エンタープライズ情報セキュリティポリシー(州全体)

DTSポリシー5000-0002.1

ポリシータイプ:Enterprise
Section/Group:Security
Authority:UCA63F-1-103;Uca63f-1-206;Utah Administrative Code R895-7Acceptable Use of Information Technologyリソース

文書履歴

元の提出

提出者:NA
提出者:Boyd Webb,最高情報セキュリティ責任者
承認者:Michael Hussey,Cio
発行日:NA
発効日:Na
発行日:NA
発効日:Na
: 2015年5月15日

改訂

最終改訂日:2020/03/10
最終改訂者:Ben Mehr
最終承認者:Stephanie Weteling

レビュー

レビュー日:2021年7月
最終レビュー:Ben Mehr
次のレビュー:7月2022

1.0目的

このポリシーは、ユタ州、技術サービス部門のエンタープライズセキュリティポリシーの基礎を提供します。

1.1背景

このポリシーは、すべての行政府機関と企業ネットワークを含む包括的な外部監査に対応して開発されました。 監査では、以前のポリシーおよび標準文書で適切に対処されていないセキュリティ上の欠陥が明らかになりました。
企業情報セキュリティポリシーは、セキュリティリスクを最小限に抑えるための不可欠かつ適切な管理を開発し、確立します。; そして、ユタ州の電子情報および情報技術資産の状態を保護するために。

1.2範囲

このポリシーは、UCA§63F-1-102(7),et seqで定義されている州政府のすべての機関および行政サブユニットに適用されます。

1.3例外

最高情報責任者または許可された指名者は、まれに、これらのポリシー目標に準拠していないシステムを採用する必要がある場合があるこ 最高情報責任者、または許可された指名人は、そのようなすべての事例を書面で承認しなければなりません。

1.4年次レビュー

このポリシーが最新かつ効果的であることを確認するために、DTSは毎年ポリシーをレビューし、必要に応じて変更を行います。

2.0 定義

機関ポリシー

ユタ州の部門および機関は、部門または機関に固有の情報セキュリティ目標に関連する内部ポリシーを確立する権限を持っています。 機関の方針は、企業の情報セキュリティ方針、および連邦および州の法定規制と互換性がある必要があります。

可用性

計画外の中断なしにユーザーがデータへのアクセスを維持する。

機密性

許可されたユーザーとプロセスのみが職務に必要なデータにアクセスできるようにするという概念。データおよび保護された情報の機密性は、機密性、完全性、および可用性を含む情報セキュリティトライアドの主な目的の1つです。

暗号化

データの暗号化変換（”クリアテキスト”と呼ばれる）は、データの本来の意味を隠す形式（”暗号文”と呼ばれる）に変換され、許可されていない人に知られたり使用されたりすることを防ぎます。 変換が可逆である場合、対応する反転プロセスは、暗号化されたデータを元の状態に復元する変換である「復号化」と呼ばれます。

整合性

データの完全性と正確性を確保する原則。

NIST

国立標準技術研究所

リスク評価

リスクを特定し、それらのリスクの影響を決定するプロセス。 さらに、これらの措置が実施されていない場合に予想される損失に対して、様々なセキュリティ/管理措置のコストをバランスさせることによって、費用対効果の高いセキュリティ/管理措置を選択することができるプロセス。

3.0

3.1 メディア保護

概要: 情報システムは、さまざまなメディアを使用して情報を取得、処理、および保存します。 この情報は、意図された記憶媒体だけでなく、この情報を作成、処理、または送信するために使用されるデバイスにも配置されます。 このメディアは、情報の不正な開示のリスクを軽減し、その機密性を確保するために、特別な処分を必要とする場合があります。 情報システムによって作成、処理、および保存された情報の効率的かつ効果的な管理（開始から廃棄まで）は、メディア保護戦略の主な関心事です。

目的:ユタ州は、連邦および州の規制法令により、データの機密性に比例して、情報資産を含むすべてのデジタル、紙、およびその他の非電子（マイクロフィルムや磁気テープなど）メディアが不正アクセスから常に保護されなければならないことを合理的な保証を提供することを要求されている。

政策目標:ユタ州、各省庁は、紙とデジタルの両方の情報システムメディアを保護し、情報システムメディアに関する情報へのアクセスを許可されたユー; National Institute of Standards and Technology,Special Publications800-53Rev4MP1-6付録F-MP,F-119ページ,800-88と一致して、再利用のために廃棄またはリリースする前に情報システムメディアを消毒または破壊します。

従業員は、個人を特定できる情報、保護された健康情報、連邦税務情報、刑事司法情報サービス、またはその他の機密データを含む州データをusbドライブ、テープ、Cd、Dvd

3.2 アクセス制御

概要:アクセス制御は、ある形式または別の形式で、ほとんどの組織でセキュリティプログラムの基礎と考えられています。 物理的、技術的、および管理上のアクセス制御メカニズムのさまざまな機能は、組織の重要で機密性の高い情報資産の保護において非常に重要なセキ

: 電子情報へのユーザーアクセスの管理は、最小権限と”知る必要がある”という原則を適用するために必要であり、各アプリケーションまたはシステムの情報資産を保護するために適切なレベルのアクセス制御が適用されることを保証するために管理されなければならない。

: ユタ州の部門および機関は、情報システムへのアクセスを、国立標準技術研究所、特別出版物800-53Rev4MP1-6付録F-MP、F-119ページ、800-88に準拠して、許可されたユーザー、許可されたユーザーに代わって行動するプロセス、またはデバイス（他の情報システムを含む）、および許可されたユーザーが行使することが許可されているトランザクションおよび機能の種類に制限する必要があります。 さらに、承認されたユーザーのみが、新しいアプリケーションをダウンロード、インストール、実行するために、ワークステーションへの管理アクセスが許可されます。

4.0 ポリシー遵守

ユタ州では、部門および機関、従業員、および請負業者は、このエンタープライズセキュリティポリシーを遵守することが期待されています。 州の部門および機関によって開発および実装された追加のポリシーおよび標準には、追加の目的または詳細が含まれている場合がありますが、このポ

5.0Enforcement

ユタ州のいずれかの州の部門または機関で働く個人がこのポリシーに違反したことが判明した場合、州および/または連邦の法令、規則、および/ま