Enterprise Information Security Policy (landsdækkende)

DTS POLICY 5000-0002.1

Politiktype: Enterprise
sektion/gruppe: Security
myndighed: UCA 63F-1-103; UCA 63F-1-206; Utah Administrative Code R895-7 acceptabel brug af informationsteknologi ressourcer

Dokumenthistorik

Original indsendelse

indsendt den: na
indsendt af: Boyd, Chief Information Security Officer
godkendt af: Michael Hussey, CIO
Udstedelsesdato: na
ikrafttrædelsesdato: Maj 15, 2015

revisioner

Sidst revideret Dato: 03/10/2020
Sidst revideret af: Ben Mehr
sidst godkendt af: Stephanie vådning

anmeldelser

anmeldt Dato: Juli 2021
Sidst revideret af: Ben Mehr
næste anmeldelse: Juli 2022

1.0 formål

denne politik danner grundlaget for staten Utah, Division of Technology Services Enterprise Security Policy.

1.1 baggrund

denne politik blev udviklet som svar på en omfattende ekstern revision, der involverede alle udøvende filialagenturer og virksomhedsnetværket. Revisionen afslørede sikkerhedsmangler, der ikke blev behandlet korrekt i tidligere politik-og standarddokumenter.
Enterprise Information Security Policy vil udvikle og etablere væsentlige og korrekte kontroller for at minimere sikkerhedsrisikoen; at opfylde due diligence-krav i henhold til gældende statslige og føderale regler; at håndhæve kontraktlige forpligtelser; og for at beskytte staten Utahs elektroniske informations-og informationsteknologiaktiver.

1.2 Scope

denne politik gælder for alle agenturer og administrative underenheder af statsregeringen som defineret af UCA kar 63F-1-102(7), FF.

1.3 undtagelser

Chief Information Officer eller autoriseret udpeget kan anerkende, at nogle medarbejdere under sjældne omstændigheder muligvis skal anvende systemer, der ikke er i overensstemmelse med disse politiske mål. Chief Information Officer, eller autoriseret udpeget, skal skriftligt godkende alle sådanne tilfælde.

1.4 årlig gennemgang

for at sikre, at denne politik er aktuel og effektiv, vil DTS gennemgå politikken årligt og foretage ændringer efter behov.

2.0 definitioner

Agenturpolitikker

afdelinger og agenturer under staten Utah har myndighed til at etablere interne politikker relateret til informationssikkerhedsmål, der er specifikke for afdelingen eller agenturet. Agenturets politikker skal være forenelige med virksomhedens informationssikkerhedspolitik samt føderale og statslige lovbestemmelser.

tilgængelighed

vedligeholdelse af brugere adgang til data uden uplanlagte afbrydelser.

fortrolighed

begrebet kun at tillade autoriserede brugere og processer at få adgang til data, der kræves til deres opgaver.Fortroligheden af data og beskyttede oplysninger er et af de primære mål for informationssikkerhedstriaden; herunder fortrolighed, integritet og tilgængelighed.

kryptering

Kryptografisk transformation af data (kaldet “klar tekst”) til en form (kaldet “krypteringstekst”), der skjuler dataens oprindelige betydning for at forhindre, at de bliver kendt eller brugt af en uautoriseret person. Hvis transformationen er reversibel, kaldes den tilsvarende reverseringsproces” dekryptering”, som er en transformation, der gendanner krypterede data til dens oprindelige tilstand.

integritet

princippet om at sikre fuldstændighed og nøjagtighed af data.

NIST

National Institute for Standards and Technologies

risikovurdering

en proces, hvorved risici identificeres, og virkningen af disse risici bestemmes. Derudover kan en proces, hvor omkostningseffektive sikkerheds-/kontrolforanstaltninger vælges ved at afveje omkostningerne ved forskellige sikkerheds – /kontrolforanstaltninger mod de tab, der kunne forventes, hvis disse foranstaltninger ikke var på plads.

3.0 Politik

3.1 Mediebeskyttelse

Oversigt: Informationssystemer fanger, behandler og gemmer information ved hjælp af en lang række medier. Disse oplysninger findes ikke kun på det tilsigtede lagringsmedie, men også på enheder, der bruges til at oprette, behandle eller transmittere disse oplysninger. Dette medie kan kræve særlig disposition for at mindske risikoen for uautoriseret videregivelse af oplysninger og for at sikre fortroligheden. Effektiv og effektiv styring af information oprettet, behandlet og opbevaret af et informationssystem i hele dets levetid (fra start til bortskaffelse) er et primært anliggende for en mediebeskyttelsesstrategi.

formål: staten Utah er forpligtet af føderale og statslige lovgivningsmæssige vedtægter til at give en rimelig sikkerhed, i forhold til fortroligheden af dataene, at alle digitale, papir og andre ikke-elektroniske (såsom mikrofilm og magnetbånd) medier, der indeholder informationsaktiver, skal til enhver tid beskyttes mod uautoriseret adgang.

politiske mål: staten Utah, afdelinger og agenturer skal: beskytte informationssystemmedier, både papir og digital; begrænse adgangen til information om informationssystemmedier til autoriserede brugere; og desinficere eller ødelægge informationssystemmedier inden bortskaffelse eller frigivelse til genbrug, i overensstemmelse med National Institute of Standards and Technology, særlige publikationer 800-53 Rev4 MP1-6 (tillæg F-MP, side F-119), 800-88.

medarbejdere bør kun bruge statsejede krypterede medier, når de henter statsdata, der indeholder personligt identificerbare oplysninger, beskyttede sundhedsoplysninger, føderale skatteoplysninger eller strafferetlige informationstjenester eller andre følsomme data til en flytbar medieenhed såsom, men ikke begrænset til, USB-drev, bånd, cd ‘er og dvd’ er.

3.2 adgangskontrol

oversigt: adgangskontrol, i en eller anden form, anses af de fleste organisationer for at være hjørnestenen i deres sikkerhedsprogrammer. De forskellige funktioner i fysiske, tekniske og administrative adgangskontrolmekanismer arbejder sammen om at konstruere den sikkerhedsarkitektur, der er så vigtig i beskyttelsen af en organisations kritiske og følsomme informationsaktiver.

formål: Administrationen af brugeradgang til elektronisk information er forpligtet til at anvende principperne om mindst privilegium og “behov for at vide” og skal administreres for at sikre, at det passende niveau af adgangskontrol anvendes til at beskytte informationsaktivet i hver applikation eller system.

Politiske Mål: State of Utah afdelinger og agenturer skal begrænse informationssystemadgang til autoriserede brugere, processer, der handler på vegne af autoriserede brugere eller enheder (herunder andre informationssystemer) og til de typer transaktioner og funktioner, som autoriserede brugere har tilladelse til at udøve,i overensstemmelse med National Institute of Standards and Technology, særlige publikationer 800-53 Rev4 MP1-6 (Appendiks F-MP, side F-119), 800-88. Derudover får kun autoriserede brugere administrativ adgang til arbejdsstationer for at hente, installere og udføre nye applikationer.

4.0 overholdelse af politikker

staten Utah, afdelinger og agenturer, medarbejdere og entreprenører forventes at overholde denne virksomhedssikkerhedspolitik. Yderligere politikker og standarder, der er udviklet og implementeret af statslige afdelinger og agenturer, kan omfatte yderligere mål eller detaljer, men de skal være forenelige med de sikkerhedsmål, der er beskrevet i dette politikdokument.

5.0 håndhævelse

personer, der arbejder i en hvilken som helst stat i Utah-afdeling eller-agentur, der viser sig at have overtrådt denne politik, kan være underlagt juridiske sanktioner, som det kan foreskrives af statslige og/eller føderale vedtægter, regel og/eller regulering.