Enterprise Information Security Policy (Provinciaal)

DTS BELEID 5000-0002.1

Type Beleid: Enterprise
Afdeling/Groep: Beveiligings –
Autoriteit: UCA 63F-1-103; UCA 63F-1-206; (Utah) Administratieve Code R895-7 Aanvaardbaar Gebruik van Informatie Technologie Resources

Document Geschiedenis

Oorspronkelijke Indiening

, Ingediend op: NA
, Ingediend door: Boyd Webb, Chief Information Security Officer
Goedgekeurd door: Michael Hussey, CIO
publicatiedatum: NA
Datum: 15 mei 2015

herzieningen

laatst herzien Datum: 03/10/2020
laatst herzien door: Ben Mehr
laatst goedgekeurd door: Stephanie Weteling

Reviews

Datum beoordeeld: juli 2021
Laatst beoordeeld door: Ben Mehr
volgende beoordeling: juli 2022

1.0 doel

dit Beleid verschaft de basis voor de staat Utah, Division van technology services enterprise security policy.

1.1 Achtergrond

dit beleid werd ontwikkeld naar aanleiding van een uitgebreide externe audit waarbij alle uitvoerende agentschappen en het enterprise network betrokken waren. De controle bracht veiligheidstekortkomingen aan het licht die in eerdere beleids-en normalisatiedocumenten niet naar behoren werden aangepakt.
het Bedrijfsinformatiebeveiligingsbeleid zal essentiële en juiste controles ontwikkelen en invoeren om veiligheidsrisico ‘ s tot een minimum te beperken; om te voldoen aan due diligence-vereisten overeenkomstig de toepasselijke nationale en federale regelgeving; om contractuele verplichtingen af te dwingen; en om de staat Utah ‘ s elektronische informatie en informatietechnologie activa te beschermen.

1.2 toepassingsgebied

dit beleid is van toepassing op alle agentschappen en administratieve subeenheden van de deelstaatoverheid zoals gedefinieerd in UCA §63F-1-102(7), E.V.

1.3 uitzonderingen

de Chief Information Officer, of gemachtigde aangewezen persoon, kan erkennen dat in zeldzame gevallen sommige medewerkers systemen moeten gebruiken die niet in overeenstemming zijn met deze beleidsdoelstellingen. De Chief Information Officer, of de gemachtigde aangewezen persoon, moet al deze gevallen schriftelijk goedkeuren.

1.4 jaarlijkse evaluatie

om ervoor te zorgen dat dit beleid actueel en effectief is, zal DTS het beleid jaarlijks herzien en indien nodig wijzigingen aanbrengen.

2.0 definities

het beleid van de agentschappen

de departementen en agentschappen van de staat Utah hebben de bevoegdheid om intern beleid vast te stellen met betrekking tot informatiebeveiligingsdoelstellingen die specifiek zijn voor het departement of agentschap. Het beleid van het Agentschap moet compatibel zijn met het beleid voor de beveiliging van bedrijfsinformatie, evenals met de wettelijke voorschriften van de federale en de staat.

beschikbaarheid

gebruikers toegang tot gegevens behouden zonder ongeplande onderbrekingen.

vertrouwelijkheid

het concept om alleen geautoriseerde gebruikers en processen toegang te geven tot gegevens die nodig zijn voor hun taken.De vertrouwelijkheid van gegevens en beschermde informatie is een van de primaire doelstellingen van de triade voor informatiebeveiliging, waaronder vertrouwelijkheid, integriteit en beschikbaarheid.

encryptie

cryptografische transformatie van gegevens (“clear text” genoemd) in een vorm (“versleutelde tekst” genoemd) die de oorspronkelijke betekenis van de gegevens verbergt om te voorkomen dat deze bekend zijn of gebruikt worden door een onbevoegde persoon. Als de transformatie omkeerbaar is, wordt het overeenkomstige omkeerproces “decryptie” genoemd, wat een transformatie is die versleutelde gegevens in de oorspronkelijke staat herstelt.

integriteit

het beginsel van het waarborgen van de volledigheid en nauwkeurigheid van gegevens.

NIST

Nationaal Instituut voor normen en technologieën

risicobeoordeling

een proces waarbij risico ‘s worden geïdentificeerd en de impact van die risico’ s worden bepaald. Daarnaast kan een proces worden gekozen waarbij kosteneffectieve beveiligings-/controlemaatregelen kunnen worden gekozen door de kosten van verschillende beveiligings – /controlemaatregelen af te wegen tegen de verliezen die zouden worden verwacht indien deze maatregelen niet zouden worden toegepast.

3.0 Beleid

3.1 Mediabescherming

Samenvatting: Informatiesystemen vastleggen, verwerken en opslaan van informatie met behulp van een breed scala aan media. Deze informatie bevindt zich niet alleen op de bedoelde opslagmedia, maar ook op apparaten die worden gebruikt om deze informatie te maken, te verwerken of te verzenden. Deze media kunnen een speciale beschikking vereisen om het risico van ongeoorloofde openbaarmaking van informatie te beperken en de vertrouwelijkheid ervan te waarborgen. Een efficiënt en effectief beheer van informatie die door een informatiesysteem wordt gecreëerd, verwerkt en opgeslagen gedurende de gehele levensduur (van het begin tot het moment van verwijdering) is een primaire zorg van een mediabeschermingsstrategie.

doel: de staat Utah is krachtens het federale en staatsreglement verplicht een redelijke garantie te bieden, in verhouding tot de vertrouwelijkheid van de gegevens, dat alle digitale, papieren en andere niet-elektronische media (zoals microfilm en magneetbanden) die informatiemiddelen bevatten te allen tijde tegen ongeoorloofde toegang moeten worden beschermd.

beleidsdoelstellingen: staat Utah, departementen en instanties moeten: de media van het informatiesysteem beschermen, zowel op papier als digitaal; de toegang tot informatie over de media van het informatiesysteem beperken tot bevoegde gebruikers; en desinfecteer of vernietig media van het informatiesysteem vóór verwijdering of vrijgave voor hergebruik, in overeenstemming met National Institute of Standards and Technology, Special Publications 800-53 Rev4 MP1-6 (Appendix F-MP, pagina F-119), 800-88.

werknemers mogen alleen versleutelde media in handen van de staat gebruiken bij het downloaden van staatsgegevens die persoonlijk identificeerbare informatie, beschermde gezondheidsinformatie, federale belastinginformatie of strafrechtelijke informatiediensten bevatten, of andere gevoelige gegevens naar een verwijderbaar mediaapparaat zoals, maar niet beperkt tot, USB-drives, tapes, cd ‘s en DVD’ s.

3.2 Toegangscontrole

samenvatting: Toegangscontrole, in een of andere vorm, wordt door de meeste organisaties beschouwd als de hoeksteen van hun beveiligingsprogramma ‘ s. De verschillende kenmerken van fysieke, technische en administratieve toegangscontrolemechanismen werken samen om de beveiligingsarchitectuur te construeren die zo belangrijk is voor de bescherming van de kritieke en gevoelige informatiebronnen van een organisatie.

doel: Het beheer van de toegang van de gebruiker tot elektronische informatie is vereist om de beginselen van de minste privileges en “Need to know” toe te passen, en moet worden beheerd om ervoor te zorgen dat het passende niveau van toegangscontrole wordt toegepast om het informatiebestanddeel in elke toepassing of elk systeem te beschermen.

Beleidsdoelstellingen: State Of Utah afdelingen en agentschappen moeten toegang tot het informatiesysteem beperken tot geautoriseerde gebruikers, processen die handelen namens geautoriseerde gebruikers, of apparaten (met inbegrip van andere informatiesystemen) en de soorten transacties en functies die Geautoriseerde Gebruikers mogen uitoefenen, in overeenstemming met National Institute of Standards and Technology,Special Publications 800-53 Rev4 MP1-6 (Appendix F-MP, pagina F-119), 800-88. Bovendien krijgen alleen geautoriseerde gebruikers administratieve toegang tot werkstations om nieuwe toepassingen te downloaden, te installeren en uit te voeren.

4.0 naleving van het beleid

de staat Utah, afdelingen en agentschappen, werknemers en contractanten worden geacht dit beveiligingsbeleid voor ondernemingen na te leven. Aanvullende beleidsmaatregelen en normen die door overheidsdiensten en-instanties worden ontwikkeld en uitgevoerd, kunnen aanvullende doelstellingen of details bevatten, maar moeten verenigbaar zijn met de beveiligingsdoelstellingen die in dit beleidsdocument worden beschreven.

5.0 handhaving

personen die werkzaam zijn in een departement of Agentschap van de staat Utah waarvan wordt vastgesteld dat zij dit beleid hebben geschonden, kunnen worden onderworpen aan wettelijke sancties zoals die kunnen worden voorgeschreven door staats-en/of federale statuten, regels en/of regelgeving.