它的政策框架

它的政策框架

UCC logo

打印

版本号: 1.0

修订日期: 星期三,2017年8月23日9点29分00秒IST

保单持有人: IT服务总监


政策内容


1。目的

1.1背景

该大学的努力,在任何时候,以确保一致的,高质量的实施和管理其IT资源,流程和做法。定义明确的政策,程序和标准的全面框架,需要促进和确保这一点。正式这政策的必要性已经凸显的风险管理流程,并为大学内部控制框架。这一点,政策是在满足和支持这些要求的关键因素。

在制定大学的IT策略,程序和标准,适当考虑并已考虑到了ISO 27000系列标准已通过ISO专门保留(国际标准组织)的信息安全问题。这并不意味着大学致力于成为符合相关ISO信息安全标准,因为这所有方面不会在所有情况下适当。然而,它的目的是,大学必然渴望实现的政策,标准,哪些是有标准的关键方面一致的程序。

1.2宗旨和目标

这一政策的目的是为所有其他IT政策和程序提供上下文。它会记录:

  • 它的政策,概述了这些政策在其中,他们开发的精神为宗旨的高层次描述;
  • 常见术语的定义;
  • 角色和职责;
  • 支持政策和程序;
  • 有关法规;
  • 其他相关信息。

回到顶部

2政策范围

该政策涉及政策和有关程序的文档:

  • 该大学的信息资产;
  • 该大学的IT资源。

该政策适用于但不限于以下内容:

  • 大学的工作人员;
  • 该大学的学生;
  • 大学的外部各方和个人授权访问和使用高校信息资产和资源。

3个角色和职责

3.1 概观

IT服务承认有两大类型的内容和资源,必须在申请和执行其政策时予以考虑。而所有这政策在每种情况下适用的治理和监督可能会有所不同。

  1. 用户生成 这涉及大学的网站和社交媒体内容。这个定义下的活动和内容将主要制约和引导 数字遗产工作组。
  2. 公司(或大学) 内容和与业务,行政,学术和研究大学的活动的资源。本次活动和内容将主要制约和引导 外部托管组.

下图提供的这个内容是如何支配的总结和整个大学的各种利益相关者。  

IT 政策 Figure One

图1

下面的角色和职责适用于有关该政策:

3.2数字地产工作组(dewg)

With representation from IT Services, Marketing & Communications, Academic Affairs & Registry, and Audio Visual, the Digital Estate Working Group (DEWG) provides guidance and direction for the day to day running of the universities websites and social media presence. The group implements policy, defines standaRDs and agrees content f要么 the university homepage and other web pages. 该 DEWG also have a key role in ensuring compliance with 它的政策 和 responding to breaches of same. In terms of IT policies, the DEWG will:

  • 评估事件/违反政策和下一步行动;
  • 升级更严重的问题,在适当情况下将其政策违反应急管理团队(EMT);
  • 任何管理操作风险的大学,从违规批准它的政策。 

3.3外部托管组

外部托管组主持,并由其安全官负责审批企业数据和场外和第三方数据中心信息的托管大学。该组中包含的数据保护官员和法律秘书谁将会在数据保护和法律事务的事项提供建议数据所有者。这个小组还负责提供咨询和指导,以与企业数据或资源的任何IT策略违反的响应。在政策或数据的情况下,违反本集团将:

  • 评估事件/违反政策,并同意在接下来的步骤;
  • 升级更严重的问题,在适当情况下;
  • 任何管理操作风险的大学,从违规批准其政策;
  • 适当的托管选项和控制数据提醒车主。

3.4政策违反应急管理团队  

IT策略应急管理团队(EMT)将响应满足于它的政策违反已经从dewg或外部托管组升级,并决定是否要调用的学校突发事件应急预案的需求(https://开头WWW。 ucc.ie/en/ocla/emergencyplan/)这个小组将包括IT服务的主管和公司秘书。其他利益相关者将被邀请到这个团队基于任何IT策略违反的细节调用的任何会议。这个团队将作为一个升级点为严重事故或涉及用户生成或企业数据和资源,这些例子违反政策包括:

  • 事故可能导致对人员或学生纪律处分。
  • 这可能会导致大学应急预案的调用//www.klipmode.com/en/ocla/emergencyplan/事件
  • 这可能导致法律诉讼的事件,其中有明确的法律含义,或者爱尔兰警察参与。
  • 事件可保证用于内部或外部的利益相关者的通信方案。

3.5工作人员/学生/外部各方

所有的工作人员,学生和外部各方或授权用户使用它的资源预计将遵守所有IT策略数据大学或大学。

 


4政策文本

其策略概述  监控 
它违反政策 治理

4.1 它的政策和程序概述

以下是政策已经制定,以促进和确保一致的,高质量的实现和大学的IT资源和信息的管理。

UCC它的政策主要分为两个方面:关于IT服务资源使用和安全政策,以及政策有关UCC数据。 

frame w要么k overview

可接受的使用政策

的目的 可接受的使用政策 是提供大学的IT资源的所有用户都使用上,使他们能够使用大学的IT资源可以接受的,安全的和法律的方式明确的指导。 

提供高效,可靠的计算和网络服务,以及接入通信设备,工作人员,学生和校友依赖于所有用户的合作。因此重要的是用户知道自己的责任,在可接受的使用政策的详细介绍。

它的安全策略

这样做的目的 它的安全策略 是为了保护学校的信息资产免受各种威胁,内部的,外部的,故意或意外。该政策是为了维护大学的信息的可用性,保密性和完整性,防止未经授权的访问,入侵,破坏或其他损害了大学的保护IT资产和服务。该政策已被写入到提供一种机制,建立程序,以防止安全威胁,最大限度地减少安全事故的影响,并确保遵守适用的法律和法规。

网络和社交媒体政策

大学承认,互联网提供了参与互动讨论,并通过各种社交媒体平台,如Facebook的,推特,YouTube以及博客等,但感兴趣的主题信息共享独特的机会,因为这样的内容媒体在很大程度上是用户生成的,这就带来了一个独特的一套大学的法律风险和声誉风险。

的目的 网络和社交媒体政策 是通知工作人员和大学是什么学校认为是可以接受的,这些平台上使用的学生;并提供工作人员和学生的保护,从这个媒体的任何滥用的水平。

 

数据政策和程序

大学信息资产具有重要价值的大学。以下政策和程序提供有关哪些用户使用和管理大学的信息资产的接受,安全和法律的方式明确的指导意见:

标题

描述

数据分类过程

数据管理策略需要数据所有者根据其敏感性和重要性的数据进行分类。这个过程设置了这种分类是如何执行。

数据管理策略

这一政策的目的是使访问由UCC保持数据和信息,以尽最大可能,立法和相关政策UCC一致,同时确保电子数据从未经授权的使用,访问和违反隐私保护。

数据保护政策

这一政策是大学的保护个人权利和隐私,根据数据保护法案承诺的声明。

外部托管的数据政策 

这一政策的目的是确保这是由UCC控制数据的保管,当外部托管和UCC履行其全部义务下的数据保护法案。

个人信息安全漏洞管理过程

这些程序的目的是提供报告和管理影响由大学举办个人或敏感的个人数据资料的安全漏洞的框架。这些程序的补充,其中申明其保护个人的隐私权利根据数据保护立法的承诺所大学的数据保护政策。

 

版本控制信息 

大学要求该政策的范围内的所有它的文档版本控制,并且同样地,每个单独文档包括必须完成如附录1中的控制表。

此外,文档的页脚将清楚地表明当前的版本号/修订版本号。其中文档处于草案或通过审查周期它将被编号为版本号/修订号去 - 例如1.02是1.0版2.0版定稿之前所述第二版本。当最后的版本一致,应该是1.0版本,2.0等。

所有它的政策文件将在一个安全的中央位置,它是访问被限制为“只读”举行。一旦敲定,到文件的变化是不允许的。修改文档的新版本需要创建和审核。 IT策略文档托管人(IT总监)将是唯一的人可以完全访问上传新文件/新版本,将只这样做继适当的审查周期(审查和批准部分)。这种访问限制是至关重要的,以确保适当的文件变更控制。

4.2 监控

4.2.1网络使用

校园网使用率正在使用多个IT工具,以保护它的大学资源,提供解决问题的法医学方法记录下来。日志记录可以来自各种来源,包括但不限于:

  • 服务器系统审计;
  • 网络安全监控;
  • 防火墙入侵检测;
  • 网络和网络文件共享活动。

它的服务将监视和在下列情况下调查这些日志:

  • 人们有理由怀疑,一个是政策正在破坏;
  • 带宽故障排除;
  • 解决问题的能力;
  • 该大学有这样做的其他正当理由。 

因此,你必须意识到,这样的记录和监视正在发生和被记录的数据如果由大学的授权人员或相应的法律机构(警员,司法等)的要求,可以使用。

4.2.2大学数据

在大学的系统的数据(包括文件,其它的电子文件,电子邮件和记录的语音邮件消息)通常被认为是学校的财产,除非是从外部源接收学术业务的过程中这个数据,因此可能发送者的财产。大学可以检查并在下列情况下随时监控这样的数据:

  • 人们有理由怀疑,一个是政策正在破坏;
  • 备份和解决问题的目的;
  • 有这样做的其他正当理由;
  • 这是法律要求这样做。 

因此,任何人都不具备的消息或者记录在大学的系统的其他数据隐私的期望。这包括文档或标记为“私人”的消息,这可能是无法访问到大多数用户。同样地,文档或消息的删除可能不会影响到大学随后访问在问题的项目。 

4.2.3电子邮件

电子邮件帐户的一名工作人员和学生,并包含在它包括内容,标题,目录和电子邮件系统日志的信息,仍是大学的财产。在一般情况下,学校会尊重工作人员的电子邮件帐户的隐私。然而,大学储量评审,审计,拦截,获取和披露创建,接收或发送在下列情况下信息的权利:

  • 如有理由怀疑它的政策在被破坏;
  • 对于备份和/或解决问题或者有这样做的其他正当理由的目的;
  • 当需要大学法律这样做;
  • 在那里,没有获得该帐户的信息,操作或大学或大学职能部门都可能受到严重的阻碍或妨碍或有可能是严重的安全或财务影响;
  • 其中账户持有者不再工作人员或退休人员中的一员;和
  • 当一个电子邮件消息是无法投递(这通常是由于在这种情况下,电子邮件被重定向到电子邮件管理员谁有权打开或相应地重定向它还是丢弃一个不正确的地址)。

电子邮件流量进行监控通过它的服务,确保高效的系统性能,并在必要的时候,要找到问题/瓶颈。监测为此可能需要的信息内容进行检查。

4.2.4使用互联网和社交媒体

互联网的使用是通过在下列情况下,大学的系统的基础上监测:

  • 如有理由怀疑它的政策在被破坏;  
  • 对于备份和/或解决问题的目的;
  • 哪里有这样做的其他正当理由;
  • 当法律要求这样做。 

产生于需要保护大学的网络,大学不能保证存储属于大学的任何网络设备的信息的机密性。

所有用户都应该知道,这所大学的监视互联网和社交媒体在现有基础上保持整体利益,品牌形象和第三方感知问题的了解。学校没有专门监控社交媒体和工作人员的其他网站,学生或外部用户的内容,但储量利用惩戒的目的,可能对大学产生负面影响的任何信息的权利,其工作人员或学生,其涉及到大学的注意,或带到学校工作人员,学生,外部用户和/或其他第三方的关注。

4.2.5通过访问或披露信息的第三方在工作人员或学生的文件或电子邮件帐户 

而大学保留监控,阅读或披露未经用户同意,在工作人员或学生的文件或电子邮件帐户信息的权利,需要这样做只能在特殊的情况下出现。有问题的情况下,将包括以下内容:

  • 这里有合理的证据是否有或已经违反可接受的使用政策。
  • 要求时通过法律或根据数据保护法[S]的警员做。

或者,另外在一个职员的情况下:

  • 在那里,没有获得该帐户的信息,学校的操作和功能都可能受到严重的阻碍或妨碍或有可能是严重的安全或财务影响。
  • 其中帐户持有人不再是工作人员或退休人员中的一员。

它的任何请求服务公开,或者提供接入,第三方信息的工作人员或学生的文件或电子邮件帐户必须按照以下步骤:

  • 要求必须以书面形式授权
    • 部门或由学校管理运营团队的两名成员(工作人员)工作人员的头
    • 书记官长或学术秘书。 (学生)
  • 该请求必须指示用于访问/披露的原因。在该请求是从部门负责人的情况下,请求副本必须发送到工作人员的家庭住址。
  • 这些授权的访问将提名一个或多个个人提供获得。另外,导演将提名的两名成员是服务人员提取必要的信息,他们两人将出现在所有时间被访问的信息时。他们会直接透露的信息对个人(一个或多个)提出请求,并没有其他人。
  • 只是为了满足该请求的所需最低限度的信息应被访问。
  • 在其无法获取可用的时间内必要的授权紧急情况下,审批应该尽快请求访问/披露之后的人的追捧。 IT服务的工作人员谁在这种情况下,响应请求必须提供导演,说明对请求的原因,谁提出的要求,其信息是要访问的用户名的人的名字的报告。
  • 尽管有上述规定,披露在所有情况下将按照法律要求。

 

 


5配套程序,政策和法规或

在这一政策的是政策和程序部分中列出的政策和程序,提供资料或就如何落实这一政策一步一步的指示。

政策应与其他大学的政策,包括UCC的同时阅读: 

 

相关法规

有关使用电脑和网络的法规:


6违反政策

关于违反批准的UCC的任何事件就政策为我们的网站上列出的 //www.klipmode.com/en/it-policies/政策将使用下面定义的IT策略违规处理协议进行管理。这包括但不限于:

  • 社交媒体的问题;
  • 可接受的使用问题,如电子邮件或网站;
  • 安全问题,密码丢失;
  • 敏感设备,硬件的损失的通知;
  • 版权侵权问题;
  • 网络欺凌和骚扰的问题。

大学执行严格的“通知与移除”程序。使用者应提高警惕,并立即报告任何涉嫌违反此政策, helpdesk@ucc.ie  要么 itsecurity@ucc.ie  在收到通知后(或在学校,否则察觉)任何涉嫌违反这一政策的,大学保留以下权利:

  • 以去除,或要求去除的,这是由大学认为是违反或可能违反本政策的任何内容;和/或
  • 禁止任何用户,并获得该大学的IT资源。

如果发现任何违反此政策,那么(除了以上)纪律处分,包括解雇员工的情况下,学生或第三方的情况下,合同终止的情况下驱逐可根据拍摄与大学的纪律处分程序 (工作人员的主要法规)为学生的学生纪律处分程序 修订或更新不时。

 

IT 政策 Figure Two
图2 
 

行动

执行者

1

IT安全官员直接或通过通知的可能违反其政策的 itsecurity@ucc.ie 邮箱。

通知/

它安全官

2

信息被收集政策,以确定是否违反涉及用户生成的内容或公司数据/资源与所报告违反它

它安全官

3

它军官指挥的报道违反要么dewg或外部托管组。

它安全官

4

dewg或外部托管组决定是否,事实上,违反它的政策已经发生。如果决定违反它的政策并没有发生这个决定传达给当事人和事件被关闭。

dewg /外部托管组

5A

dewg或外部托管小组同意适当的行动采取应对违反它的政策。第一步通常是通知用户参与他们的行为违反标准的IT政策,并要求立即停止/移除适用。其它可能的动作包括(但不限于)限制或禁用用户的帐户,并发出删除通知至3RD 第三方网站,如社交网站。

dewg /外部托管组

5B

dewg或外部托管小组认为一个潜在的惩戒问题是否出现。涉及学生的这种情况被称为注册办公室(学生体验头),并在工作人员的情况下,也报道了这一事件可以提出正式投诉,他们的部门负责人在第一时间,然后小时,标准UCC委屈用户程序适用。

dewg /外部托管组

5C

dewg或外部托管组升级严重违反其政策,其政策违反应急管理团队

dewg /外部托管组

6

这将上报给它的政策违反应急管理队伍违反其政策的例子包括:

  • 到了大学名誉损害。 dewg将通知负责对外关系的副总统办公室
  • 应急响应的问题。在UMT通知及相关应急预案之后。
  • 数据保护的问题。 OCLA通知和数据保护违反程序被调用。

它的政策违反应急管理团队

7

dewg或外部托管组实现其商定的行动,并关闭事件。

dewg /外部托管组

 

6.1典型的事件类型和所需行动

事件类型

所有者

行动

违反版权

公司秘书

但导演会转发给OCLA

网络漏洞/黑客

IT总监

但导演会转发给网络团队

社交媒体滥用

Direct要么 Marketing & Communications

攻击性的材料将被移除

如果需要的话,Facebook的将联络

投诉有关学生

学生体验头

相关细节将转发到领导的学生体验

投诉有关工作人员

部门和人力资源的工作人员头

它会检查问题是否是违反政策的,将提供该工作人员自己的意见,工作人员会升级到HOD,通过标准的申诉程序

它检测违反政策

IT总监

将通知部门主管或关于违约学生的经验头部

 

6.2类型的事件将被上报给它的政策违反应急管理团队 

事件类型

所有者

行动

涉嫌人员纪律问题

部门主管

要求用户告知这一事件的部门他们的头

怀疑学生纪律问题

学生体验头

学生体验将通知校园观察和跟踪过程

到大学声誉受损

对外事务副总裁

 

数据保护漏洞

数据保护官员

数据保护事件过程将遵循

应急响应的问题

UMT成员

相关应急预案,随后

它严重事件(停电,黑客,违约)

它的导演

但导演会立即采取行动,解决违约。



7审查和批准

大学储量以任何方式任何时间在学校认为合适在大学的绝对酌情权或大学校长修改本政策的权利。

这些修订将在政策,这是提供给你的网站上的修订历史记录,并通过继续使用大学的注意是它的资源下,你将被视为已接受该政策的修订条款的任何更新。

批准日期

星期三,2017年6月21日9点29分00秒IST

政策变动摘要

 

草案版本号/修订版本号

修订日期

更改摘要

 

 

 

 

 

 

 

 

 

 

这个文件需要以下认证:

名称

标题

日期

杰拉德culley

信息技术主管

 

约翰·菲茨杰拉德

信息服务总监

 

约翰莫里森

Chair of IS & ER committee

 

迈克尔·法雷尔

公司秘书

 

学院负责人

 

 

学术委员会

 

 

 


8进一步信息

联系电子邮件:itsecurity@ucc.ie

联系人姓名:

IT服务总监

联系电话:

021 4902215
回到顶部

定义

这项政策的目的,以下词汇(这是整个策略中使用)应在这一政策背景下的含义如下:

术语

定义

外部各方

该大学的所有附属公司,承包商,研究人员,游客和/或谁有权访问大学的IT资源的任何其他人士。

高严重性事件

事故可能造成以下。

a)根据工作人员或学生相关的纪律处分程序推荐

b)该大学应急反应计划的调用;

三)采取法律行动或有明确的法律后果;

d)保证用于内部或外部的利益相关者的通信方案。

例子包括:

一)滥用的电子邮件;

B)攻击社交媒体投诉取得对抗员工中的一员。

 

在低严重事件

这违反了政策,但不是的方式,亲自有损于大学或其他人的事件。例子包括:

一)侵权通知;

B)误认为违反政策的;

C)不受欢迎的社交媒体评论。

 

政策

这一点,政策。 

员工

大学的所有全职和兼职员工,包括计时偶尔,研究人员外部资助

学生

一个学生,无论是专职还是兼职,与UCC注册。

大学信息资产

这是有价值的大学信息。这包括,但不限于,信息有关:

一)的学生;

b)工作人员;

c)财务事项;

d)研究。

此信息可以存储在许多不同的媒体,包括:

一篇论文;

b)中的电子硬件设备(硬盘驱动器,闪存驱动器);

三)集中管理的基础设施,包括服务器和存储;

d)的移动设备;

E)的云托管服务。

大学的IT资源

IT资源包括那些由大学的IT服务,以及在其办公室,部门,学校,大学或其他单位提供本地的集中提供。这包括远程通过但不限于访问大学它资源:

一)大学的网络和连接的网络和连接到这些网络在物理上或经由无线所有设备。

b)中的任何网络独立创建关闭校园网,如果它们连接到校园网。

c)所有大学资IT设备包括服务器,台式机,笔记本电脑,平板电脑,移动设备和网络相关设备。

d)由第三方拥有的任何设备,租用或个人拥有其使用校园网,结合自己在大学工作或学习。

大学或UCC

十博体育版首页 - 爱尔兰国立大学,软木

用户

所有的学生,员工和外部各方。

 

回到顶部

十博体育版首页

coláiste呐hollscoile科克

学院路,软木T12 k8af

最佳