityka Ochrony Danych

Cele

Celem bezpieczeństwa Uniwersytetu jest, aby:

  • Nasze ryzyka informacyjne są identyfikowane, zarządzane i traktowane zgodnie z ustaloną tolerancją ryzyka
  • Nasze upoważnieni użytkownicy mogą bezpiecznie uzyskać dostęp do informacji i dzielić się nimi w celu wykonywania swoich ról
  • Nasze kontrole fizyczne, proceduralne i techniczne równoważą doświadczenie użytkownika i bezpieczeństwo
  • Nasze zobowiązania umowne i prawne związane z bezpieczeństwem informacji są spełnione
  • Nasze nauczanie, Działalność dydaktyczna, badawcza i administracyjna uwzględnia bezpieczeństwo informacji
  • Osoby fizyczne uzyskujące dostęp do naszych informacji są świadome swoich obowiązków w zakresie bezpieczeństwa informacji
  • Incydenty mające wpływ na nasze zasoby informacyjne są rozwiązywane i wyciągane są z nich wnioski w celu poprawy naszych kontroli.

Zakres

Polityka bezpieczeństwa informacji i jej wspierające kontrole, procesy i procedury mają zastosowanie do wszystkich informacji wykorzystywanych na Uniwersytecie, we wszystkich formatach. Obejmuje to informacje przetwarzane przez inne organizacje w ich kontaktach z Uniwersytetem.

Polityka Bezpieczeństwa Informacji i jej wspierające kontrole, procesy i procedury mają zastosowanie do wszystkich osób, które mają dostęp do informacji i technologii Uniwersytetu, w tym stron zewnętrznych, które świadczą usługi przetwarzania informacji dla Uniwersytetu.

Szczegółowy zakres, w tym podział użytkowników, aktywów informacyjnych i systemów przetwarzania informacji, jest zawarty w dokumencie ramowym Systemu Zarządzania Bezpieczeństwem Informacji (ISMS).

Zgodność

Zgodność z kontrolami w niniejszej polityce będzie monitorowana przez zespół ds. bezpieczeństwa informacji i zgłaszana do Rady Zarządzania Informacją.

Przegląd

Przegląd niniejszej polityki będzie przeprowadzany przez zespół ds. bezpieczeństwa informacji corocznie lub częściej, w zależności od potrzeb, i zostanie zatwierdzony przez Radę Zarządzania Informacją i Grupę Wykonawczą Uniwersytetu.

Policy Statement

Polityką Uniwersytetu jest zapewnienie, że informacje są chronione przed utratą:

  • Poufności – informacje będą dostępne tylko dla upoważnionych osób
  • Integrity – dokładność i kompletność informacji zostanie zachowana
  • Dostępności – informacje będą dostępne dla upoważnionych użytkowników i procesów, gdy jest to wymagane

Uniwersytet wdroży System Zarządzania Bezpieczeństwem Informacji oparty na Międzynarodowej Normie Bezpieczeństwa Informacji ISO 27001. Uczelnia będzie również odwoływać się do innych standardów w zależności od potrzeb, mając na uwadze podejścia przyjęte przez jej interesariuszy, w tym partnerów badawczych.

Uniwersytet przyjmie podejście oparte na ryzyku do stosowania środków kontroli:

  1. Polityki bezpieczeństwa informacji
  2. Organizacja bezpieczeństwa informacji
  3. Bezpieczeństwo zasobów ludzkich
  4. Zarządzanie aktywami
  5. Dostęp. Control
  6. Cryptography
  7. Physical and Environmental Security
  8. Operations Security
  9. Communications Security
  10. System Acquisition, Rozwój i utrzymanie
  11. Związki z dostawcami
  12. Zarządzanie incydentami związanymi z bezpieczeństwem informacji
  13. Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
  14. Zgodność

1. Polityka Bezpieczeństwa Informacji

Zdefiniowany zostanie zestaw kontroli niższego poziomu, procesów i procedur dotyczących bezpieczeństwa informacji, wspierających Politykę Bezpieczeństwa Informacji wysokiego poziomu i jej określone cele. Ten zestaw dokumentacji wspierającej zostanie zatwierdzony przez Radę Bezpieczeństwa Informacji, opublikowany i przekazany użytkownikom Uniwersytetu i odpowiednim stronom zewnętrznym.

2. Organizacja bezpieczeństwa informacji

Uniwersytet określi i wdroży odpowiednie ustalenia dotyczące zarządzania bezpieczeństwem informacji. Będzie to obejmować identyfikację i przydział obowiązków w zakresie bezpieczeństwa, w celu inicjowania i kontrolowania wdrażania i funkcjonowania bezpieczeństwa informacji w ramach Uniwersytetu.

Uniwersytet wyznaczy co najmniej:

  • Wykonawcę, który będzie przewodniczył Radzie ds. Zarządzania Informacją i będzie ponosił odpowiedzialność za ryzyko informacyjne
  • Radę ds. Zarządzania Informacją, która będzie wpływała, nadzorowała i promowała skuteczne zarządzanie informacjami Uniwersytetu
  • Specjalistę ds. Bezpieczeństwa Informacji, który będzie zarządzał codzienną funkcją bezpieczeństwa informacji
  • Właścicieli Aktywów Informacyjnych (IAO), którzy będą ponosili lokalną odpowiedzialność za zarządzanie informacjami; oraz menedżerowie ds. zasobów informacyjnych (IAM) odpowiedzialni za bieżące zarządzanie informacjami

3. Zasoby ludzkie Bezpieczeństwo

Polityka bezpieczeństwa Uniwersytetu i oczekiwania dotyczące dopuszczalnego użytkowania będą przekazywane wszystkim użytkownikom w celu zapewnienia, że rozumieją oni swoje obowiązki. Edukacja i szkolenia w zakresie bezpieczeństwa informacji będą dostępne dla wszystkich pracowników, a słabe i niewłaściwe zachowania będą rozwiązywane.

Gdzie jest to praktyczne, obowiązki związane z bezpieczeństwem będą zawarte w opisach ról, specyfikacjach osób i planach rozwoju osobistego.

4. Zarządzanie aktywami

Wszystkie aktywa (informacje, oprogramowanie, sprzęt do elektronicznego przetwarzania informacji, narzędzia usługowe i ludzie) zostaną udokumentowane i rozliczone. Właściciele zostaną zidentyfikowani dla wszystkich aktywów i będą odpowiedzialni za utrzymanie i ochronę swoich aktywów.

Wszystkie aktywa informacyjne zostaną sklasyfikowane zgodnie z ich wymaganiami prawnymi, wartością biznesową, krytycznością i wrażliwością, a klasyfikacja wskaże odpowiednie wymagania dotyczące obsługi. Wszystkie aktywa informacyjne będą miały zdefiniowany harmonogram przechowywania i usuwania.

5. Kontrola dostępu

Dostęp do wszystkich informacji będzie kontrolowany i będzie wynikał z wymagań biznesowych. Dostęp będzie przyznawany lub uzgadniany z użytkownikami zgodnie z ich rolą i klasyfikacją informacji, tylko do poziomu, który pozwoli im na wykonywanie ich obowiązków.

Oficjalna procedura rejestracji i wyrejestrowywania użytkowników będzie utrzymywana w odniesieniu do dostępu do wszystkich systemów i usług informacyjnych. Obejmie ona obowiązkowe metody uwierzytelniania oparte na wrażliwości informacji, do których dostęp jest możliwy, oraz uwzględni wiele czynników w stosownych przypadkach.

Specyficzne kontrole zostaną wdrożone dla użytkowników z podwyższonymi uprawnieniami, aby zmniejszyć ryzyko niedbałego lub celowego nadużycia systemu. Wdrożony zostanie podział obowiązków, tam gdzie jest to praktyczne.

6. Kryptografia

Uczelnia zapewni wytyczne i narzędzia zapewniające właściwe i skuteczne wykorzystanie kryptografii w celu ochrony poufności, autentyczności i integralności informacji i systemów.

7. Bezpieczeństwo fizyczne i środowiskowe

Urządzenia do przetwarzania informacji znajdują się w bezpiecznych obszarach, fizycznie chronionych przed nieupoważnionym dostępem, zniszczeniem i ingerencją przez zdefiniowane granice bezpieczeństwa. Stosowane będą warstwowe wewnętrzne i zewnętrzne kontrole bezpieczeństwa w celu powstrzymania lub zapobieżenia nieupoważnionemu dostępowi i ochrony aktywów, zwłaszcza krytycznych lub wrażliwych, przed wymuszonym lub podstępnym atakiem.

8. Operations Security

Uczelnia zapewni prawidłowe i bezpieczne działanie systemów przetwarzania informacji.

Będzie to obejmować:

  • Dokumentowane procedury operacyjne
  • Zastosowanie formalnego zarządzania zmianami i pojemnością
  • Kontrola przed złośliwym oprogramowaniem
  • Zdefiniowane zastosowanie logowania
  • Zarządzanie podatnościami

9. Communications Security

Uniwersytet będzie utrzymywał kontrole bezpieczeństwa sieci w celu zapewnienia ochrony informacji w ramach swoich sieci oraz zapewni narzędzia i wytyczne w celu zapewnienia bezpiecznego przekazywania informacji zarówno w ramach swoich sieci, jak i z podmiotami zewnętrznymi, zgodnie z klasyfikacją i wymogami obsługi związanymi z tymi informacjami.

10. Nabywanie, rozwój i utrzymanie systemów

Wymagania dotyczące bezpieczeństwa informacji będą określane podczas opracowywania wymagań biznesowych dla nowych systemów informacyjnych lub zmian w istniejących systemach informacyjnych.

Kontrole mające na celu ograniczenie wszelkich zidentyfikowanych zagrożeń będą wdrażane w stosownych przypadkach.

Rozwój systemów będzie podlegał kontroli zmian i oddzieleniu środowisk testowych, rozwojowych i operacyjnych.

11. Relacje z dostawcami

Wymagania Uniwersytetu w zakresie bezpieczeństwa informacji będą brane pod uwagę przy nawiązywaniu relacji z dostawcami, aby zapewnić ochronę aktywów dostępnych dla dostawców.

Działalność dostawców będzie monitorowana i audytowana zgodnie z wartością aktywów i powiązanym ryzykiem.

12. Zarządzanie incydentami związanymi z bezpieczeństwem informacji

Dostępne będą wytyczne dotyczące tego, co stanowi incydent związany z bezpieczeństwem informacji i w jaki sposób należy go zgłaszać.

Rzeczywiste lub podejrzewane naruszenia bezpieczeństwa informacji muszą być zgłaszane i będą badane.

Podjęte zostaną odpowiednie działania naprawcze, a wszelkie wnioski zostaną uwzględnione w kontrolach.

13. Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania

Uczelnia będzie posiadać rozwiązania mające na celu ochronę krytycznych procesów biznesowych przed skutkami poważnych awarii systemów informatycznych lub katastrof oraz zapewnienie ich terminowego odtworzenia zgodnie z udokumentowanymi potrzebami biznesowymi.

Będzie to obejmować odpowiednie procedury tworzenia kopii zapasowych i wbudowaną odporność.

Plany ciągłości działania muszą być utrzymywane i testowane w celu wsparcia tej polityki.

Business impact analysis will be undertaken of the consequences of disasters, security failures, loss of service, and lack of service availability.

14. Zgodność

Projektowanie, obsługa, wykorzystanie i zarządzanie systemami informacyjnymi musi być zgodne ze wszystkimi ustawowymi, regulacyjnymi i umownymi wymogami bezpieczeństwa.

Obecnie obejmuje to ustawodawstwo dotyczące ochrony danych, standard branży kart płatniczych (PCI-DSS), rządowe wytyczne Prevent i zobowiązania umowne Uniwersytetu.

Uniwersytet będzie stosował połączenie audytu wewnętrznego i zewnętrznego w celu wykazania zgodności z wybranymi standardami i najlepszymi praktykami, w tym z wewnętrznymi politykami i procedurami.

Będzie to obejmować IT Health Checks, analizy luk w stosunku do udokumentowanych standardów, wewnętrzne kontrole zgodności pracowników oraz zwroty od Właścicieli aktywów informacyjnych.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.