审查:2022年4月28日,由危机治理
本政策取代题为“教育、合规和补救”的本政策的先前版本。
目的及概述
信息安全项目在确保大学社区对网络安全风险有实际的了解方面发挥着关键作用。资讯保安部在资讯保安政策的指引下,颁布了BU数据保护标准,为在这个复杂的环境中保护数据提供指引和方向。为了有效,信息安全必须就网络风险和标准进行沟通和培训,监控合规性,并纠正问题。
范围
数据保护标准,包括所有子部分,适用于整个波士顿大学的所有物理和电子大学数据。本政策规定了信息安全部门在整个大学范围内培训、监控和修复网络安全问题的责任。
BU信息安全职责
为了提高网络安全意识并确保政策合规,信息安全部将:
- 就网络安全主题向大学提供额外的战略方向和指导,包括根据需要满足标准的要求。
- 为大学社区提供网络安全和标准方面的培训和咨询。
- 按照以下定义进行网络安全政策合规性审查。
- 提醒不遵守标准的个人和组织,并提供额外的培训和咨询服务来纠正问题。
培训计划
波士顿大学信息安全部将开展和/或协调培训项目,旨在通过提高社区对信息安全问题(包括数据保护标准的要求)的认识来指导大学保护敏感信息的努力。
本培训是一般性质的,提供信息安全和法律法规环境的概述,我们在其中运作。它不打算取代可能需要执行特定职责的人员和需要有关这些职责的特定信息的特定法规培训。例如,FERPA的培训现在和现在都是注册办公室的责任。
波士顿大学信息安全部将每年通过电子邮件向波士顿大学的教职员工发送提醒,提供数据保护标准条款的摘要,包括本文件的监控条款。网络安全基础培训,其中包括数据保护标准和额外的信息安全政策,是按需在线提供给任何人在BU社区。
合规监测
BU信息安全和IS&T将采用技术和流程来监控我们的网络安全风险。这些技术和过程可分为几种一般类型:
- 脆弱性管理
IS&T将对连接到大学网络的计算机技术进行例行扫描和审计,以查找可能表明未遵守《安全条例》的漏洞最低保安标准. 一旦发现,信息安全部将通知适当的系统所有者。
- 扫描限制使用数据
IS&T会不时进行电子扫描以定位限制使用大学自有系统的数据。一旦确定,信息安全将确保在标准下保护数据的控制措施是充分的,或者与适当的个人合作,以适当地保护或重新安置数据。
- 事件响应
信息安全维护一个事件响应流程,调查网络安全事件,包括那些可能表明敏感信息泄露的事件。如果在此类调查中发现敏感信息,信息安全部门应修复该暴露,包括根据需要激活大学的数据泄露管理计划。
- 审计
上述网络监测和扫描补充了联合国大学目前为确保其信息技术系统的安全和可靠性所作的努力。它们不会取代或影响其他大学审计要求的范围,也不会影响内部审计进行任何审计或采取或建议任何与审计结果有关的信息安全澳门威尼斯人注册行动的权力。资讯保安活动的目的是教育市民如何安全稳妥地处理大学的业务。
波士顿大学的信息安全和内部审计职能部门应该协同工作,交换信息以支持各自的职能部门。
修复过程
当发现与遵守数据保护标准有关的问题时,信息安全部将:
- 记录不符合的情况。
- 提醒个别所有者或系统管理员发现了什么
- 提供有关遵守数据保护标准的适当信息。培训将在适当或需要时提供。
- 提供咨询,以帮助防止未来的违规行为
- 与组织的个人或代表合作,根据风险的严重程度、客户的业务需求、适当技术的可用性和其他适当的考虑因素,建立补救的时间表。
升级流程
信息安全部门可能会根据不合规的严重程度或检测到的不合规次数,将问题通过管理层升级。在适当的情况下,可以暂停违规帐户对整个系统或特定数据的访问,直到商定并制定补救计划为止。
法律义务
如果IS&T得知数据泄露,大学将通知受数据泄露影响的州或联邦当局或个人,并采取大学认为有必要履行其义务的任何其他澳门威尼斯人注册行动。
重要的
不遵守数据保护标准可能会对个人、组织或波士顿大学造成伤害。未经授权或不可接受地使用大学数据,包括未能遵守这些标准,构成违反大学政策,并可能使用户撤销使用大学数据或信息技术的特权或纪律处分,直至并包括终止雇用。
澳门威尼斯人注册本政策的其他资源
相关的BU政策、程序和指南
- 资料保障标准
- 数据分类策略
- 数据访问管理策略 (本政策取代以前的版本“数据管理指引”)
- 身份和访问管理
- 数据生命周期管理策略 (本政策取代先前题为“资料保障规定”)
- 最低保安标准
- 网络安全培训、合规和补救政策 (当前的网页)
部网站
部资源