大学政策3509

弗吉尼亚法典第23条.第1-1301条，经修正，授予访问委员会制定有关该机构的规则和政策的权力. 第七节.第01(a)(6)条 访客委员会章程 授权校长执行董事会与大学运作有关的政策及程序.

弗吉尼亚法典第23条.1-1000-1028，经修正《bet8体育娱乐入口》

数据合规性所有者 -定义见 信息技术服务标准01.2.IT安全角色 & 责任, 负责监督与捕获相关的数据管理功能的大学员工(通常在单位领导级别), 维护, 以及特定操作区域的数据传播. 他们负责决定在其职权范围内使用机构数据. 数据遵从性所有者了解其数据的遵从性需求, 指定其数据的遵从性级别并批准对其数据的访问. 大学数据合规负责人监督整个大学共享或利用的数据的合规性, 比如人力资源, 金融, 金融援助, 和学生FERPA数据. 部门数据合规负责人监督特定于部门应用程序或系统的数据，而这些数据不是由一个或多个大学数据合规负责人监督的.

信息安全治理、风险和合规(GRC) – A strategic functional unit within the University Information Security Office serving the campus community by assisting with meeting compliance of federal and state regulations; University policies, 标准, and guidelines; and managing potential 安全 risks to the University. GRC团队还寻求为大学领导层提供所需的工具，以做出最能支持大学使命的基于风险的明智决策.

项目管理办公室(PMO) -信息技术服务办公室(ITS)内的一个战略职能单位，促进和推进项目管理原则和服务的信息技术(IT)项目在bet8体育娱乐入口.

服务 -专业服务，包括咨询, 设计, 组织, 管理大学环境，包括访问大学数据, 协助或代表大学员工工作. 就可能购买的软件的保安事宜，谘询有关部门, 确保符合我们的整体安全目标.

软件技术及应用 -计算机程序或一组计算机程序以及处理的相关数据, 商店, 或查阅大学资料, 使用大学系统及资讯科技资源或与之互动. 这些包括, 但不限于, 系统软件, 应用软件, 编程软件, 是否作为软件即服务(基于云计算)交付, 主持, 或本地安装在ODU系统上.

系统合规性负责人 -定义见 信息技术服务标准01.2.IT安全角色 & 责任, 负责操作和维护大学IT系统或监督其职权范围内托管系统的经理或部门负责人. 系统遵从性所有者负责其系统的整体遵从性和安全性.

本政策适用于所有通过大学获得报酬的学术和行政单位的雇员和附属机构的雇员，他们采购软件技术. 员工包括所有员工, 管理员, 教师, 全职或兼职, 以及由大学支付报酬的机密或非机密人员. 附属组织是通过运营协议为大学利益而存在的独立实体，包括基金会, 社区发展公司, 及校友会.

此策略适用于所有软件技术, 应用程序和服务, 包括单次数量, 开源, 商业上可用或独立开发的软件, 确定符合以下一个或多个审查标准的文件, 无论是谁发起收购或资金来源:

• 要求使用大学的资讯科技系统和资源，但在ITS指引中有例外;
• 需要ITS持续维修;
• 收集, 商店, 显示, 或导出个人识别数据, 非公开的个人或财务信息, 受保护的健康信息, 或者学生档案, 或将存储或管理受法律控制的数据(例如. FERPA, HIPAA);
• 与现有企业系统应用程序的接口, 比如MIDAS, 横幅, 课程管理系统, 等.; or
• 对人身安全有影响吗.

注意: 任何不确定是否计划收购或开发软件技术的人, 应用程序, 或服务受本政策约束，请联系信息安全GRC.

解决方案发现分析过程, 在请求部门之间进行协作, 采购, 和它的, 是否有一种方法在扩大采用信息安全审查时应用应有的谨慎. 在完成解决方案安全审查或系统风险评估之前购买系统的情况下, 提出要求的部门仍有责任与资讯保安检讨委员会合作，展开及完成检讨.

软件技术, 应用程序和服务的实施方式应有助于院校的效益和效率，并促进遵守大学的标准. 在采购任何新的软件技术之前, 本策略范围内定义的应用程序或服务, 系统拥有人将与资讯科技服务部(ITS)展开一项评估，以评估与大学现有服务的整合需求, 制度和标准, 以及运营支持要求. 主要目标是确定集成挑战或协调需求, 为启动IT项目收集信息, 协助评估可以利用的冗余服务, 协助维修和成本分析, 促进各利益相关者和运营单位之间的适当对话, 资源规划. 其他好处包括所涉及的特定数据的文档, 获得数据所有者对数据使用的批准, 为共享数据提供适当的合同附录, 并根据ODU IT安全标准支持身份和访问考虑.

部门和行政单位对软件技术的部署作出贡献并分担责任, 应用程序和服务. 具体来说，他们负责:

• 收集有关软件技术、应用程序和服务的资料;
• 在采购前与it项目管理办公室进行软件决策分析;
• 理解信息安全的角色和责任;
• 支持大学的标准和合规;
• conducting ongoing 维护; and
• 管理拥有成本.

it项目管理办公室负责(i)接受和跟踪评审要求，以及(ii)协调及时向部门或行政单位作出回应.

资讯科技服务处负责检讨提交的资料，并与有关部门和行政单位分享调查结果. 检讨将包括:

• 对联邦和州法规以及大学政策的遵守情况进行分析;
• a technical review, including a 安全 review and an integration review when appropriate; and
• 在适当的情况下，进行维护和成本审查.

资讯科技署及提出要求的部门会使用下列标准及指引进行检讨及提出建议:

• 与大学的电脑及网络环境兼容;
• 遵守大学的资讯科技标准 软件决策分析和系统风险分析指南;
• 基于需求评估的适宜性;
• 软件购买的许可合规性;
• hardware and software that can be efficiently supported; and
• 是否有足够的大学资源(包括初始和经常性费用).

审查的结果将是对该技术在大学IT环境中兼容和成功的能力的分析. 如果适用，将提出预防或减轻风险的建议. 不符合ITS建议的软件采购将不得到请求部门副总裁的批准.

请求部门对信息技术软件适用此政策, 系统, 或根据该政策制定的标准计划在bet8体育娱乐入口实施的服务.

1. 考虑计划收购或开发软件技术的部门, 应用程序, 或服务受此政策约束，并应联系IT项目管理办公室，该办公室将启动解决方案发现分析过程.

2. 请求部门收集有关软件的信息并提交一份 ITS解决方案发现分析请求 以协助收集资料. 所需的其他信息包括技术文件, 硬件需求, 供应商的做法, 安全, 咨询, 等. ITS工作人员将根据要求提供咨询. 为了避免不必要的延误，强烈鼓励尽早规划.

3. 信息安全GRC与技术支持人员和/或供应商一起评估信息，以便根据需要进一步澄清审查文件中的特定项目. 完成审查所需的时间可能会根据系统的复杂性以及大学学术和预算周期的时间而有所不同.

4. 评估之后, ITS通过使用相关的附录表格提供了一份摘要，包括是否需要合同保护, 是否需要进一步的架构审查, 是否需要一个资讯科技项目, 识别数据遵从性、所有权和责任.

5. 所要求系统的部门系统合规负责人将在ITS调查结果上签字, 承认作为系统遵从性所有者的安全责任, 当涉及ODU数据时, 数据合规性所有者将签字批准数据的使用以及其他指定的角色，如系统管理员或应用程序管理员.

有关此政策的问题应通过电子邮件发送至信息安全GRC办公室 itsriskandcompliance@dilidally.net.

适用的记录必须保留，然后按照 联邦记录保留时间表.

信息技术服务副总裁兼首席信息官

信息技术应用程序的部署必须遵守以下所有适用的大学政策. 有关与大学政策相关的标准，请参见:

大学政策3500 -电脑资源使用政策

大学政策3502 -信息技术基础设施, 体系结构, 持续经营政策

大学政策3504 -数据管理政策

大学政策3505 -信息技术安全政策

大学政策3508 -信息技术项目管理

信息技术服务计算政策和标准

信息技术服务标准02.3.0 -数据管理 & 分类标准

信息技术服务标准08.1.0 -风险评估标准        

采购事务部采购手册