风险评估标准
当前修订或创建日期: 2020年12月1日
的目的 资讯科技标准 is to specify requirements for compliance with bet8体育娱乐入口 Information 技术 policies, 其他大学政策, 以及适用的法律法规. 标准可能包括业务原则, 最佳实践, 技术标准, 迁移和实现策略, 指导设计, 资讯科技的部署及管理.
目的
的 purpose of this standard is to establish responsibilities and the process for documenting system risk assessments.
定义
BIA即时系统 是三年一度的业务影响分析(BIA)中描述的信息技术系统, 集中维护,供大学使用, and are considered to require immediate recovery (1-3 business days) in support of the University's mission.
保密系统 are systems that store or process data that is not explicitly defined as restricted data and is not intended to be made publicly available. Confidential data is distributed on a need-to-know basis between members of the University staff, IT系统, 以及授权的特定第三方. Unauthorized exposure of this information could violate state and federal laws and/or can adversely affect the University as a whole or in part or the interests of individuals associated with the University. 保密数据只有在获得数据所有者许可的情况下才可能披露给第三方.
本应被视为公开的文件含有机密成分, 整个档案可视为机密资料.
Data 定义为 表示的信息资产, 但不限于, 单个数据元素, 列表, 地址, 文档, 图片, 测量样品, 项目, 程序源代码, 声音的录音, 数据的聚合, 或其他数字格式的信息. 有形物体中的数据, 典型的纸, 是否被排除在本保单之外, 但须遵守大学的其他政策, 包括, 但不限于, 档案管理及保密政策.
数据所有者 is the individual responsible for the practice decisions of data and for approval of access to the data.
资讯保安办事处 is the unit within the Office of 资讯科技服务 (ITS) responsible for overseeing efforts to protect ODU's computing and information assets and to assist in compliance efforts with information-related laws, 规定, 和政策.
受限制的系统 包含数据的系统是否 may be subject to disclosure laws requiring careful management and protection to ensure their integrity, 适当的访问, 和可用性. 这一信息必须保密,不得泄露. 未经授权暴露这些信息可能导致身份盗窃, 金融诈骗, 违反州和/或联邦法律. Unauthorized disclosure of this data could adversely affect the University or the interests of individuals and organizations associated with the University. 包含受限数据的系统必须得到信息安全官的批准.
风险的治疗方法 包括确定处理不可接受风险的选择范围, 评估这些选择, 准备风险处理计划并实施.
风险 这些因素会影响安全性吗, 可用性, 确保大学主要信息资产和系统的完整性.
敏感的系统 is a classification given to Restricted IT系统 in which the loss to confidentiality of the system or data could have a material adverse effect on the University interests or the privacy to which individuals are entitled. Systems will be designated to be either Restricted or Confidential based on the sensitivity of the data.
系统- 指的是组件(硬件)的集合, 软件, 人员, data, 和/或配置)提供服务或实现业务用例, 无论它在哪里托管或由谁管理.
系统设计变更 定义为对单个系统组件的任何更改组合, 或者对软件进行重大修改, 硬件, or database components that effectively change the way the system operates or responds to the user. 更改包括操作系统更改, 使用的数据库类型, changes to underlying processes such as the use of new scripting language or web development platform, 一个完整的硬件生命周期改变, 托管提供商的更改, 将提供给托管提供商的数据更改为更敏感的数据类型, 或者对正在使用的身份验证系统进行更改
系统风险评估 整个系统过程是否有风险分析和风险评价, 以及风险处理的识别. 它也是需要作为文件的报告的名称.
系统所有者 管理人员是否负责大学资讯科技系统的运作及维修, 无论是本地系统还是托管系统, 服务或应用程序.
标准声明
责任
的 资讯保安办事处 in 资讯科技服务 assists 系统所有者 in understanding system risk assessments, 并提供了标准的表格和说明, 审核所有系统风险评估并保留文件, reviews industry standards and activities of relevant organizations in order to improve the risk assessment process.
的 系统所有者 is responsible for documenting and maintaining the system risk assessment information for systems owned, 并被授权执行履行这一职能所必需的一切任务.
的 数据所有者 is responsible for classifying the data on the IT system as Confidential or Restricted 如果有任何 type of data handled by the system has a sensitivity of high or medium on the criteria of confidentiality, 根据数据的敏感性定义对数据的保护要求, 任何法律或法规要求, 商业需求. Availability and Integrity are defined by the BIA designation for Recovery Point Objective and Recovery Time Objective, 并反映在系统风险评估和大学BIA中.
系统风险评估
系统风险分析和风险评价的整体过程, 以及风险处理的识别, is formally documented in the 系统风险评估 (SRA) and the Software Decision Analysis (SDA) that are drafted by the system owners and reviewed by the ITS 资讯保安办事处.
新的IT系统将执行SDA,以确定系统分类. 对于分类为受限的系统, 在系统投入生产之前,必须完成系统风险评估. 对于分类为机密的系统, SDA将作为初始风险评估,允许系统投入生产, 系统风险评估可在年度风险评估评审周期内完成.
所有系统所有者, 与资料拥有人合作, must conduct and document an information security risk assessment or SDA of IT系统 they own or manage as noted below:
- 在系统投入生产,为大学提供服务之前,以及
- 每当系统设计发生变化时,可能会改变与分类相关的风险, 环境, 或操作,并可能影响保密性, 系统的完整性或可用性. 如果发生了此类更改,应通知数据所有者.
- 在托管系统的合同更新时.
- 限制系统和BIA即时系统每年一次.
- Systems may be combined into a single system risk assessment when warranted based combined risks and controls.
受限系统和BIA即时系统
系统所有者 of Restricted or BIA Immediate systems must review and update their system risk assessment annually, 当系统设计发生变化时, 当系统所有权发生变化时, 以及托管服务的续约合同.
保密系统
系统所有者 of confidential systems must review and update their system risk assessment or SDA 当系统设计发生变化时, 或者当系统所有权发生变化时, 以及托管服务的续约合同.
系统风险评估文件
系统所有者, 与资料拥有人合作, 必须完成或更新系统风险评估, 信息安全办公室提供的表格,包括, 至少, 识别评估过程中发现的所有风险, 主要发现, 风险缓解建议, 如果有任何, 并可能以SDA的形式出现, 包括指定的合规性要求, 安全责任, 以及数据所有者的签字, 除非系统风险评估被认为是必要的.
All information collected or used as a part of the system risk assessment process must be formally documented and securely maintained. New or updated 系统风险评估 are provided to the 资讯保安办事处r upon completion.
风险处理
应采取风险处理措施以减轻已确定的高风险或不可接受的风险, 使用适当的管理方法, 技术和物理安全控制.
In the event any assessment identifies inadequate controls or a lack of compliance with controls, 将进行风险处理, 向上级领导汇报, and tracked until compliance is achieved or mitigating controls have been established and implemented. Risk treatments should take account of the legal-regulatory and private certificatory requirements; the organizational objectives, operational requirements and constraints; and the costs associated with implementation and operation relative to risks being reduced.
风险处理决策必须有正式的文件和安全的维护. 风险处理决定在完成后提供给信息安全官.
外部方
外部方, 包括合作伙伴, 供应商及承办商, 是否负责管理所访问的信息资产的风险, 加工过的, communicated with in accordance with the contract and any guidelines provided by the 资讯保安办事处.
援助
This 资讯保安办事处 is available to assist 系统所有者 in understanding the process and completing the 系统风险评估 or SDAs.
程序,指导方针 & 其他相关资料
历史
|
日期 |
负责任的政党 |
行动 |
|
2008年10月 |
CIO / ITAC |
创建 |
|
2009年10月 |
CIO / ITAC |
重申 |
|
2010年10月 |
CIO / ITAC |
重申 |
|
2011年10月 |
CIO / ITAC |
重申 |
|
2012年9月 |
CIO / ITAC |
修改后的 |
|
2012年12月 |
资讯科技政策办事处 |
Numbering revised; Security Office revisions |
|
2012年3月 |
CIO / ITAC |
重申 |
| 2017年12月 | CIO / ITAC | 修改后的 |
| 2020年12月 | 资讯科技政策办事处 | 重申 |