Enterprise Information Security Policy (Statewide)

DTS POLICY 5000-0002.1

Policy Typ: Enterprise
avsnitt/grupp: säkerhet
myndighet: UCA 63F-1-103; UCA 63F-1-206; Utah administrativ kod R895-7 godtagbar användning av informationsteknik resurser

Dokumenthistorik

Originalinlämning

inskickad den: na
inskickad av: Boyd webb, Chief Information security officer
godkänd av: Michael Hussey, CIO
Utgivningsdatum: na
ikraftträdandedatum: Maj 15, 2015

revideringar

senast Reviderad datum: 03/10/2020
senast reviderad av: Ben Mehr
senast godkänd av: Stephanie Weteling

recensioner

recenserat Datum: juli 2021
senast Recenserad av: Ben Mehr
nästa recension: juli 2022

1.0 syfte

denna policy utgör grunden för staten Utah, division of Technology Services Enterprise Security Policy.

1.1 Bakgrund

denna policy utvecklades som svar på en omfattande extern revision som involverade alla verkställande filialer och företagsnätverket. Granskningen avslöjade säkerhetsbrister som inte behandlades korrekt i tidigare policy-och standarddokument.
företagets informationssäkerhetspolicy kommer att utveckla och upprätta väsentliga och korrekta kontroller för att minimera säkerhetsrisken; för att uppfylla krav på Due diligence enligt gällande statliga och federala bestämmelser; för att genomdriva avtalsförpliktelser; och för att skydda staten Utahs elektroniska informations-och informationstekniska tillgångar.

1.2 omfattning

denna policy gäller för alla myndigheter och administrativa underenheter i delstatsregeringen enligt definitionen i UCA 63F-1-102(7) och följande.

1.3 undantag

Chief Information Officer, eller auktoriserad utsedd, kan erkänna att under sällsynta omständigheter kan vissa medarbetare behöva använda system som inte överensstämmer med dessa politiska mål. Chief Information Officer, eller auktoriserad utsedd, måste skriftligen godkänna alla sådana fall.

1.4 Annual Review

för att säkerställa att denna policy är aktuell och effektiv kommer DTS att granska policyn årligen och göra ändringar efter behov.

2.0 definitioner

Byråpolicyer

avdelningar och byråer under staten Utah har befogenhet att upprätta interna policyer relaterade till informationssäkerhetsmål som är specifika för avdelningen eller byrån. Byråns politik måste vara förenlig med företagets informationssäkerhetspolicy, liksom federala och statliga lagstadgade bestämmelser.

tillgänglighet

underhålla användare tillgång till data utan oplanerade avbrott.

Sekretess

konceptet att endast tillåta auktoriserade användare och processer att få tillgång till data som krävs för sina uppgifter.Sekretessen för data och skyddad information är ett av de främsta målen för informationssäkerhetstriaden; inklusive sekretess, integritet och tillgänglighet.

kryptering

kryptografisk omvandling av data (kallad “klartext”) till en form (kallad “chiffertext”) som döljer dataens ursprungliga betydelse för att förhindra att den blir känd eller används av en obehörig person. Om transformationen är reversibel kallas motsvarande reverseringsprocess “dekryptering”, vilket är en transformation som återställer krypterad data till sitt ursprungliga tillstånd.

integritet

principen för att säkerställa fullständighet och noggrannhet av data.

NIST

National Institute for Standards and Technologies

riskbedömning

en process genom vilken risker identifieras och effekterna av dessa risker bestäms. Dessutom kan en process genom vilken kostnadseffektiva säkerhets-/kontrollåtgärder väljs ut genom att kostnaderna för olika säkerhets – /kontrollåtgärder balanseras mot de förluster som skulle förväntas om dessa åtgärder inte hade införts.

3.0 Policy

3.1 Medieskydd

Sammanfattning: Informationssystem fånga, bearbeta och lagra information med hjälp av en mängd olika medier. Denna information finns inte bara på det avsedda lagringsmediet utan också på enheter som används för att skapa, bearbeta eller överföra denna information. Detta media kan kräva särskild disposition för att minska risken för obehörigt röjande av information och för att säkerställa dess konfidentialitet. Effektiv och effektiv hantering av information som skapas, bearbetas och lagras av ett informationssystem under hela sitt liv (från början till bortskaffande) är ett primärt problem för en medieskyddsstrategi.

syfte: staten Utah krävs enligt federala och statliga regelverk för att ge en rimlig försäkran, i proportion till dataens konfidentialitet, att alla digitala, papper och andra icke-elektroniska (t.ex. mikrofilm och magnetband) media som innehåller informationstillgångar måste alltid skyddas från obehörig åtkomst.

politiska mål: staten Utah, avdelningar och byråer måste: skydda informationssystemmedia, både papper och digital; begränsa tillgången till information om informationssystemmedia till auktoriserade användare; och sanera eller förstöra informationssystem media innan bortskaffande eller utsläpp för återanvändning, i enlighet med National Institute of Standards and Technology, särskilda publikationer 800-53 Rev4 MP1-6 (bilaga F-MP, sidan F-119), 800-88.

anställda ska endast använda statligt ägda krypterade medier när de hämtar statliga data som innehåller personligt identifierbar Information, skyddad hälsoinformation, Federal skatteinformation eller straffrättsliga informationstjänster eller andra känsliga data till en flyttbar medieenhet som, men inte begränsat till, USB-enheter, band, cd-skivor och DVD-skivor.

3.2 åtkomstkontroll

sammanfattning: åtkomstkontroll, i en eller annan form, anses av de flesta organisationer vara hörnstenen i deras säkerhetsprogram. De olika funktionerna i fysiska, tekniska och administrativa åtkomstkontrollmekanismer arbetar tillsammans för att konstruera säkerhetsarkitekturen som är så viktig för att skydda en organisations kritiska och känsliga informationstillgångar.

syfte: Administrationen av användaråtkomst till elektronisk information krävs för att tillämpa principerna om minst privilegium och” behöver veta ” och måste administreras för att säkerställa att lämplig nivå av åtkomstkontroll tillämpas för att skydda informationstillgången i varje applikation eller system.

Politiska Mål: Statliga Utah-avdelningar och byråer måste begränsa informationssystemets åtkomst till auktoriserade användare, processer som agerar på uppdrag av auktoriserade användare eller enheter (inklusive andra informationssystem) och till de typer av transaktioner och funktioner som auktoriserade användare får utöva, i överensstämmelse med National Institute of Standards and Technology, specialpublikationer 800-53 Rev4 MP1-6 (bilaga F-MP,sidan F-119), 800-88. Dessutom får endast behöriga användare administrativ åtkomst till arbetsstationer för att ladda ner, installera och köra nya applikationer.

4.0 Policyefterlevnad

staten Utah, avdelningar och byråer, anställda och entreprenörer förväntas följa denna företags säkerhetspolicy. Ytterligare policyer och standarder som utvecklats och genomförts av statliga avdelningar och byråer kan innehålla ytterligare mål eller detaljer, men de måste vara förenliga med de säkerhetsmål som beskrivs i detta policydokument.

5.0 verkställighet

personer som arbetar i någon delstat i Utah avdelning eller byrå som befunnits ha brutit mot denna policy kan bli föremål för rättsliga påföljder som kan föreskrivas av statliga och/eller federala stadgar, regel och/eller reglering.