Unternehmensinformationssicherheitsrichtlinie (landesweit)
DTS-RICHTLINIE 5000-0002.1
Richtlinientyp: Unternehmen
Abschnitt / Gruppe: Sicherheit
Behörde: UCA 63F-1-103; UCA 63F-1-206; Utah Administrative Code R895-7 Akzeptable Nutzung der Informationstechnologie Ressourcen
Dokumentverlauf
Ursprüngliche Einreichung
Eingereicht am: NA
Eingereicht von: Boyd Webb, Chief Information Security Officer
Genehmigt von: Michael Hussey, CIO
Ausgabedatum: NA
Datum des Inkrafttretens: Mai 15, 2015
Revisionen
Zuletzt überarbeitet am: 03/10/2020
Zuletzt überarbeitet von: Ben Mehr
Zuletzt genehmigt von: Stephanie Weteling
Bewertungen
Überprüft Datum: Juli 2021
Zuletzt überprüft von: Ben Mehr
Nächste Bewertung: Juli 2022
1.0 Zweck
Diese Richtlinie bildet die Grundlage für die Sicherheitspolitik des Bundesstaates Utah, Abteilung für Technologiedienste.
1.1 Hintergrund
Diese Richtlinie wurde als Reaktion auf eine umfassende externe Prüfung entwickelt, an der alle Exekutivagenturen und das Unternehmensnetzwerk beteiligt waren. Die Prüfung ergab Sicherheitsmängel, die in früheren Richtlinien- und Standarddokumenten nicht ordnungsgemäß behoben wurden.
Die Enterprise Information Security Policy wird wesentliche und angemessene Kontrollen entwickeln und einrichten, um das Sicherheitsrisiko zu minimieren; Erfüllung der Sorgfaltspflichten gemäß den geltenden staatlichen und bundesstaatlichen Vorschriften; zur Durchsetzung vertraglicher Verpflichtungen; und um die elektronischen Informationen und informationstechnologischen Vermögenswerte des Staates Utah zu schützen.1.2 Geltungsbereich
Diese Richtlinie gilt für alle Behörden und Verwaltungseinheiten der Landesregierung im Sinne von UCA §63F-1-102(7) ff.
1.3 Ausnahmen
Der Chief Information Officer oder der autorisierte Beauftragte kann anerkennen, dass einige Mitarbeiter unter seltenen Umständen Systeme einsetzen müssen, die diesen Richtlinienzielen nicht entsprechen. Der Chief Information Officer oder der bevollmächtigte Beauftragte muss alle derartigen Fälle schriftlich genehmigen.
1.4 Jährliche Überprüfung
Um sicherzustellen, dass diese Richtlinie aktuell und wirksam ist, überprüft DTS die Richtlinie jährlich und nimmt bei Bedarf Änderungen vor.
2.0 Definitionen
Agenturrichtlinien
Abteilungen und Agenturen im Bundesstaat Utah sind befugt, interne Richtlinien in Bezug auf Informationssicherheitsziele festzulegen, die für die Abteilung oder Agentur spezifisch sind. Die Richtlinien der Agentur müssen mit der Informationssicherheitsrichtlinie des Unternehmens sowie den gesetzlichen Bestimmungen des Bundes und der Länder kompatibel sein.
Verfügbarkeit
Aufrechterhaltung des Benutzerzugriffs auf Daten ohne ungeplante Unterbrechungen.
Vertraulichkeit
Das Konzept, nur autorisierten Benutzern und Prozessen den Zugriff auf Daten zu ermöglichen, die für ihre Aufgaben erforderlich sind.Die Vertraulichkeit von Daten und geschützten Informationen ist eines der Hauptziele der Informationssicherheits-Triade; einschließlich Vertraulichkeit, Integrität und Verfügbarkeit.
Verschlüsselung
Kryptografische Umwandlung von Daten (“Klartext” genannt) in eine Form (“Chiffretext” genannt), die die ursprüngliche Bedeutung der Daten verbirgt, um zu verhindern, dass sie von einer unbefugten Person bekannt oder verwendet werden. Wenn die Transformation reversibel ist, wird der entsprechende Umkehrvorgang als “Entschlüsselung” bezeichnet, bei der verschlüsselte Daten in ihren ursprünglichen Zustand zurückversetzt werden.
Integrität
Der Grundsatz der Gewährleistung der Vollständigkeit und Richtigkeit der Daten.
NIST
Nationales Institut für Normen und Technologien
Risikobewertung
Ein Prozess, durch den Risiken identifiziert und die Auswirkungen dieser Risiken bestimmt werden. Zusätzlich ein Verfahren, bei dem kostengünstige Sicherheits- / Kontrollmaßnahmen ausgewählt werden können, indem die Kosten verschiedener Sicherheits- / Kontrollmaßnahmen gegen die Verluste abgewogen werden, die zu erwarten wären, wenn diese Maßnahmen nicht vorhanden wären.
3.0 Richtlinie
3.1 Medienschutz
Zusammenfassung: Informationssysteme erfassen, verarbeiten und speichern Informationen mit einer Vielzahl von Medien. Diese Informationen befinden sich nicht nur auf den vorgesehenen Speichermedien, sondern auch auf Geräten, die zum Erstellen, Verarbeiten oder Übertragen dieser Informationen verwendet werden. Diese Medien können eine besondere Disposition erfordern, um das Risiko einer unbefugten Offenlegung von Informationen zu verringern und deren Vertraulichkeit zu gewährleisten. Ein effizientes und effektives Management von Informationen, die von einem Informationssystem während seiner gesamten Lebensdauer (von der Gründung bis zur Entsorgung) erstellt, verarbeitet und gespeichert werden, ist ein Hauptanliegen einer Medienschutzstrategie.
Zweck: Der Bundesstaat Utah ist nach Bundes- und Landesgesetzen verpflichtet, im Verhältnis zur Vertraulichkeit der Daten eine angemessene Zusicherung zu geben, dass alle digitalen, Papier- und anderen nicht elektronischen Medien (wie Mikrofilm und Magnetbänder) Medien, die Informationsbestände enthalten, müssen jederzeit vor unbefugtem Zugriff geschützt werden.
Politische Ziele: Staat Utah, Abteilungen und Agenturen müssen: Informationssystem-Medien schützen, sowohl in Papierform als auch digital; Beschränken Sie den Zugriff auf Informationen auf Informationssystem-Medien auf autorisierte Benutzer; und desinfizieren oder zerstören Sie Informationssystemmedien vor der Entsorgung oder Freigabe zur Wiederverwendung gemäß National Institute of Standards and Technology, Special Publications 800-53 Rev4 MP1-6 (Anhang F-MP, Seite F-119), 800-88.
Mitarbeiter sollten nur staatseigene verschlüsselte Medien verwenden, wenn sie staatliche Daten mit personenbezogenen Daten, geschützten Gesundheitsinformationen, Bundessteuerinformationen oder Strafjustizinformationsdiensten oder andere vertrauliche Daten auf ein Wechseldatenträgergerät herunterladen, z. B. USB-Laufwerke, Bänder, CDs und DVDs.
3.2 Zugriffskontrolle
Zusammenfassung: Die Zugriffskontrolle in der einen oder anderen Form wird von den meisten Organisationen als Eckpfeiler ihrer Sicherheitsprogramme angesehen. Die verschiedenen Merkmale physischer, technischer und administrativer Zugriffskontrollmechanismen arbeiten zusammen, um die Sicherheitsarchitektur aufzubauen, die für den Schutz der kritischen und sensiblen Informationsressourcen eines Unternehmens so wichtig ist.
Zweck: Die Verwaltung des Benutzerzugriffs auf elektronische Informationen ist erforderlich, um die Grundsätze der geringsten Berechtigung und des “Wissensbedarfs” anzuwenden, und muss verwaltet werden, um sicherzustellen, dass die entsprechende Zugriffssteuerung zum Schutz des Informationsvermögens in jeder Anwendung oder jedem System angewendet wird.
Politische Ziele: Abteilungen und Behörden des Staates Utah müssen den Zugriff auf Informationssysteme auf autorisierte Benutzer, Prozesse, die im Namen autorisierter Benutzer handeln, oder Geräte (einschließlich anderer Informationssysteme) und auf die Arten von Transaktionen und Funktionen beschränken, die autorisierte Benutzer ausüben dürfen, im Einklang mit National Institute of Standards and Technology, Special Publications 800-53 Rev4 MP1-6 (Anhang F-MP, Seite F-119), 800-88. Darüber hinaus erhalten nur autorisierte Benutzer administrativen Zugriff auf Workstations, um neue Anwendungen herunterzuladen, zu installieren und auszuführen.
4.0 Richtlinienkonformität
Es wird erwartet, dass der Bundesstaat Utah, Abteilungen und Behörden, Mitarbeiter und Auftragnehmer diese Unternehmenssicherheitsrichtlinie einhalten. Zusätzliche Richtlinien und Standards, die von staatlichen Abteilungen und Behörden entwickelt und implementiert werden, können zusätzliche Ziele oder Details enthalten, Sie müssen jedoch mit den in diesem Richtliniendokument beschriebenen Sicherheitszielen kompatibel sein.
5.0 Durchsetzung
Personen, die in einer Abteilung oder Agentur des Bundesstaates Utah arbeiten, die gegen diese Richtlinie verstoßen hat, können gesetzlichen Strafen unterliegen, die durch staatliche und / oder bundesstaatliche Gesetze, Vorschriften und / oder Vorschriften vorgeschrieben sind.
Leave a Reply