金沙6165总站线路检测立大学

  1. K州之家
  2. »金沙6165总站线路检测
  3. »PPM
  4. »金沙城js9线路检测中心
  5. »PPM 第 3439 章:系统开发和维护安全策略

金沙6165总站线路检测

与《金沙6165总站线路检测和程序手册》各章中的信息相关的问题应直接向发布该章的办公室提出.

该信息通常位于每章末尾.

有关金沙6165总站线路检测更新问题, 请联系 policy@金沙6165总站线路检测u.edu.

系统开发和维护安全金沙6165总站线路检测

第3439章
发布:08/2009

修订/审核:01/2023, 5/2024

目录

.010 目的
.020 范围
.030 生效日期
.050 金沙6165总站线路检测
.060 定义
.070 角色和职责
.090 相关法律, 规定, 或金沙6165总站线路检测
.100 问题/弃权

.010 目的

本金沙6165总站线路检测的目的是定义系统安全规划和管理的要求,以提高对大学信息系统资源的保护. 信息系统生命周期的各个阶段都必须考虑安全性(i.e., 可行性, 规划中, 开发, 实施, 维护, 和退休)以便:

  1. 确保符合所有适当的安全要求
  2. 在敏感信息的整个生命周期中保护其
  3. 促进安全控制的有效实施
  4. 防止系统修改时引入新的风险
  5. 确保系统停用时正确删除数据

本金沙6165总站线路检测提供指导,以确保在信息系统生命周期的开发和维护阶段考虑系统安全.

.020 范围

本金沙6165总站线路检测适用于所有大学学院, 部门, 行政单位, 以及利用大学信息技术资源创建的附属组织, 访问权限, 存储或管理大学数据以执行其业务职能. 本要求适用于企业信息系统或因存在丢失危害风险而需要特别注意安全的系统, 滥用, 或未经授权访问或修改其中的信息.

.030 生效日期

此金沙6165总站线路检测于 7 月 24 日生效, 2009.

.050 金沙6165总站线路检测

在信息系统生命周期的所有阶段都应考虑适当的安全控制, 包括开发和维护阶段.

  1. 系统安全计划和文档 - 必须为所有企业信息系统或其他正在开发的系统准备系统安全计划和文档,这些系统因丢失造成损害的风险而需要特别注意安全, 滥用, 或未经授权访问或修改其中的信息. 此类计划应概述系统的安全要求,并描述为在系统生命周期的所有阶段满足这些要求而实施或计划实施的控制措施. 当系统被修改而影响安全时, 系统文档必须相应更新.
  2. 单独开发, 测试, 和生产环境 - 系统开发, 测试, 并且生产应该在单独的环境中进行.
  3. 测试数据 - 企业信息系统的测试应该使用模仿真实数据特征的捏造数据来完成, 或真实数据的副本,其中任何机密数据均经过适当清理. 不应对实时数据进行测试,因为其机密性和/或完整性受到威胁. 需要使用实时数据或机密数据的测试必须采用适当的安全控制.
  4. 漏洞管理 - 必须对所有新的企业信息系统或正在经历重大变更的系统进行系统安全控制评估和漏洞评估,以找出可能被利用的弱点,然后再将其投入生产. 还必须对生产企业信息系统进行定期漏洞评估,并采取适当措施来解决与已识别漏洞相关的风险. 应对与企业信息系统相关的所有系统和应用程序监控和评估来自供应商和其他适当来源的漏洞通知.
  5. 供应商收购 - 如果企业信息系统或该系统的组件是从外部供应商处获取的, 必须提供书面文档,说明产品如何满足本金沙6165总站线路检测的安全要求以及系统的任何特殊安全要求. 供应商必须允许 K-State 或独立第三方测试系统的安全控制, 如果需要.

.060 定义

机密数据
高度敏感的数据仅供有限使用, 工作组的特定用途, 部门, 或有合法知情需要的个人群体. 请参阅 K-State 的数据分类和安全金沙6165总站线路检测,了解扩展定义和示例.

企业信息系统
提供大学社区普遍需要的服务且通常由中央 IT 单位提供的服务的信息系统和/或服务器. 部门信息系统提供针对各个学院的使命和重点的服务, 部门, 行政单位, 或附属组织,通常由这些单位的分布式 IT 人员提供.

实时数据
用户可以通过生产中的系统访问数据 (i.e., 直播).

大学数据
与金沙6165总站线路检测立大学(“大学”)职能相关的任何数据:
  1. 存储在大学信息技术系统上
  2. 由金沙6165总站线路检测立大学教职人员维护, 或学生
  3. 与校园内外的制度流程相关
这适用于任何格式或媒体(换句话说, 不限于电子数据).

.070 角色和职责

  1. 首席信息安全官 (CISO) - 协调制定指导方针, 评论, 并批准系统安全计划以及标识, 实施, 以及常见安全控制的评估; 监督企业信息系统的定期漏洞评估; 并根据需要与信息系统安全管理员协调其他评估的实施.
  2. 企业 IT 安全分析师 - 确保对信息系统应用适当的操作安全控制; 与 CISO 协调识别, 实施, 以及常见安全控制的评估; 在制定和更新系统安全计划、与信息系统所有者协调对系统的任何更改以及评估这些更改的安全影响方面发挥积极作用. 此角色可由直接参与开发的人员担任, 维护, 和/或信息系统的操作.
  1. 现有 K-State 系统开发和维护金沙6165总站线路检测
  2. 其他相关法律, 规定, 或金沙6165总站线路检测
    1. amjs澳金沙门欢迎您 9 月 1 日之后设计和实施的所有新系统
    2. K-State 的计算和信息技术金沙6165总站线路检测, 部分 .050
    3. 金沙6165总站线路检测, ITEC 信息技术政策 7230, 修订 1:通用信息技术企业安全政策
    4. 金沙6165总站线路检测, ITEC 信息技术安全标准政策 7230A (PDF)
    5. ISO/IEC 27002:2013:信息技术 - 安全技术 - 信息安全管理实践准则,由发布 国际安全标准组织. 这是一项国际安全标准,包括开发和支持流程的安全要求(请参阅第 12 章), “信息系统获取, 开发和维护”)以确保“安全是信息系统的一个组成部分."
    6. NIST 特别出版物 800-18, 修订版 1:联邦信息系统安全计划制定指南.

.100 个问题/豁免

信息技术副总裁兼首席信息官 (CIO) 对本金沙6165总站线路检测负责. CIO 或指定人员必须批准本金沙6165总站线路检测或相关程序的任何例外情况. 问题应直接发送至 首席信息安全官 (CISO).