기업 정보 보안 정책(주 전체)

정책 5000-0002.1

정책 유형:기업
섹션/그룹:보안
권한:자료

문서 이력

원본 제출

제출:나
제출:보이드 웹,최고 정보 보안 책임자
승인:마이클 허시,나
발행일:나
발효일: 2015 년 5 월 15 일

개정

최종 개정일:2020 년 3 월 10 일
최종 개정일:벤 메르
최종 승인일:스테파니 웨텔 링

리뷰

검토일:2021 년 7 월
최종 검토일:벤 메르
다음 검토일:7 월 2022

1.0 목적

이 정책은 기술 서비스 기업 보안 정책 부문 유타주의 기반을 제공합니다.

1.1 배경

이 정책은 모든 행정부 기관 및 기업 네트워크를 포함하는 포괄적 인 외부 감사에 대한 응답으로 개발되었습니다. 감사는 이전 정책 및 표준 문서에서 제대로 해결되지 않은 보안 결함을 밝혀 냈습니다.
기업 정보 보안 정책 개발 및 보안 위험을 최소화 하기 위해 필수적이 고 적절 한 컨트롤을 설정;적용 가능한 주 및 연방 규정에 따라 실사 요구 사항을 충족;계약상의 의무를 집행; 그리고 유타의 전자 정보 및 정보 기술 자산의 상태를 보호 할 수 있습니다.

1.2 범위

이 정책은 주정부의 모든 기관 및 행정단위에 적용된다.

1.3 예외

최고 정보 책임자 또는 승인 된 지명자는 드문 경우이지만 일부 동료는 이러한 정책 목표를 준수하지 않는 시스템을 사용해야 할 수도 있음을 인정할 수 있습니다. 최고 정보 책임자 또는 공인 된 지명자는 그러한 모든 경우를 서면으로 승인해야합니다.

1.4 연차 검토

이 정책이 현재적이고 효과적인지 확인하기 위해,연방정부는 매년 정책을 검토하고 필요에 따라 변경할 것이다.

2.0 정의

기관 정책

유타 주 하의 부서 및 기관은 부서 또는 기관에 특정한 정보 보안 목표와 관련된 내부 정책을 수립할 권한이 있습니다. 기관 정책은 기업 정보 보안 정책뿐만 아니라 연방 및 주 법정 규정과 호환되어야합니다.

가용성

사용자가 계획되지 않은 중단 없이 데이터에 대한 액세스를 유지 관리합니다.

기밀 유지

권한있는 사용자와 프로세스가 자신의 업무에 필요한 데이터에 액세스 할 수 있도록하는 개념.데이터 및 보호 정보의 기밀성은 기밀,무결성 및 가용성을 포함하여 정보 보안 트라이어드의 주요 목표 중 하나입니다.

암호화

데이터 암호화(“일반 텍스트”라고 함)를 형식(“암호문”이라고 함)으로 변환하여 데이터의 원래 의미를 숨겨 허가받지 않은 사람이 알거나 사용하지 못하도록 합니다. 변환이 되돌릴 수 있는 경우 해당 반전 프로세스를”암호 해독”이라고 하며,이는 암호화된 데이터를 원래 상태로 복원하는 변환입니다.

무결성

데이터의 완전성과 정확성을 보장하는 원칙.위험 평가

위험을 식별하고 그 위험의 영향을 결정하는 프로세스. 또한,다양한 보안/통제 조치의 비용을 이러한 조치가 이루어지지 않을 경우 예상되는 손실과 균형을 맞춤으로써 비용 효율적인 보안/통제 조치를 선택할 수 있습니다.

3.0 정책

3.1 미디어 보호

요약: 정보 시스템은 다양한 미디어를 사용하여 정보를 캡처,처리 및 저장합니다. 이 정보는 의도된 저장 매체뿐만 아니라 이 정보를 생성,처리 또는 전송하는 데 사용되는 장치에도 있습니다. 이 매체는 정보의 무단 공개 위험을 완화하고 기밀성을 보장하기 위해 특별한 처분을 요구할 수 있습니다. 정보 시스템에 의해 생성,처리 및 저장된 정보의 효율적이고 효과적인 관리(처음부터 폐기까지)는 미디어 보호 전략의 주요 관심사입니다.

목적:유타주는 데이터의 기밀성에 비례하여 정보 자산을 포함하는 모든 디지털,종이 및 기타 비 전자 매체(예:마이크로 필름 및 자기 테이프)가 무단 액세스로부터 항상 보호되어야한다는 합리적인 보증을 제공하기 위해 연방 및 주 규제 법령에 의해 요구됩니다.

정책 목표:유타주,부서 및 기관은 종이와 디지털 모두 정보 시스템 미디어를 보호해야 합니다.; 폐기 또는 재사용을 위해 방출하기 전에 정보 시스템 매체를 살균 또는 파괴 할 것.,국립 표준 기술 연구소,특별 간행물 800-53 개정판 800-88(부록,페이지 119).

직원은 개인 식별 정보,보호된 건강 정보,연방 세금 정보 또는 형사 사법 정보 서비스 또는 기타 민감한 데이터가 포함된 주 데이터를 이동식 미디어 장치에 다운로드할 때만 국영 암호화된 미디어를 사용해야 합니다.

3.2 액세스 제어

요약:대부분의 조직에서는 액세스 제어를 보안 프로그램의 초석으로 간주합니다. 물리적,기술적 및 관리적 액세스 제어 메커니즘의 다양한 기능은 조직의 중요하고 중요한 정보 자산을 보호하는 데 매우 중요한 보안 아키텍처를 구성하기 위해 함께 작동합니다.

목적: 전자 정보에 대한 사용자 액세스 관리는 최소 권한 및”알아야 할”원칙을 적용해야하며 각 응용 프로그램 또는 시스템의 정보 자산을 보호하기 위해 적절한 수준의 액세스 제어가 적용되도록 관리해야합니다.

정책 목표: 유타주 부서 및 기관은 정보 시스템 접근을 허가된 사용자,허가된 사용자를 대리하는 프로세스 또는 장치(기타 정보 시스템 포함)에 대한 정보 시스템 접근을 제한해야 하며,허가된 사용자가 행사할 수 있는 거래 유형 및 기능에 대한 액세스를 제한해야 합니다. 또한 새 응용 프로그램을 다운로드,설치 및 실행하기 위해 권한이 있는 사용자만 워크스테이션에 대한 관리 액세스 권한을 부여받습니다.

4.0 정책 준수

유타주,부서 및 기관,직원 및 계약자는 이 엔터프라이즈 보안 정책을 준수해야 합니다. 주정부 부서 및 기관에서 개발 및 시행하는 추가 정책 및 표준에는 추가 목표 또는 세부 사항이 포함될 수 있지만 이 정책 문서에 설명된 보안 목표와 호환되어야 합니다.

5.0 시행

본 정책을 위반한 것으로 판명된 유타주 부서 또는 기관에서 근무하는 개인은 주 및/또는 연방 법령,규칙 및/또는 규정에 따라 법적 처벌을 받을 수 있습니다.