定义
风险 是指损失机密性,完整性和可用性12bet体育资产的可能性。风险是使用两个因素计算: 可能性 漏洞的冤大头,并且 碰撞 在12bet体育。 风险管理 指的是从识别和评估,以优先级排序,执行和监测缓解的整个过程。
部门责任
该部门负责任何重大项目和应用程序采购,其中12bet体育的通知信息安全 1级和2级的数据 被存储,访问,或处理。
信息安全责任
信息安全团队负责,以符合所需缓解执行风险评估和提供信息 基社盟和12bet体育政策.
当需要进行风险评估?
信息安全团队进行三种类型的风险评估:
- 供应商采购:风险评估在需要时基于云的供应商或应用程序被采购,并且其中被授权访问12bet体育级别1和2点的数据。这包括使用租用采购卡(采购卡)取得咨询服务和购买。
- 内部风险评估:信息安全执行对校园院系进行风险评估。这种类型的风险评估着重于1级和部门2点数据的过程。这是要每2年,以确定CSU和12bet体育政策,以及当前部门实践之间的差距进行。
- 项目和流程:当一个部门已承诺,涉及使用12bet体育 1级和2个数据的重大项目信息安全将进行风险评估。例如:从内部部署到云迁移。
风险管理过程
通知/请求: 该部门必须通知任何采购和重大工程任务的信息安全。强烈建议该部通知信息安全时,它正处于研究阶段。等到最后一分钟可以拖延这一进程。
信息收集: 信息安全团队将要求供应商和/或部门的信息。如果采购,将下列文件之一是从供应商的要求:
- 高等教育云供应商评估工具(hecvat)
- SOC 2 II型审计报告
- 云安全联盟的共识评估倡议问卷(CSA caiq)
评估草案: 信息安全将起草一份风险评估文档。该文件强调了风险,并缓解该风险降低到可接受的水平。该部门MPP必须注销的风险评估和缓解。
评估审查: 一旦初稿完成后,信息安全将分享与相关部门的工作人员进行审查的草案。这是部门纠正风险评估的任何不准确的信息,并讨论缓解以及实施这些计划的机会。
评估注销: 一旦双方的信息安全部门商定的风险评估草案和缓解措施,最终版本将通过Adobe标志被发送到部门MPP的签名。
风险缓解: 相关部门,如风险评估文件指出,现在负责实施的缓解措施。该部门可以接触到的信息安全要求澄清或协助执行的缓解措施。信息安全将跟进部门要求对缓解状态。一旦所有缓解实施,风险评估是关闭的。
风险例外
在所需的缓解不能为各种原因实施的情况下,风险例外文件将被创建。这个文件是类似于风险评估文件。风险例外文件需要从部门MPP和部门副总裁双方的签名。
