Enterprise Information Security Policy (celostátní)

DTS POLICY 5000-0002.1

typ politiky: Enterprise
sekce/skupina: Security
autorita: UCA 63F-1-103; UCA 63F-1-206; Utah Administrative Code R895-7 přijatelné využití zdrojů informačních technologií

historie dokumentů

původní podání

vloženo: na
vložil: Boyd Webb, Chief Information Security Officer
schváleno: Michael Hussey, CIO
datum vydání: na
Datum účinnosti: Květen 15, 2015

revize

poslední revize Datum: 03/10/2020
poslední revize: Ben Mehr
Poslední schválení: Stephanie Weteling

recenze

recenzované Datum: Červenec 2021
poslední recenze: Ben Mehr
další recenze: Červenec 2022

1.0 účel

Tato politika poskytuje základ pro stát Utah, divize technologických služeb podniková bezpečnostní politika.

1.1 pozadí

Tato politika byla vyvinuta v reakci na komplexní externí audit zahrnující všechny výkonné pobočky a podnikovou síť. Audit odhalil bezpečnostní nedostatky, které nebyly řádně řešeny v předchozích dokumentech o politice a normách.
podniková politika bezpečnosti informací vyvine a zavede základní a správné kontroly s cílem minimalizovat bezpečnostní riziko; splnit požadavky na náležitou péči podle platných státních a federálních předpisů; vymáhat smluvní závazky; a chránit majetek státu Utah v oblasti elektronických informací a informačních technologií.

1.2 rozsah

Tato politika se vztahuje na všechny agentury a správní podjednotky státní správy, jak jsou definovány v UCA §63F-1-102(7) a násl.

1.3 výjimky

hlavní informační referent nebo pověřený pověřenec může uznat, že za výjimečných okolností mohou někteří spolupracovníci potřebovat systémy, které nejsou v souladu s těmito cíli politiky. Hlavní informační důstojník, nebo pověřený pověřený, musí písemně schválit všechny takové případy.

1.4 roční přezkum

aby bylo zajištěno, že tato politika je aktuální a efektivní, společnost DTS tuto politiku každoročně přezkoumá a podle potřeby provede změny.

2.0 definice

politiky agentury

oddělení a agentury pod státem Utah mají pravomoc stanovit vnitřní politiky týkající se cílů informační bezpečnosti specifických pro ministerstvo nebo agenturu. Politiky agentury musí být slučitelné s politikou podnikové bezpečnosti informací, stejně jako federální a státní zákonné předpisy.

dostupnost

zachování přístupu uživatelů k datům bez neplánovaných přerušení.

důvěrnost

koncept umožnění přístupu pouze oprávněným uživatelům a procesům k údajům požadovaným pro jejich povinnosti.Důvěrnost údajů a chráněných informací je jedním z hlavních cílů triády informační bezpečnosti; včetně důvěrnosti, integrity a dostupnosti.

šifrování

kryptografická transformace dat (nazývaná “jasný text”) do formy (nazývané “šifrový text”), která skrývá původní význam dat, aby zabránila jejich známosti nebo použití neoprávněnou osobou. Pokud je transformace reverzibilní, odpovídající proces obrácení se nazývá “dešifrování”, což je transformace, která obnovuje šifrovaná data do původního stavu.

integrita

zásada zajištění úplnosti a přesnosti dat.

NIST

Národní institut pro standardy a technologie

hodnocení rizik

proces, kterým jsou identifikována rizika a určuje se dopad těchto rizik. Dále proces, při kterém lze zvolit nákladově efektivní bezpečnostní / kontrolní opatření vyvážením nákladů na různá bezpečnostní / kontrolní opatření proti ztrátám, které by se očekávaly, pokud by tato opatření nebyla zavedena.

3.0 Zásady

3.1 Ochrana Médií

Souhrn: Informační systémy zachycují, zpracovávají a ukládají informace pomocí široké škály médií. Tyto informace jsou umístěny nejen na zamýšleném paměťovém médiu, ale také na zařízeních používaných k vytváření, zpracování nebo přenosu těchto informací. Tato média mohou vyžadovat zvláštní dispozice, aby se snížilo riziko neoprávněného zveřejnění informací a aby byla zajištěna jejich důvěrnost. Efektivní a efektivní správa informací vytvořených, zpracovaných a uložených informačním systémem po celou dobu jeho životnosti (Od počátku až po likvidaci) je primárním zájmem strategie ochrany médií.

účel: stát Utah je podle federálního a státního regulačního statutu povinen poskytnout přiměřenou záruku, v poměru k důvěrnosti údajů, že všechna digitální, papírová a jiná neelektronická média (jako jsou mikrofilmy a magnetické pásky) obsahující informační aktiva musí být vždy chráněna před neoprávněným přístupem.

cíle politiky: stát Utah, oddělení a agentury musí: chránit média informačního systému, papírová i digitální; omezit přístup k informacím o médiích informačního systému oprávněným uživatelům; a dezinfikovat nebo zničit média informačního systému před likvidací nebo uvolněním k opětovnému použití, v souladu s Národním institutem pro normy a technologie, speciální publikace 800-53 Rev4 MP1-6 (Dodatek F-MP, Strana F-119), 800-88.

zaměstnanci by měli používat státní šifrovaná média pouze při stahování státních údajů obsahujících osobní identifikační údaje, chráněné zdravotní informace, Federální daňové informace nebo informační služby trestního soudnictví nebo jakékoli jiné citlivé údaje do vyměnitelného mediálního zařízení, jako jsou mimo jiné USB disky, pásky, CD a DVD.

3.2 řízení přístupu

shrnutí: řízení přístupu v té či oné podobě považuje většina organizací za základní kámen svých bezpečnostních programů. Různé funkce fyzických, technických a administrativních mechanismů řízení přístupu spolupracují na konstrukci bezpečnostní architektury tak důležité pro ochranu kritických a citlivých informačních aktiv organizace.

účel: Správa přístupu uživatelů k elektronickým informacím je povinna uplatňovat zásady nejmenšího oprávnění a “need to know” a musí být spravována, aby byla zajištěna odpovídající úroveň kontroly přístupu k ochraně informačního aktiva v každé aplikaci nebo systému.

Cíle Politiky: Oddělení a agentury státu Utah musí omezit přístup k informačním systémům oprávněným uživatelům, procesům jednajícím jménem oprávněných uživatelů nebo zařízením (včetně jiných informačních systémů) a na typy transakcí a funkcí, které oprávněným uživatelům je povoleno vykonávat,v souladu s Národním institutem pro normy a technologie, speciální publikace 800-53 Rev4 MP1-6 (Dodatek F-MP, Strana F-119), 800-88. Navíc pouze oprávněným uživatelům bude umožněn administrativní přístup k pracovním stanicím za účelem stahování, instalace a spouštění nových aplikací.

4.0 policy Compliance

stát Utah, oddělení a agentury, zaměstnanci a dodavatelé se očekává, že v souladu s touto bezpečnostní politiky podniku. Dodatečné politiky a normy vypracované a prováděné státními útvary a agenturami mohou zahrnovat další cíle nebo podrobnosti, ale musí být slučitelné s bezpečnostními cíli popsanými v tomto politickém dokumentu.

5.0 vynucování

jednotlivci pracující v kterémkoli státě Utah oddělení nebo agentura zjištěno, že porušil tyto zásady mohou být předmětem právních sankcí, které mohou být předepsány státem a / nebo federální zákon, pravidlo, a / nebo nařízení.