Galaxy银河官网安全政策
| 参考号。没有。 |
执行赞助商 |
政策管家 |
审批权限 |
首次批准 |
上次审核 |
生效日期 |
下一条评论 |
| 64.01 |
大学服务和战略副总裁 |
首席Galaxy银河官网官 |
执行委员会 |
二月2019 年 19 日 |
九月2022 年 20 日 |
二月2019 年 19 日 |
九月2027 |
- 用途
- 此政策的目的是:
- 根据 ISO 标准 ISO/IEC 27001:2013 定义Galaxy银河官网资源和Galaxy银河官网系统安全的权限、责任和义务。
- 帮助确保学院实现我们对保护隐私的承诺,并遵守《Galaxy银河官网自由和隐私保护法》、《个人Galaxy银河官网国际披露法》和其他相关立法。
- NSCC Galaxy银河官网安全管理计划 (ISMP) 支持以下目标:
- 开发和实施易于理解和管理的 ISMP。
- 展示管理层对Galaxy银河官网安全的承诺和支持。
- 制定Galaxy银河官网安全方面的行动指令和原则。
- 确保符合法律和立法/监管要求。
- 确保 ISMP 与学院的企业风险管理计划保持一致。
- 对Galaxy银河官网资源和Galaxy银河官网系统进行合理的安全安排是必要的。
- 范围
- 此政策适用于:
- 所有 NSCC 社区成员。
- 所有Galaxy银河官网资源和Galaxy银河官网系统均由 NSCC 保管或控制,无论物理位置如何。
- NSCC 员工使用学院Galaxy银河官网资源和/或Galaxy银河官网系统执行的所有职能/活动。
- 在与其他单位、法人实体或个人(包括但不限于教育、政府、慈善和私营部门组织)接收或共享Galaxy银河官网资源时,必须执行本政策。
| 术语 |
|
| 管理权限 |
任何对单位负有行政责任的个人(例如高级领导论坛 (SLF) 成员)。 |
| 大学社区 |
包括但不限于:社区成员、承包商、员工、教师、行业合作伙伴、NSCC 理事会、学生和/或志愿者。 |
| 社区成员 |
通过居住、参与或隶属关系属于某个社区或被认可为该社区的一部分,并分享该社区的权利、责任和影响的个人。 |
| 承包商 |
根据服务合同(即非雇员-雇主关系)向 NSCC 提供服务的任何个人或公司(及其雇员)。 |
| 员工 |
任何根据雇佣合同为 NSCC 工作或向 NSCC 提供服务的人员。这包括所有员工,无论其身份如何,以及正在休假(带薪/无薪)的现任员工。 |
| 行业合作伙伴 |
与学院合作,在项目、应用研究或劳动力计划的开发、交付或评估方面提供专业知识、资源、安置、反馈或支持的任何外部组织、公司或雇主。 |
| Galaxy银河官网资源 |
学院拥有、明确控制或保管的资产和基础设施,包括但不限于数据、记录、电子服务、网络服务、软件、计算机和Galaxy银河官网系统。 |
| Galaxy银河官网安全办公室 |
数字创新与技术内的一个部门,由学院员工组成,负责协调和管理学院Galaxy银河官网资源的安全。 |
| Galaxy银河官网系统 |
收集、处理、存储、显示、传输和传播Galaxy银河官网的人员、流程、组织、技术、设备和设施。 |
| ISMP |
NSCC Galaxy银河官网安全管理计划。 |
| 最小权限 |
仅向用户帐户授予执行其预期功能所必需的权限。 |
| NSCC 理事会 |
学院的管理机构。
|
| 记录 |
在日常业务运营中创建或接收并保留的文件。这包括但不限于文件、地图、绘图、照片、视频、信件、凭证、文件以及通过图形、电子、机械或其他方式记录或存储Galaxy银河官网的任何其他物品,但不包括计算机程序或任何其他产生记录的机制。 |
| 安全事件 |
Galaxy银河官网安全的某些方面可能受到威胁的任何不利事件,包括但不限于:数据或记录机密性丢失、数据或系统完整性中断、或者可用性中断或被拒绝。 |
| 学生 |
在 NSCC 注册计划和/或注册课程的任何人。 |
| 单位 |
因共同兴趣或目的而联系在一起的一组用户,包括但不限于院系、部门、部门、学校和中心。 |
| 用户 |
使用或访问学院Galaxy银河官网资源的任何个人或单位。 |
| 志愿者 |
任何以无偿身份为 NSCC 工作的人.. |
- 政策
- 大学承诺
我们致力于:
- 确保Galaxy银河官网的机密性、完整性和可用性(CIA)。
- 创建一个安全而开放的计算环境,让大学社区可以教学、学习、开展研究和执行管理职能。
- 学院 ISMP 指导原则
- 主动:学院将采取先发制人的行动,防患于未然。
- 监视器:学院将以电子方式监控网络和连接的Galaxy银河官网系统是否存在潜在的安全隐患,并平衡监控与隐私要求。
- 标准:学院将建立并持续评估和改进Galaxy银河官网安全程序、标准和指南。
- 风险:在评估安全选择时,风险暴露将与风险缓解成本相平衡。
- 制度一致性:Galaxy银河官网安全办公室将为电子Galaxy银河官网资源实施一致的机构范围标准。
- 审核:内部审计将为安全管理流程提供独立的道德和有效性指导。
- 身份验证:安全强制执行适用于身份验证流程和授权角色访问。
- 通用性:每个学院系统用户都有责任理解和应用(如果适用)安全政策和程序。
- 最佳实践:学院将在适当的情况下实施行业认可的安全最佳实践。
- 纵深防御:学院将实施多层次的Galaxy银河官网安全防御。
- 教育:系统用户对安全原则的认识以及这些原则的应用对于安全政策的成功至关重要。
- 回复:学院将酌情对安全事件采取纠正措施。
- 最低权限:学院将在Galaxy银河官网系统的设计和实施中遵循最小特权的概念。
- 角色和职责
大学社区的每个成员都将做出合理的安全安排并保护该成员负责的Galaxy银河官网资源。
- 管理承诺
各级管理层将积极支持和促进Galaxy银河官网安全文化和Galaxy银河官网资源的安全。这包括:
- 支持定期的第三方和内部Galaxy银河官网安全审查,以确定Galaxy银河官网安全政策、流程和程序的有效性,并根据需要进行更新。
- 积极参与组织范围内Galaxy银河官网安全工作的协调。
- 首席Galaxy银河官网官
- 对所有Galaxy银河官网资源和Galaxy银河官网系统的机密性、完整性、可用性 (CIA) 负责。
- 为Galaxy银河官网安全管理计划 (ISMP) 提供战略方向。
- 提高整个大学社区对本政策中成员责任的认识。
- 识别和定义学院的Galaxy银河官网资源。
- 确保在整个学院实施合理的安全安排,并为Galaxy银河官网资源建立可接受的安全风险级别
- 数字创新与技术经理(安全产品组合)
- 确保监控、合规、保护、检测和纠正的流程和资源到位并定期审查。
- 审核与批准/拒绝:
- 网络访问规则或协议的任何更改。
- 任何外部网络访问权限。
- 将建立预先确定的协议来批准或拒绝远程访问请求。
- 管理大学 ISMP,包括政策和程序的制定和持续改进。
- 与内部审计总监和/或第三方合作对学院 ISMP 进行审计。
- 对Galaxy银河官网安全事件响应提供管理监督,并酌情与执法部门联络。
- 根据需要,提出协调和跟踪Galaxy银河官网安全要求的流程和方法。
- 高级证券分析师
- 实施和监控技术安全控制。
- 监控网络是否存在访问控制违规或未经授权的更改。
- 领导Galaxy银河官网安全事件响应。
- 审核用户访问权限。
- 将确认任何外部连接点都是安全的并满足所有网络安全要求。
- 学院领导、经理和主管 (CLF)
- 将确认不再与 NSCC 关联的任何员工、承包商或志愿者不再有权访问任何Galaxy银河官网资源和/或Galaxy银河官网系统。
- 将立即识别任何重大威胁或当前和可能的漏洞,并采取适当的措施纠正问题。
- 将确认Galaxy银河官网安全控制措施已到位、正在发挥作用并且执行情况符合Galaxy银河官网安全政策或与控制措施相关的政策。
- 将提高安全意识。
- 员工
- 将积极参加学院执行团队认为强制性的所有安全培训和演习。
- 将向数字创新与技术部门报告任何可疑的网络安全相关活动,即可疑电子邮件。
- 例外
在情有可原的情况下,本政策要求的例外情况只能由副总裁、大学服务部或首席Galaxy银河官网官批准,并且必须提前获得。
- 合规性
- Galaxy银河官网安全办公室将对涉嫌违反本政策的行为进行调查;建议或实施纠正措施;暂停、禁用、终止或删除对Galaxy银河官网资源的访问;或根据集体协议、学院政策和程序采取其他行动。
- 如果涉嫌违反本政策的行为涉及个人Galaxy银河官网,内部审计总监将在适当情况下与相关学院利益相关者协商,发起调查并可能建议采取适当的行动。
64.02 Galaxy银河官网安全分类程序
64.03 密码管理程序
64.04访问控制程序
64.05物理和环境安全程序
64.06IT 基础设施的物理访问程序
64.07 安全处置或重复使用设备程序
