yritystietojen turvallisuuspolitiikka (osavaltio)
DTS-politiikka 5000-0002.1
toimintatyyppi: yritys
Section/Group: turvallisuus
Authority: UCA 63F-1-103; UCA 63F-1-206; Utahin hallintokoodi R895-7 tietotekniikan hyväksyttävä käyttö resurssit
document History
Original Submission
submitted on: na
submitted by: Boyd Webb, Chief Information security officer
approved by: Michael Hussey, CIO
issue date: na
Effect date: 15.toukokuuta 2015
tarkistuksia
Viimeksi tarkistettu päivämäärä: 03/10/2020
Viimeksi tarkistettu: Ben Mehr
Viimeksi hyväksytty: Stephanie Weteling
arvostelut
tarkistettu päivämäärä: Heinäkuu 2021
Viimeksi tarkistettu: Ben Mehr
Seuraava arvostelu: Heinäkuu 2022
1.0 tarkoitus
tämä politiikka luo perustan Utahin osavaltion teknologiapalvelujen yrityspolitiikan osastolle.
1.1 Tausta
tämä politiikka laadittiin vastauksena kattavaan ulkoiseen tarkastukseen, johon osallistuivat kaikki toimeenpanovirastot ja yritysverkosto. Tarkastuksessa ilmeni turvallisuuspuutteita, joita ei ole asianmukaisesti käsitelty aiemmissa politiikka-ja standardiasiakirjoissa.
yritystietojen Turvapolitiikka kehittää ja ottaa käyttöön olennaisia ja asianmukaisia valvontatoimia turvallisuusriskin minimoimiseksi; täyttää due diligence-vaatimukset sovellettavien osavaltioiden ja liittovaltion säännösten mukaisesti; valvoa sopimusvelvoitteiden noudattamista; ja suojelemaan Utahin osavaltion sähköisiä tieto-ja tietotekniikkavaroja.1.2 soveltamisala
tätä käytäntöä sovelletaan kaikkiin OSAVALTIOHALLINNON virastoihin ja hallinnollisiin alayksiköihin, sellaisina kuin ne on määritelty UCA§: ssä 63F-1-102(7) ja sitä seuraavissa kohdissa.
1.3 poikkeukset
Chief Information Officer tai valtuutettu nimeäjä voi myöntää, että joissakin harvoissa tapauksissa jotkut osakkuusyritykset saattavat joutua käyttämään järjestelmiä, jotka eivät ole näiden poliittisten tavoitteiden mukaisia. Tiedotuspäällikön eli valtuutetun nimeäjän on hyväksyttävä kirjallisesti kaikki tällaiset tapaukset.
1.4 vuosittainen katsaus
varmistaakseen, että tämä politiikka on ajankohtainen ja tehokas, DTS tarkistaa politiikan vuosittain ja tekee tarvittaessa muutoksia.
2.0 määritelmät
Virastopolitiikka
Utahin osavaltion Departementeilla ja virastoilla on toimivalta laatia sisäisiä politiikkoja, jotka liittyvät osaston tai viraston tietoturvallisuustavoitteisiin. Viraston politiikkojen on oltava yhteensopivia yritystietojen turvallisuuspolitiikan sekä liittovaltion ja osavaltion säädösten kanssa.
saatavuus
käyttäjien pääsy tietoihin ilman suunnittelemattomia keskeytyksiä.
luottamuksellisuus
käsite, jonka mukaan vain valtuutetuilla käyttäjillä ja prosesseilla on pääsy tehtäviensä edellyttämiin tietoihin.Tietojen ja suojattujen tietojen luottamuksellisuus on yksi tietoturvakolmikon ensisijaisista tavoitteista; mukaan lukien luottamuksellisuus, eheys ja saatavuus.
salaus
Tietojen salaaminen (ns. “selkeä teksti”) muotoon (ns. “ciphertext”), joka kätkee tiedon alkuperäisen merkityksen estääkseen sitä tuntemasta tai käyttämästä luvattomia henkilöitä. Jos muunnos on palautuva, vastaavaa kääntymisprosessia kutsutaan “salauksen purkamiseksi”, joka on muunnos, joka palauttaa salatun tiedon alkuperäiseen tilaansa.
eheys
tietojen täydellisyyden ja tarkkuuden varmistamisen periaate.
NIST
National Institute for Standards and Technologies
riskinarviointi
prosessi, jolla riskit tunnistetaan ja niiden vaikutus määritetään. Lisäksi prosessi, jossa kustannustehokkaat turva-/valvontatoimenpiteet voidaan valita tasapainottamalla eri turva – /valvontatoimenpiteiden kustannukset tappioihin, joita olisi odotettavissa, jos näitä toimenpiteitä ei olisi käytössä.
3. 0 Politiikka
3.1 Mediasuoja
Yhteenveto: Tietojärjestelmät keräävät, käsittelevät ja tallentavat tietoa monenlaisten medioiden avulla. Nämä tiedot eivät sijaitse ainoastaan tarkoitetuissa tallennusvälineissä vaan myös laitteissa, joita käytetään näiden tietojen luomiseen, käsittelyyn tai siirtämiseen. Tämä media voi vaatia erityistä käsittelyä, jotta voidaan vähentää riskiä tietojen luvattomasta luovuttamisesta ja varmistaa niiden luottamuksellisuus. Tietojärjestelmän tuottaman, käsittelemän ja tallentaman tiedon tehokas ja tehokas hallinta koko sen käyttöiän ajan (alusta hävittämiseen asti) on mediasuojastrategian ensisijainen tavoite.
tarkoitus: Utahin osavaltiota vaaditaan liittovaltion ja osavaltion säädöksissä antamaan tietojen luottamuksellisuuteen suhteutettuna kohtuullinen varmuus siitä, että kaikki digitaaliset, paperiset ja muut ei-sähköiset (kuten mikrofilmit ja magneettinauhat) tietovälineet on suojattava kaikkina aikoina luvattomalta käytöltä.
politiikan tavoitteet: Utahin osavaltio, osastot ja virastot: suojattava tietojärjestelmämedia, sekä paperimedia että digitaalinen; rajoitettava tietojärjestelmämedian tietojen saatavuus valtuutetuille käyttäjille; ja puhdistaa tai tuhota tietojärjestelmän media ennen hävittämistä tai vapauttamista uudelleenkäyttöön, sopusoinnussa National Institute of Standards and Technology, Special Publications 800-53 Rev4 MP1-6 (Appendix F-MP, sivu F-119), 800-88.
työntekijöiden tulisi käyttää vain valtion omistamaa salattua mediaa, kun he lataavat Valtion tietoja, jotka sisältävät henkilökohtaisesti tunnistettavia tietoja, suojattuja terveystietoja, liittovaltion verotietoja tai rikosoikeuden tietopalveluja, tai muita arkaluonteisia tietoja siirrettävälle medialaitteelle, kuten esimerkiksi USB-asemat, nauhat, CD-levyt ja DVD-levyt.
3.2 kulunvalvonta
Yhteenveto: suurin osa organisaatioista pitää pääsynvalvontaa muodossa tai toisessa turvallisuusohjelmiensa kulmakivenä. Fyysisten, teknisten ja hallinnollisten kulunvalvontamekanismien eri ominaisuudet muodostavat yhdessä turvallisuusarkkitehtuurin, joka on niin tärkeä organisaation kriittisten ja arkaluonteisten tietoaineistojen suojaamisessa.
kohde: Sähköisten tietojen käyttöoikeuksien hallinnointia edellytetään pienimmän etuoikeuden ja “need to know” – periaatteen soveltamiseksi, ja sitä on hallinnoitava sen varmistamiseksi, että kussakin sovelluksessa tai järjestelmässä käytetään asianmukaista kulunvalvonnan tasoa tietoaineiston suojaamiseksi.
Poliittiset Tavoitteet: Utahin osavaltion osastojen ja virastojen on rajoitettava tietojärjestelmän pääsy valtuutettuihin käyttäjiin, valtuutettujen käyttäjien puolesta toimiviin prosesseihin tai laitteisiin (mukaan lukien muut tietojärjestelmät) sekä niihin liiketoimiin ja toimintoihin, joita valtuutetuilla käyttäjillä on lupa käyttää,noudattaen National Institute of Standards and Technology, Special Publications 800-53 Rev4 MP1-6 (Appendix F-MP, sivu F-119), 800-88. Lisäksi vain valtuutetuille käyttäjille myönnetään hallinnollinen pääsy työasemille uusien sovellusten lataamista, asentamista ja toteuttamista varten.
4.0 Policy Compliance
State of Utah, Departments and Agencies, employees, and alihankkijat are expected to compliance with this enterprise security policy. Valtionosastojen ja virastojen kehittämiin ja täytäntöön panemiin lisäpolitiikkoihin ja-standardeihin voi sisältyä lisätavoitteita tai-yksityiskohtia, mutta niiden on oltava sopusoinnussa tässä poliittisessa asiakirjassa kuvattujen turvallisuustavoitteiden kanssa.
5.0 täytäntöönpano
henkilöt, jotka työskentelevät missä tahansa Utahin osavaltion departementissa tai virastossa, joiden on todettu rikkoneen tätä käytäntöä, voivat joutua laillisen seuraamuksen alaisiksi, kuten osavaltion ja/tai liittovaltion perussäännössä, säännöissä ja/tai määräyksissä voidaan määrätä.
Leave a Reply