信息安全事件报告和响应政策

1. 概述

信息安全事件的发生比以往任何时候都更加频繁。阿克伦大学（UA）必须采取适当的步骤来应对信息安全事件，以尽量减少事件的影响和范围。

2. 目的

此策略为UA建立了信息安全事件报告和响应策略。本政策的目的是定义报告和响应信息安全事件的要求和责任，以最大限度地减少对UA机构数据、信息系统和/或信息服务的机密性、完整性和可用性的负面影响。

3. 范围

本政策适用于用于访问、存储或传输电子、音频、视频或物理格式的机构数据的任何系统、服务、设备、过程或媒体。所有访问机构数据或信息系统/服务的UA成员都必须遵守此政策。

4. 定义

• 事件响应小组——负责调查数据泄露和其他信息安全事件的个人。事件响应小组是UA信息安全服务部门，可能会得到其他机构的协助，包括但不限于UA总法律顾问办公室，以及当地、州和联邦执法机构。
• 事件处理人员——由事件响应小组指派的信息安全服务人员，负责领导事件响应工作。
• 资讯保安事件-任何企图或实际未经授权访问、使用/误用、披露、修改或破坏信息或信息系统的行为，包括但不限于干扰信息技术运行和违反大学规则、ITS政策和标准以及适用的法律法规。
  • 信息安全事故的例子包括但不限于：
    • 电脑系统入侵
    • 系统、设备、媒体或物理文件被盗或丢失
    • 未经授权的对系统、软件或数据的访问或使用
    • 对系统、软件或数据进行未经授权的更改
    • 滥用资讯系统
    • 网站上乱涂
    • 拒绝服务攻击
    • 系统或人员的模拟
    • 干扰对IT资源的预期使用
    • 受损的用户帐户
• 信息系统——一种电子信息处理、存储或传输系统，包括但不限于UA拥有、管理或维护的计算机、终端、打印机、外设、便携式设备、网络、在线和离线存储介质及相关设备、软件和数据文件。信息系统还包括但不限于机构和部门信息系统、教师研究系统、计算机和通用访问计算机集群。
• 机构数据-由阿克伦大学的任何部门收集、分析或发布的任何信息或数据，以支持其使命。
• 受保护的机构数据-根据ITS数据分类标准，由数据所有者或指定的数据管理员分类为比公共使用更受限制的任何信息

5. 策略

• 所有UA成员必须立即向首席信息安全官（CISO）报告任何可能影响机构数据或存储、处理或传输机构数据的任何信息系统的机密性、完整性或可用性的信息安全事件或事件。
  • 信息安全事件必须在发现后立即报告，并必须按照第5条进行报告。信息安全事件响应程序中的“报告”。
  • 不成功的安全事件是可以预见和预期的，不需要报告，但如果存在不确定性，则应报告。
• 首席信息安全官必须根据《信息安全事件响应程序》指导信息安全事件响应和调查，与受影响的单位协调合作。
• 首席信息安全官将酌情与大学其他部门协调，处理任何需要的信息安全事件的外部报告。所有单位和UA成员将在必要时协助首席信息安全官，以便大学履行其报告义务。

6. 政策合规

• 角色和职责
  • 所有UA成员都有责任遵守这一政策，并在适当的情况下支持和参与与遵守这一政策相关的过程。
  • 首席信息安全官负责执行此政策。
• 不符合
  • 任何UA成员故意违反本政策或任何其他适用于数据安全的大学政策，和/或以任何方式故意违反受保护机构数据的机密性，可能会受到适当的纪律处分。

7. 相关的文档

大学规则3359-11-08：学生档案政策和程序大学规则3359-11-10：可接受使用政策大学规则3359-11-10.3：信息安全和系统完整性政策大学规则3359-11-10.4：客户信息安全政策大学规则3359-11-10.6：社会安全号码使用政策大学规则3359-11-10.8：身份盗窃检测、预防和缓解政策大学规则3359-11-19：选定健康信息的发布、隐私和安全政策和程序ITS：数据访问政策ITS：数据分类标准ITS：安全访问和数据存储标准ITS：工作日授权和批准政策

8. 策略管理

审批权限：首席信息官政策经理：首席信息安全官生效日期：2023年6月1日先前生效日期：NA审核日期：NA

联络资讯保安      联系IT服务台