polityka bezpieczeństwa informacji w przedsiębiorstwie (w całym stanie)
Polityka DTS 5000-0002.1
Typ Polityki: Przedsiębiorstwo
sekcja/Grupa: bezpieczeństwo
Urząd: UCA 63F-1-103; UCA 63F-1-206; kod administracyjny Utah R895-7 dopuszczalne wykorzystanie technologii informatycznych zasoby
Historia dokumentów
oryginał
nadesłane dnia: na
nadesłane przez: Boyd Webb, Chief Information security officer
zatwierdzone przez: Michael Hussey, cio
Data Wydania: Na
data wejścia w życie: 15 maja 2015
zmiany
Ostatnia aktualizacja: 03/10/2020
Ostatnia aktualizacja: Ben Mehr
Ostatnia weryfikacja: Stephanie Weteling
recenzje
Data recenzji: lipiec 2021
Ostatnia weryfikacja: Ben Mehr
Następna Recenzja: lipiec 2021
Ostatnia Recenzja: 2022
1.0 cel
niniejsza Polityka stanowi podstawę polityki bezpieczeństwa przedsiębiorstwa w stanie Utah, dział usług technologicznych.
1.1 kontekst
polityka ta została opracowana w odpowiedzi na kompleksowy audyt zewnętrzny obejmujący wszystkie agencje wykonawcze i sieć przedsiębiorstw. Kontrola wykazała niedociągnięcia w zakresie bezpieczeństwa, które nie zostały należycie uwzględnione w poprzednich dokumentach dotyczących polityki i norm.
Polityka Bezpieczeństwa Informacji przedsiębiorstwa opracuje i ustanowi niezbędne i właściwe kontrole w celu zminimalizowania ryzyka bezpieczeństwa; w celu spełnienia wymogów należytej staranności zgodnie z obowiązującymi przepisami stanowymi i federalnymi; w celu egzekwowania zobowiązań umownych; i chronić elektroniczne zasoby informatyczne Stanu Utah.1.2 Zakres
niniejsza polityka ma zastosowanie do wszystkich agencji i podjednostek administracyjnych rządu stanowego zgodnie z definicją UCA §63F-1-102(7) i nast.
1.3 wyjątki
Dyrektor ds. informacji lub upoważniony wyznaczony podmiot może przyznać, że w rzadkich przypadkach niektórzy współpracownicy mogą wymagać stosowania systemów niezgodnych z tymi celami polityki. Chief Information Officer, lub upoważniony wyznaczony, musi zatwierdzić na piśmie wszystkie takie przypadki.
1.4 przegląd roczny
w celu zapewnienia, że polityka ta jest aktualna i skuteczna, DTS będzie dokonywał corocznego przeglądu polityki i wprowadzał zmiany w razie potrzeby.
2.0 definicje
Polityki agencji
departamenty i agencje w stanie Utah mają uprawnienia do ustanawiania wewnętrznych polityk związanych z celami bezpieczeństwa informacji specyficznymi dla departamentu lub agencji. Polityka agencji musi być zgodna z polityką bezpieczeństwa informacji przedsiębiorstwa, a także federalnymi i stanowymi przepisami ustawowymi.
dostępność
utrzymanie dostępu użytkowników do danych bez nieplanowanych przerw.
poufność
koncepcja zezwalania tylko upoważnionym Użytkownikom i procesom na dostęp do danych wymaganych do ich obowiązków.Poufność danych i chronionych informacji jest jednym z głównych celów triady bezpieczeństwa informacji; w tym poufności, integralności i dostępności.
Szyfrowanie
kryptograficzna transformacja danych (zwana “czystym tekstem”) w formę (zwaną “tekstem zaszyfrowanym”), która ukrywa pierwotne znaczenie danych, aby zapobiec ich znajomości lub wykorzystaniu przez nieupoważnioną osobę. Jeśli transformacja jest odwracalna, odpowiedni proces odwracania nazywany jest” deszyfrowaniem”, czyli transformacją, która przywraca zaszyfrowane dane do pierwotnego stanu.
integralność
zasada zapewnienia kompletności i dokładności danych.
NIST
National Institute for Standards and Technologies
Risk Assessment
proces, za pomocą którego identyfikuje się zagrożenia i określa się ich wpływ. Ponadto proces, w ramach którego można wybrać opłacalne środki bezpieczeństwa/kontroli poprzez zrównoważenie kosztów różnych środków bezpieczeństwa/kontroli z stratami, których można by oczekiwać, gdyby środki te nie zostały wdrożone.
3.0 Polityka
3.1 Ochrona Mediów
Podsumowanie: Systemy informatyczne przechwytują, przetwarzają i przechowują informacje za pomocą szerokiej gamy mediów. Informacje te znajdują się nie tylko na zamierzonym nośniku, ale także na urządzeniach używanych do tworzenia, przetwarzania lub przesyłania tych informacji. Media te mogą wymagać specjalnej dyspozycji w celu ograniczenia ryzyka nieuprawnionego ujawnienia informacji i zapewnienia ich poufności. Sprawne i efektywne zarządzanie informacjami tworzonymi, przetwarzanymi i przechowywanymi przez system informatyczny przez cały okres jego istnienia (od powstania do usunięcia) jest podstawowym zagadnieniem strategii ochrony mediów.
cel: ustawa federalna i stanowa wymaga od stanu Utah zapewnienia, proporcjonalnie do poufności danych, że wszystkie nośniki cyfrowe, papierowe i inne nieelektroniczne (takie jak mikrofilmy i taśmy magnetyczne) zawierające zasoby informacyjne muszą być zawsze chronione przed nieautoryzowanym dostępem.
cele polityki: stan Utah, departamenty i agencje muszą: chronić nośniki informacji, zarówno papierowe, jak i cyfrowe; ograniczyć dostęp do informacji na nośnikach informacji dla uprawnionych użytkowników; i dezynfekować lub zniszczyć nośniki systemu informacyjnego przed usunięciem lub wydaniem do ponownego użycia, zgodnie z National Institute of Standards and Technology, Special Publications 800-53 Rev4 MP1-6 (dodatek F-MP, strona F-119), 800-88.
pracownicy powinni korzystać wyłącznie z państwowych zaszyfrowanych mediów podczas pobierania danych państwowych zawierających dane osobowe, chronione informacje zdrowotne, Federalne informacje podatkowe lub usługi informacyjne wymiaru sprawiedliwości w sprawach karnych lub inne poufne dane na wymienne urządzenie multimedialne, takie jak, ale nie wyłącznie, dyski USB, taśmy, płyty CD i DVD.
3.2 Kontrola dostępu
podsumowanie: Kontrola dostępu, w takiej czy innej formie, jest uważana przez większość organizacji za podstawę ich programów bezpieczeństwa. Różne funkcje fizycznych, technicznych i administracyjnych mechanizmów kontroli dostępu współpracują ze sobą w celu skonstruowania architektury bezpieczeństwa tak ważnej w ochronie krytycznych i wrażliwych zasobów informacyjnych organizacji.
: Administrowanie dostępem użytkowników do informacji elektronicznych jest wymagane w celu stosowania zasad najmniejszego przywileju i “potrzeby wiedzy”, i musi być administrowane w celu zapewnienia, że odpowiedni poziom kontroli dostępu jest stosowany w celu ochrony zasobu informacyjnego w każdej aplikacji lub systemie.
Cele Polityki: Departamenty i agencje Stanu Utah muszą ograniczyć dostęp do systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników lub urządzeń (w tym innych systemów informatycznych) oraz do rodzajów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać,zgodnie z National Institute of Standards and Technology, Special Publications 800-53 Rev4 MP1-6 (dodatek F-MP, strona F-119), 800-88. Dodatkowo tylko uprawnieni użytkownicy otrzymają dostęp administracyjny do stacji roboczych w celu pobierania, instalowania i uruchamiania nowych aplikacji.
4.0 zgodność z zasadami
oczekuje się, że departamenty i agencje, pracownicy i wykonawcy będą przestrzegać niniejszej polityki bezpieczeństwa przedsiębiorstwa. Dodatkowe polityki i standardy opracowane i wdrożone przez departamenty i agencje państwowe mogą obejmować dodatkowe cele lub szczegóły, ale muszą być zgodne z celami bezpieczeństwa opisanymi w niniejszym dokumencie dotyczącym polityki.
5.0 egzekwowanie przepisów
osoby pracujące w dowolnym departamencie lub agencji Stanu Utah, które naruszają niniejszą Politykę, mogą podlegać karom prawnym, które mogą być określone w statucie stanowym i/lub federalnym, Regulaminie i/lub przepisach.
Leave a Reply