它的安全策略

它的安全策略

UCC logo

打印

版本号: 1.2

修订日期: 星期二,2017年9月19日九点14分00秒IST

保单持有人: IT服务总监


政策内容


1。目的

这一点,安全策略的目的是为了保护学校的信息资产免受各种威胁,内部的,外部的,故意或意外。该政策的目的是:

  • 维护大学的信息的可用性,保密性和完整性。
  • 防范未经授权的访问,入侵,破坏或其他损害了大学的IT资产和服务。
  • 确保遵守适用的法律和法规。
  • 提供责任和明确的责任线的治理结构。

该政策已被写入到提供一种机制,建立程序,以防止安全威胁和减少安全事故的影响。

回到顶部

2政策范围

这一点,安全策略涵盖的政策,程序和有关标准的文档:

  • 十博体育版首页信息资产
  • 十博体育版首页的IT资源

此政策适用于该大学的IT资源,其中包括的所有用户,但不限于,其网络(现场访问或远程)和/或通信设备。这一政策的优先级高于其可在地方一级开发的任何政策。


3个角色和职责

治理它的政策的作用和责任在主进行了概述。 

IT服务是负责监督使用它的大学资源,以确保该政策没有被违反。

它的安全员负责实施信息安全策略的有效运行,确保信息资产和技术得到充分的保护。

所有用户,学生和工作人员必须证明为了保护信息的机密性,完整性和UCC的信息资产的可用性符合UCC的信息安全策略。这一政策也延伸到承包商,顾问和/或3RD 各方UCC提供服务。


4政策文本

保密
廉正

可用性

 

4.1 保密

通过信息未经授权的披露,只有获得授权的访问保护安全保卫信息的保密性。 

4.1.1 数据分类和管理

  • 十博体育版首页有义务尊重个人的权利和保护机密数据。
  • 所有大学数字化记录应根据分类 数据分类过程
  • 当数据被分类为机密数据,适当的访问和安全控制在传输和存储被应用。机密数据是不是不采取适当的预防措施,以确保只有预期的收件人可以访问数据传输。请参阅 记录管理策略
  • 所有的十博体育版首页信息将被视为机密,如果没有其他的指示。
  • 其中UCC配合使用云或外部托管服务,将举办UCC数据,所提出的解决方案必须由每个以下过程中的外部托管的数据委员会进行评估 //www.klipmode.com/en/it/services/externaldatahosting/
  • 其中,UCC网络上的数据和服务器是由第三方(供应商,承包商,咨询顾问),用于支持和维护提供UCC访问,用附带的数据保护协定的第三方接入形式,必须建立与3服务协议RD

4.1.2 网络安全

  • UCC维护外围防火墙。所有面向外部的服务必须注册,该寄存器用于配置基于他们所提供的服务的防火墙。这消除了低级别的漏洞从互联网上试探性的攻击,同时允许访问注册的服务。
  • 除了外围防火墙,一些网络范围由访问列表或附加防火墙的保护。
  • 周边交通被记录并进行适当监控出于安全目的。
  • 十博体育版首页的内部网络的笔记本电脑和台式机应具备:
    • 安装防病毒软件并及时更新,
    • 操作系统补丁与最新的安全更新
    • 个人防火墙活跃
    • 用户认证
  • 请参考以下技术文件有关的附加设备到UCC网络的连接。 //www.klipmode.com/en/media/support/itpolicies/standards/connectingequipmentuccstandaRD.pdf

4.1.3 用户认证和审计日志

  • 认证所需的每个连接到网络。
  • 在可能的双因素身份验证,应考虑处理敏感数据的IT系统。
  • 所有UCC IT系统必须符合UCC的密码策略: //www.klipmode.com/en/it/services/pwpolicies/
  • 用户必须遵循以防止被滥用,丢失或未经授权的访问系统的最佳做法:
    • 密码保密
    • 定期更改密码
    • 从来没有写下密码
    • 不要通过电子邮件,传真或邮寄方式发送密码
    • 更改临时密码在首次登录
  • 不要离开你的电脑无人看管没有锁定您的计算机或注销。
  • 含的工作人员,学生以下的用户事件和任何3个审计日志RD 双方在访问UCC网络捕获和监视:
    • 用户id
    • 日期和时间登录和注销
    • 计算机的身份和位置在可能的情况
    • 成功的记录,遭到拒绝的系统访问尝试
    • 成功的记录,遭到拒绝的系统访问尝试
    • 监控特权用户帐户

4.1.4 加密

  •  所有大学所拥有的笔记本电脑必须有自己的内部硬盘驱动器加密。这是支持的服务是每个服务 //www.klipmode.com/en/it/services/encryptionlaptop/
  • 所有大学提供的移动设备主机UCC数据(电子邮件)必须用加密和认证分层的适当保护。
  • 其中个人数据被存储在由一台笔记本电脑或便携式设备,其可以离开UCC处所UCC,则此数据应被按照加密 UCC加密 准则和确保符合UCC的数据保护政策
  • 其中敏感信息通过公共网络传送到外部第三方的信息必须被第一加密,并通过安全的渠道(SFTP,SSH,HTTPS,VPN等)发送
  • 标榜为员工业务使用(eduroam)的WiFi网络必须使用WPA2或更好的加密。

4.1.5 IT安全培训

  • 它安全意识的策略是通过多种方式与提高用户意识,并强调最终用户的责任的目的交付。
  • 计划有针对性的安全意识培训课程都可以在数据保护方面的培训需求相结合。 
  • 全面的在线培训课程是通过在免费的ECDL培训全体员工的IT安全模块可用。
  • 在员工入职的新员工都听取了关于数据保护的政策和它AUP政策。

4.2 廉正

维护的信息的完整性,即通过防止未经授权的修改的准确性和信息的完整性。

4.2.1 用户访问和审计日志

  • 获取信息是一个需要被授予唯一依据,工作人员被授予特定的访问,使他们能够履行其工作职责。请参阅 //www.klipmode.com/en/media/support/itpolicies/procedures/accesstoitservices.pdf
  • 进入修改信息和/或访问哪些处理系统和记录这些信息仅限于授权人员。
  • 所有个人对个人和鞋底采用了独特的用户ID(最终用户,数据库管理员,网络管理员,程序员),这样的活动可以追溯到责任人
  • 访问代码,操作系统,代码,服务和命令仅限于谁需要访问作为他们每天的日常工作职责的一部分的个体。
  • 所有进入高关键性的服务将被记录并进行适当监控,以确定的系统或信息可能被滥用。日志必须予以保留,并根据适当的立法访问授权。
  • 安全事件日志,操作审计日志,错误日志,事务和处理日志上的关键系统监控并保持为故障排除记录的事件,在安全事件提供取证和识别的系统或信息可能被滥用。
  • 适当的审计线索,包括创建,修改和UCC数据和/或系统删除数据库日志被它服务维护。这是相对于以下尤为重要:
    • 数据包括工作人员,学生和供应商的详细信息;
    • 数据包括向内缴费,向外供应商付款和工资交易;
    • 十博体育版首页 - 爱尔兰资源使用数据的国立大学。
    • 十博体育版首页 - 爱尔兰数据的国立大学可能存在的外部主要十博体育版首页 - 爱尔兰系统(S)的国立大学。这可能包括驻留在外部云服务或数据的数据驻留在内部,如Excel电子表格,本地桌面数据库等。

4.2.2 漏洞管理

任何设备连接到网络负责确保该设备的配置是否正确,将操作系统和软件应用均达到最新至于补丁管理等,并且该设备具有抗病毒和其他恶意软件提供足够的保护。如果有任何怀疑,设备可能被感染或损害它不应该被连接。

  • 每次服务具有定义的服务的所有者。服务器支持该服务必须适当地加入UCC网络之前进行硬化,并成为生产服务之前,应锁定。这是IT服务业主的责任。
  • UCC基础设施(服务器,台式机,操作系统,数据库和应用程序)必须遵循常规补丁的时间表,以确保其资产仍从安全漏洞的保护,并保持主流支持范围内。
  • 杀毒软件是强制性先决条件,任何一台计算机加入UCC网络。反病毒从它的服务集中控制 //www.klipmode.com/en/it/services/antivirus/
  • 大学IT服务必须从网络中移除对于没有业主可以识别任何设备的资格。
  • 大学IT服务必须从网络中移除它与网络服务的干扰或被认为可能危及网络安全的任何设备的权限。同时,将尽一切努力进行联系设备的所有者提前,maintining服务必须优先考虑。

4.2.3 更换管理层

系统的变化应按照其服务,审计线索的变化非常关键系统的正规的变更管理流程完成。 

4.3 可用性

保持大学的信息,并将其业务流程使用的系统可用性的要求。

4.3.1 软件许可和维护

  • 每次服务具有定义的服务的所有者。服务所有者必须确保所有的软件许可证是最新和维护支持可用于与他们服务相关的硬件和软件。
  • 对于标准软件的桌面软件许可是通过网站使用许可的人员进行集中管理。牌非标准软件是用户的责任:  //www.klipmode.com/en/it/services/software/ 
  • 非法的,未经授权的软件不能在UCC拥有计算机上安装

4.3.2 灾难恢复和备份策略

  • 它是每个服务的企业主的责任,以确保有足够的业务连续性计划到位,该服务是由相关服务器,网络或IT基础设施等要素的非可用性受到影响的情况下。通过数据数据丢失防护的备份。
  • IT服务维护所有UCC集中管理的基础设施和关键服务的灾难恢复计划。
  • 灾难恢复计划和流程,定期测试
  • IT服务管理数据和系统备份关键系统
  • 从备份恢复定期检测

4.3.3 事件管理

正式的事故管理程序已经到位了有关个人数据破坏它的安全事故和程序。请参考 IT策略 政策违反程序

4.3.4 安全操作

UCC IT服务管理多种安全工具,保护其资产和服务免受未经授权的访问,入侵和破坏大学的目的。流程到位,以支持这些工具,并确保其安全漏洞和事故报告的主动管理。

4.3.5 物理计算机存储环境条款

为大学举办生产性服务的任何服务器都必须安装在合适的环境在安全方面,电力,风冷等。

  • 用于十博体育版首页的存储所有的硬件 - 爱尔兰数据的国立大学是被清除数据的安全和破坏,一旦它不再被使用。 看到包含机密数据的处理设备的我们的准则
  • 当磁带和其它辅助存储设备达到其使用寿命的结束时它们将被清除UCC数据的和可靠地破坏掉。

此安全策略的目的是确保所有用户的利益,有效的IT基础设施。在必要时,支持将通过它的服务提供,以帮助用户遵照策略。 

4.4 IT安全治理

它的安全性是通过管辖,UCC

 


5配套程序,政策和法规或

政策应与以下UCC策略和用户一起阅读应确保符合除了这个政策,这些政策。下列附属政策,程序和标准应考虑这一点,安全策略的一部分:


6违反政策



7审查和批准

大学储量以任何方式任何时间在学校认为合适在大学的绝对酌情权或大学校长修改本政策的权利。

这些修订将在政策,这是提供给你的网站上的修订历史记录,并通过继续使用大学的注意是它的资源下,你将被视为已接受该政策的修订条款的任何更新。

政策变动摘要

修订记录

本次修订的日期:19/09/17

接下来的日子 综述:19/09/18

 

 

 

版本号/修订版本号

修订日期

更改摘要

0.1

19/04/2011

批准管理机构

O.2

26/05/2014

更新,以反映IT部门的新名称,包括加密要求

1.1

30/09/16

2016回顾:更新断开的链接。删除旧的意见。

 1.2

 19/09/2017

根据机密性,完整性和可用性的部分内容和创建重新结构

包括防火墙

 

诊史

版本号

咨询日期

协商双方的名字

更改摘要

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

赞同

这个文件需要以下认证:

名称

标题

日期

杰拉德culley

信息技术主管

 

约翰·菲茨杰拉德

信息服务总监

 

约翰莫里森

Chair of IS & AR committee

 

迈克尔·法雷尔

公司秘书

 

 

这一政策应进行审查和更新,在年度基础上。


8进一步信息

联系电子邮件:itsecurity@ucc.ie

联系人姓名:

IT服务总监

联系电话:

021 4902215
回到顶部

定义

这一政策提供了关于大学的IT资源和网络服务的用户的责任明确的指导。

这项政策的目的,以下词汇(这是整个策略中使用)应在这一政策背景下的含义如下:

术语

定义

信息安全

实施旨在安全地保护和利用各种形式的技术保障信息的措施和制度的过程中开发的创建,存储,使用和防止任何未经授权的访问,滥用,误动作,修改,破坏,或不当披露交换此类信息,从而保持了值,保密性,完整性,可用性,预期的用途和它的执行其允许关键的功能的能力。

数字遗产工作组(dewg, dewg@ucc.ie)

 

该dewg管理日常的一天,大学的网站和社交媒体的运行。它是由:

  • 它;
  • 营销和传播;
  • 媒体和公众的关系;
  • 注册办公室。

有关详细信息,参考 数字房地产管理政策

 

外部托管组

外部托管组主持,并由其安全官负责审批企业数据和场外和第三方数据中心信息的托管大学。该组中包含的数据保护官员和法律秘书谁将会在数据保护和法律事务的事项提供建议数据所有者。这个小组还负责提供咨询和指导,以与企业数据或资源的任何IT策略违反的响应。

外部各方

该大学的所有附属公司,承包商,研究人员,游客和/或谁有权访问大学的IT资源的任何其他人士。

政策

本AUP政策。

员工

大学的所有全职和兼职员工,包括研究人员外部资助

学生

一个学生,无论是专职还是兼职,与UCC注册。

大学信息资产

这是有价值的大学信息。这包括,但不限于,信息有关:

  • 学生们;
  • 员工;
  • 财务事项;

此信息可以存储在许多不同的媒体,包括:

  • 纸;
  • 电子硬件设备(硬盘驱动器,闪存驱动器);
  • 集中管理的基础设施,包括服务器和存储;
  • 移动设备;
  • 云托管服务。

大学的IT资源

IT资源包括那些由大学的IT服务,以及在其办公室,部门,学校,大学或其他单位提供本地的集中提供。这包括远程通过但不限于访问大学它资源:

  • 该大学的网络和连接的网络,并连接到这些网络在物理上或通过无线的所有设备。
  • 任何网络独立创建关闭校园网,如果它们连接到校园网。
  • 所有大学拥有的IT设备包括服务器,台式机,笔记本电脑,平板电脑,移动设备和网络相关设备。
  • 第三方拥有的任何设备,租用或个人拥有其使用校园网,结合自己在大学工作或学习。

大学或UCC

十博体育版首页 - 爱尔兰国立大学,软木

用户

所有的学生,员工和外部各方。

回到顶部

十博体育版首页

coláiste呐hollscoile科克

学院路,软木T12 k8af

最佳