软件决策分析和系统风险评估指南
当前修订或创建日期: 2019年7月25日
的目的 资讯科技标准 是指定要求遵守旧道明大学信息技术政策, 其他大学政策, 以及适用的法律法规. 标准可能包括业务原则, 最佳实践, 技术标准, 迁移和实现策略, 指导设计, 资讯科技的部署及管理.
目的
本指南的目的是支持大学政策3509,并确保基于软件的技术, 应用程序和服务符合大学信息技术的要求, 是否与现有的技术标准和服务兼容, ,以配合资讯科技的发展重点,而不会造成不必要的服务中断或其他风险,影响大学业务的有效运作.
定义
数据所有者 -负责监督与捕获相关的数据管理职能的大学雇员(通常为注册主任或单位主任级别), 维护, 以及特定操作区域的数据传播. 他们负责决定在其职权范围内使用机构数据.
项目管理办公室(PMO) -信息技术服务办公室(ITS)内的一个战略职能单位,促进和推进项目管理原则和服务的信息技术(IT)项目在bet8体育娱乐入口.
软件技术、应用和服务 -计算机程序或一组计算机程序及相关数据,在大学系统和信息技术资源上运行或与之交互. 这些包括, 但不限于, 系统软件, 应用软件, 以及编程软件, 是否作为软件即服务(云)交付, 主持, 或本地安装在ODU系统上.
系统所有者 -负责运营和维护大学IT系统或监督其职权范围内托管系统的经理或部门负责人.
的指导方针
大学政策3509建立了软件技术的实践, 应用程序和服务, 采购前, 提出申请的部门将展开软件决策分析,以评估与大学现有服务的整合需求, 制度和标准, 以及运营支持要求.
大学政策3504, 数据管理政策, 建立对IT安全角色和职责的需求, 及ITS标准01.2.0, IT安全角色和职责, 确立系统所有者为负责大学IT系统或其职权范围内托管系统的操作和维护的人, 包括遵守大学的政策和标准, 管理风险并维护与其系统相关的遵从性. ITS和采购服务支持系统所有者作为他们所监督的系统的管理者.
新购买的
- 用于新购买的软件技术, 应用程序和服务, 请求者可以通过ITS项目管理办公室发起软件决策分析(SDA), 哪些有助于初始信息收集. ITS将协助完成软件决策分析和结果总结,通知系统所有者和其他人员:
- 法规遵从性
- 数据分类
- 当有保证时,记录风险
- 是否需要合同增编,适用哪种合同增编
- 是否需要第三方评估
- 如何处理身份验证和帐户管理
- 是否需要远程接入ODU网络
- 是否可能需要一个智能交通系统项目
- 系统所有者和数据所有者的IT安全角色和责任
- 由系统拥有人及资料拥有人签署
- 当系统所有者的估计得到保证时, 数据拥有人或首席信息安全官(CISO), CISO和首席信息官(CIO)根据业务需求和已识别的风险进行审查和评论,并由负责的副总裁或助理/助理副总裁接受
- 在适当的采购程序和文件完成后, 采购服务部可以执行合同, 附有SDA摘要中规定的适当附录和评估, 一旦该摘要被系统所有者和数据所有者接受, 在系统所有者估计有保证的情况下, 数据所有者和CISO, 首席信息安全官和首席信息官的审查和评论, 并由负责的副总裁或助理副总裁根据业务需求和已识别的风险接受.
- 基于风险的决策可以由系统所有者做出, 与资料拥有人及资讯保安部门合作, 在软件决策分析得到相关方的批准后,采购服务部签订并执行合同. 这包括系统所有者接受对附录的修改,以保护软件决策分析总结中确定的托管数据和剩余风险. 数据所有者有权拒绝共享其管理下的数据.
- If, 在系统所有者的评估中, 数据所有者或CISO, 基于许多因素,这些风险超出了人们认为可以接受的范围, 但是业务需要需要购买该系统, 负责的副校长或助理副校长可以通过签署软件决策分析摘要代表学校接受风险.
- 对于本质上不需要这样的分析的IT采购,可以做出软件决策分析的例外, 或者通过不同的过程进行评审和实施, 如:
- 不涉及云存储保护数据的桌面软件, 无远程访问要求, 并根据适用的ITS标准实施.
- 示例:具有存储在云中的模板的文字处理器
- 学术, 教学或研究桌面软件,不涉及云存储的受保护数据, 无远程访问要求, 并且不引入隐私或安全方面的考虑.
- 订阅SaaS(软件即服务)解决方案,允许访问不涉及ODU共享受保护数据或与ODU系统集成的第三方数据或服务.
- 示例:对用于SCoB业务分析的业务数据的订阅访问
- 不涉及受监管数据且被认为风险较低的SaaS软件可能只会得到最少的文档和合同支持.
- 示例:TeamDynamix或其他不涉及规范数据的托管解决方案
- 由ITS管理的许可软件, 没有云存储数据, 并根据适用的ITS标准实施.
- 商用硬件,如路由器、交换机、机架服务器等. 不需要新的软件组件.
- 软件技术, 不符合《网站登录》标准的服务和系统.
- 不涉及云存储保护数据的桌面软件, 无远程访问要求, 并根据适用的ITS标准实施.
第三方评估 可能是行业标准SOC II类型的报告, 或提供与所涉风险相关的类似保证的报告.
- 所有涉及受监管数据(机密或限制)的系统, 在采购处理和合同执行之前, 系统所有者将在购买前收集第三方评估报告, ITS安全运营部将根据与系统相关的风险进行适当的审查. 将审查受限制系统的报告, 机密系统的报告可能会被审查.
- FERPA的机密资料通常会根据我们的FERPA资料拥有人(http://admdocs.dilidally.net/about/monarchcitizenship/ferpa),则不需要第三方评估.
- 对于数据受限的系统, 此后,系统所有者将每年收集第三方评估, 在任何续约之前, 哪些将由ITS安全部门审核.
- 对于具有机密数据的系统, 在任何续约之前, 系统所有者将在合同续订时收集第三方评估, 哪些可以由ITS安全部门审核, 基于与系统相关的风险程度.
- FERPA的机密资料通常会根据我们的FERPA资料拥有人(http://admdocs.dilidally.net/about/monarchcitizenship/ferpa ),则不需要第三方评估.
系统风险评估 是否与软件决策分析的风险部分相关,并按08完成.01.0风险评估标准.
- 对于在软件决策分析中被归类为受限的新系统, 系统风险评估将在项目阶段由系统所有者在ITS安全运营部门的协助下进行,并在投入生产前完成.
- 对于在软件决策分析中被归类为机密的新系统, 软件决策分析总结将作为系统风险评估.
- 对于低风险系统, 完成完整的系统风险评估是低优先级的,不应影响有效的操作.
- 系统风险评估可以通过提交ITS支持单来请求.
续签
在续签时, 采购服务部将遵循其技术软件更新指南,支持系统所有者续签合同.
如果没有软件决策分析总结或系统风险评估记录, 我们将尽最大努力在续签前进行审核.
- 续订的软件决策分析按照与新购买相同的程序处理.
- 采购事务处可继续续订现有服务,以保持服务的可用性. 在这种情况下, 软件决策分析或系统风险评估将由系统所有者尽快安排,但不迟于合同签订后一年,并将提供给采购服务部门.
标准、程序、指南 & 其他相关资料
- 大学政策3509 -软件决策分析政策
- 采购指南# 11-015:软件年度续订
- ITS标准08.01.0 -风险评估标准
- 它的标准 02.3.0 -数据管理 & 分类标准
历史
日期 | 负责任的政党 | 行动 |
2018年9月 | 资讯保安办事处 | 创建 |
2019年7月 | 资讯保安办事处 | 更新 |