91.005: Information Security
Approved
October 26, 2018
Craig Bantz |首席信息官
Chaden Djalali |执行副校长兼教务长
M. Duane Nellis | President
-
Purpose
该政策提供了一个框架,以持续保护和保护newbb电子平台的数据和信息资源,并遵守和维护法律和合同要求.
-
Scope
newbb电子平台的组织单位负责运营技术资源,确保集合组件进行收集, creating, storing, processing, and distributing information, 通常包括硬件和软件, system users, 以及数据本身(“俄亥俄系统”)都是安全管理的. Users (“users”) are defined as faculty; staff; student employees; third party agents, 以及任何其他获得授权的大学附属机构访问敏感数据.
未经授权使用或披露受法律或合同义务保护的数据可能对大学造成损害, members of the university community, 以及以罚款或政府制裁的形式对大学进行处罚. 此类法律或合同义务的例子有《newbb电子》(HIPAA)和支付卡行业数据安全标准(PCI-DSS)。. To properly manage these risks, 用户必须确保他们的电子设备和任何其他创建的资源, collect, store, transmit, 或者处理信息满足最低的信息安全标准.
信息安全办公室(“ISO”)将就关键风险问题向涉及数据和资产保护的主要利益相关者提供建议和咨询, 并建议补救措施,以支持政策91中定义的信息安全风险管理计划(“ISRMP”).006“信息安全风险管理.“俄亥俄系统和数据所有者将负责确保由他们维护的关键任务俄亥俄系统得到充分的风险评估,并接受任何已识别的风险, mitigated, or transferred.
-
Policy
ISO将与利益相关者协商,以定义信息安全标准,以帮助支持和维持适当的信息安全态势. 信息安全治理委员会将在信息技术战略和治理委员会的监督下批准新的标准. 每个标准都确定了数据或IT资源所需的控制, 并分配适当的安全风险级别.
信息安全标准适用于所有拥有的IT数据资源, leased, operated, provided by, 或者以其他方式连接到大学资源. This includes, physical assets such as computers, workstations, external drives, mobile phones, wireless devices, operating systems, software, 申请(免费或由大学承包).
用户需要按照此流程对数据和IT资源newbb电子适当的控制.
数据所有者负责按照策略93中的流程确定数据和IT资源的安全级别.001 “Data classification.“国际标准化组织将提供意见和咨询,以协助遵守规定。. 数据所有者负责newbb电子来自信息安全标准的适当控制, 根据安全级别对数据和IT资源进行分级. 安全级别定义了每个分类必须遵循的最低要求, however, 单位可能需要在此政策之外的额外控制, 因为任何策略都不能要求少于此策略中所指示的控制.
-
Enforcement
俄亥俄州的用户必须向ISO报告不遵守此政策的任何部分(security@ohio).edu).
不遵守本政策或相关信息安全标准的用户可能会被拒绝访问信息技术(“IT”)资源, 并受到纪律处分,直至解雇.
-
Exceptions
此政策的所有例外情况必须在总裁或代表批准之前与ISO正式记录. 政策例外将由ISO定期审查和更新.
Request an exception:
填写《newbb电子》、《newbb电子》和《newbb电子平台》. (http://sws.mediagate-egy.net/oit/security)"
Reviewers
本政策的修订建议应由以下人员进行检讨:
-
Academic Leadership
-
Vice President for Finance & Administration Leadership
-
Faculty Senate
-
Student Senate