Virksomhetens Informasjonssikkerhetspolitikk (Statewide)
DTS-POLICY 5000-0002.1
Policytype: Foretak
Seksjon/Gruppe: Sikkerhet
Myndighet: UCA 63F-1-103; UCA 63F-1-206; Utah Administrativ Kode R895-7 Akseptabel Bruk Av Informasjonsteknologi ressurser
Dokumenthistorikk
Original Innlevering
innsendt PÅ: NA
innsendt av: boyd webb, chief information security officer
godkjent av: Michael Hussey, Cio
Utstedelsesdato: Na
IKRAFTTREDELSESDATO: 15.mai 2015
Revisjoner
Sist Revidert Dato: 03/10/2020
Sist Revidert Av: Ben Mehr
Sist Godkjent Av: Stephanie Weteling
Anmeldelser
Anmeldt Dato: juli 2021
Sist Anmeldt Av: Ben Mehr
neste Anmeldelse: juli 2022
1.0 Formål
Denne Policyen Danner Grunnlaget For Staten Utah, Divisjon For Teknologi Tjenester Enterprise Sikkerhetspolitikk.
1.1 Bakgrunn
denne policyen ble utviklet som svar på en omfattende ekstern revisjon som involverte alle avdelingsbyråer og bedriftsnettverket. Revisjonen avdekket sikkerhetsmangler som ikke var riktig adressert i tidligere policy-og standarddokumenter.
Bedriftens Informasjonssikkerhetspolitikk vil utvikle og etablere viktige og riktige kontroller for å minimere sikkerhetsrisiko; for å møte krav om due diligence i henhold til gjeldende statlige og føderale forskrifter; for å håndheve kontraktsforpliktelser; og for å beskytte Staten Utahs elektroniske informasjons-og informasjonsteknologiske eiendeler.1.2 Scope
denne policyen gjelder for alle byråer og administrative underenheter av statlige myndigheter som definert AV UCA §63F-1-102 (7), et seq.
1.3 Unntak
Chief Information Officer, eller autorisert utpekt, kan erkjenne at under sjeldne omstendigheter kan noen medarbeidere måtte ansette systemer som ikke er i samsvar med disse policymålene. Chief Information Officer, eller autorisert utpekt, må godkjenne skriftlig alle slike tilfeller.
1.4 Årlig Gjennomgang
FOR å sikre at denne policyen er aktuell og effektiv, vil DTS gjennomgå policyen årlig og vil gjøre endringer etter behov.
2.0 Definisjoner
Retningslinjer For Byråer
Avdelinger og byråer under Staten Utah har myndighet til å etablere interne retningslinjer knyttet til informasjonssikkerhetsmål som er spesifikke for avdelingen eller byrået. Byrå politikk må være kompatibel Med Enterprise Information Security Policy, samt føderale og statlige lovbestemmelser.
Tilgjengelighet
Opprettholde brukernes tilgang til data uten uplanlagte avbrudd.
Konfidensialitet
konseptet om bare å tillate autoriserte brukere og prosesser å få tilgang til data som kreves for deres plikter.Konfidensialitet av data og beskyttet informasjon er et av de viktigste målene for informasjonssikkerhetstriaden; inkludert konfidensialitet, integritet og tilgjengelighet.
Kryptering
Kryptografisk transformasjon av data (kalt “klartekst”) til et skjema (kalt “chiffertekst”) som skjuler dataens opprinnelige betydning for å hindre at den blir kjent eller brukt av en uautorisert person. Hvis transformasjonen er reversibel, kalles den tilsvarende reverseringsprosessen “dekryptering”, som er en transformasjon som gjenoppretter krypterte data til sin opprinnelige tilstand.
Integritet
prinsippet om å sikre fullstendighet og nøyaktighet av data.
NIST
Nasjonalt Institutt For Standarder Og Teknologier
Risikovurdering
en prosess der risiko identifiseres og virkningen av disse risikoene bestemmes. I tillegg kan en prosess der kostnadseffektive sikkerhets-/kontrolltiltak kan velges ved å balansere kostnadene ved ulike sikkerhets – / kontrolltiltak mot tapene som ville forventes dersom disse tiltakene ikke var på plass.
3.0 Politikk
3.1 Mediebeskyttelse
Sammendrag: Informasjonssystemer fange, behandle og lagre informasjon ved hjelp av en rekke medier. Denne informasjonen er ikke bare plassert på det tiltenkte lagringsmediet, men også på enheter som brukes til å opprette, behandle eller overføre denne informasjonen. Dette mediet kan kreve spesiell disposisjon for å redusere risikoen for uautorisert avsløring av informasjon og for å sikre konfidensialitet. Effektiv og effektiv styring av informasjon opprettet, behandlet og lagret av et informasjonssystem gjennom hele livet (fra begynnelse til avhending) er en primær bekymring for en mediebeskyttelsesstrategi.
Formål: Staten Utah er pålagt av føderale og statlige regulatoriske vedtekter å gi en rimelig forsikring, i forhold til konfidensialiteten til dataene, at alle digitale, papir og andre ikke-elektroniske (for eksempel mikrofilm og magnetbånd) medier som inneholder informasjonsressurser, må beskyttes til enhver tid fra uautorisert tilgang.
Politiske Mål: Staten Utah, Avdelinger og Etater må: beskytte informasjonssystem media, både papir og digital; begrense tilgangen til informasjon om informasjonssystem media til autoriserte brukere; og rense eller ødelegge informasjonssystem media før avhending eller utgivelse for gjenbruk, i samsvar Med National Institute Of Standards And Technology, Spesielle Publikasjoner 800-53 Rev4 MP1-6 (Vedlegg F-MP, Side F-119), 800-88.
Ansatte skal bare bruke statlig eide krypterte medier når de laster Ned Statlige data som inneholder Personlig Identifiserbar Informasjon, Beskyttet Helseinformasjon, Føderal Skatteinformasjon Eller Informasjonstjenester For Strafferettslige Myndigheter, Eller andre sensitive data til en flyttbar medieenhet som, MEN ikke begrenset TIL, USB-stasjoner, kassetter, Cder og Dvder.
3.2 Tilgangskontroll
Sammendrag: Tilgangskontroll, i en eller annen form, anses av de fleste organisasjoner for å være hjørnesteinen i deres sikkerhetsprogrammer. De ulike funksjonene i fysiske, tekniske og administrative tilgangskontrollmekanismer jobber sammen for å konstruere sikkerhetsarkitekturen som er så viktig for å beskytte organisasjonens kritiske og sensitive informasjonsmidler.
Formål: Administrasjonen av brukertilgang til elektronisk informasjon er nødvendig for å anvende prinsippene om minst privilegium og” behov for å vite”, og må administreres for å sikre at riktig nivå av tilgangskontroll brukes for å beskytte informasjonsressursen i hvert program eller system.
Politiske Mål: State Of Utah Avdelinger og Etater må begrense informasjonssystem tilgang til autoriserte brukere, prosesser som handler på vegne av autoriserte brukere, eller enheter (inkludert andre informasjonssystemer) og til de typer transaksjoner og funksjoner som autoriserte brukere har lov til å utøve, i samsvar Med National Institute Of Standards and Technology, Spesielle Publikasjoner 800-53 Rev4 MP1-6 (Vedlegg F-MP, Side F-119), 800-88. I tillegg vil kun autoriserte brukere få administrativ tilgang til arbeidsstasjoner for å laste ned, installere og kjøre nye applikasjoner.
4.0 Policyoverholdelse
Staten Utah, Avdelinger og Byråer, ansatte og entreprenører forventes å overholde denne sikkerhetspolicyen for bedrifter. Ytterligere retningslinjer og standarder som er utviklet og implementert av Statlige Avdelinger og Byråer, kan inneholde flere mål eller detaljer, men de må være kompatible med sikkerhetsmålene som er beskrevet i dette policydokumentet.
5.0 Håndhevelse
Personer som arbeider i En Hvilken Som Helst Del Av Utah-Avdelingen eller Etat som er funnet å ha overtrådt denne policyen, kan være underlagt juridiske straffer som kan foreskrives av statlig og / eller føderal lov, regel og / eller forskrift.
Leave a Reply