<kbd id="yumxyeo5"></kbd><address id="3q3ad2ad"><style id="hsafo9op"></style></address><button id="k4gqpe3v"></button>

          主菜单(它)

          风险管理

          定义

          风险 是指损失机密性,完整性和可用性12bet体育资产的可能性。风险是使用两个因素计算: 可能性 漏洞的冤大头,并且 碰撞 在12bet体育。 风险管理 指的是从识别和评估,以优先级排序,执行和监测缓解的整个过程。

          部门责任

          该部门负责任何重大项目和应用程序采购,其中12bet体育的通知信息安全 1级和2级的数据 被存储,访问,或处理。

          信息安全责任

          信息安全团队负责,以符合所需缓解执行风险评估和提供信息 基社盟和12bet体育政策.

          当需要进行风险评估?

          信息安全团队进行三种类型的风险评估:

          1. 供应商采购:风险评估在需要时基于云的供应商或应用程序被采购,并且其中被授权访问12bet体育级别1和2点的数据。这包括使用租用采购卡(采购卡)取得咨询服务和购买。
          2. 内部风险评估:信息安全执行对校园院系进行风险评估。这种类型的风险评估着重于1级和部门2点数​​据的过程。这是要每2年,以确定CSU和12bet体育政策,以及当前部门实践之间的差距进行。
          3. 项目和流程:当一个部门已承诺,涉及使用12bet体育 1级和2个数据的重大项目信息安全将进行风险评估。例如:从内部部署到云迁移。

          风险管理过程

          风险 management process.

          通知/请求: 该部门必须通知任何采购和重大工程任务的信息安全。强烈建议该部通知信息安全时,它正处于研究阶段。等到最后一分钟可以拖延这一进程。

          信息收集: 信息安全团队将要求供应商和/或部门的信息。如果采购,将下列文件之一是从供应商的要求:

          1. 高等教育云供应商评估工具(hecvat)
          2. SOC 2 II型审计报告
          3. 云安全联盟的共识评估倡议问卷(CSA caiq)

          评估草案: 信息安全将起草一份风险评估文档。该文件强调了风险,并缓解该风险降低到可接受的水平。该部门MPP必须注销的风险评估和缓解。

          评估审查: 一旦初稿完成后,信息安全将分享与相关部门的工作人员进行审查的草案。这是部门纠正风险评估的任何不准确的信息,并讨论缓解以及实施这些计划的机会。

          评估注销: 一旦双方的信息安全部门商定的风险评估草案和缓解措施,最终版本将通过Adobe标志被发送到部门MPP的签名。

          风险缓解: 相关部门,如风险评估文件指出,现在负责实施的缓解措施。该部门可以接触到的信息安全要求澄清或协助执行的缓解措施。信息安全将跟进部门要求对缓解状态。一旦所有缓解实施,风险评估是关闭的。

          风险例外

          在所需的缓解不能为各种原因实施的情况下,风险例外文件将被创建。这个文件是类似于风险评估文件。风险例外文件需要从部门MPP和部门副总裁双方的签名。

          常见适用CSU要求

          1. 对于其中12bet体育级别1和2中的数据所涉及的采购,采购和合同管理必须包括 CSU信息安全增补文件(.docx).
          2. 如果有基于云的应用程序必须使用单点登录(SSO)。在应用程序不支持单点登录的情况下,应用程序管理员必须确保用户使用他们的12bet体育电子邮件地址创建帐户和该帐户的密码满足 12bet体育密码标准和准则(.PDF).
          3. 部门必须创建一个文件,以维护和跟踪用户,其中1级和2个数据存储所有基于云的应用程序的访问。这必须每年完成。
          4. 部门每年必须经过其记录在文件柜和任何基于云的应用程序,以确保所要求的记录不会被保存保留计划外 CSU记录保留和处置时间表.

          相关12bet体育政策和标准

              <kbd id="rnccqlf4"></kbd><address id="8wbh0rer"><style id="r6rjpw64"></style></address><button id="21cqak49"></button>