资讯保安意识训练政策

1. 概述

终端用户的信息安全意识是抵御信息安全漏洞的最大屏障。行业研究表明，持续的信息安全意识培训计划可以将安全漏洞的风险降低60%或更多。培训我们的社区对于改善我们的安全态势和减少大学的风险至关重要。

2. 目的

本政策的目的是定义阿克伦大学的信息安全意识培训计划，并确保访问大学信息技术（IT）系统和/或服务的所有员工、学生和其他授权方都能接触到适用于其在社区中的角色的信息安全意识材料。

3. 范围

此策略适用于获得数字证书以访问bet365官网大学控制下的IT资源的授权用户，包括但不限于：员工、当前注册的学生、授权承包商、供应商、志愿者和大学确定的其他授权用户。

4. 背景

大学规则3359-11-10.3：“信息技术安全和系统完整性政策”定义了大学人员在信息安全方面的角色和责任。本政策旨在帮助确保令人满意地遵守大学规则3359-11-10.3，B部分，第10段。

5. 定义

• 数字凭据——用户的标识和认证信息，通常是用户名和密码。
• 员工-定期的全职和兼职教师，员工和合同专业人员，无论是否有报酬，他们从大学获得数字证书。
• 学生-没有被学校以任何身份雇用的在校生。
• 第三方-代表学校运作的任何组织、供应商、承包商或合作伙伴。

6. 策略

• 所有员工和第三方应：
  • 聘用后和此后每年，审查大学规则3359-11-10：“访问和可接受地使用大学计算机和信息资源”政策。
  • 完成由首席资讯保安主任（CISO）规定的年度资讯保安意识培训，以支持资讯保安最佳实践和个人在保护大学系统和数据方面的角色。
• 学生每年应：
  • 收到大学规则3359-11-10：“访问和接受使用大学计算机和信息资源”政策的通知。
  • 提供信息安全意识培训，包括信息安全最佳实践及其在保护大学系统和数据方面的作用。
• 首席信息安全官应：
  • 向所有阿克伦大学成员和第三方提供信息安全意识培训，以促进安全成为日常活动的组成部分。
  • 进行已宣布和未宣布的网络钓鱼模拟，以支持全年对学习情况的持续检查。
  • 支持部门为有特定法规要求和数据安全需要的系统和数据集适当补充信息安全意识培训，包括但不限于：
    • FERPA -家庭教育权利和隐私法案
    • 格雷姆-里奇-比利利法案
    • GDPR—一般资料保护规例
    • HIPAA -健康保险流通与责任法案
    • PCI-DSS -支付卡行业数据安全标准

7. 政策合规

• 遵从性测量
  • 首席信息安全官将至少每年沟通一次，告知员工本财政年度的规定培训。
  • 信息安全服务团队将根据大学员工、供应商、承包商、志愿者和其他已获得大学数字证书的授权用户的当前列表跟踪课程完成状态，从而验证该策略的合规性。
• 不符合
  • 大学规则3359-11-10.3，D部分，描述了与信息系统安全和完整性相关的合规要求，并授权大学采取必要的行动来确保合规。
  • 在多次通知后未能完成年度培训可能导致技术特权丧失，例如在培训完成之前访问IT系统和服务，包括但不限于电子邮件、ERP等。
  • 未能在规定时间内完成培训的第三方将无法访问其大学数字证书，直到培训完成。
  • 由于不合规而失去技术特权和/或访问其大学数字证书的个人应与信息安全服务部门协调，在恢复全部特权或访问权限之前完成规定的培训。
  • 多次网络钓鱼模拟失败的个人可以提供额外的培训。

8. 相关文档

大学规则3359-11-10：可接受的使用政策大学规则3359-11-10.3：信息安全和系统完整性政策大学规则3359-11-10.4：客户信息安全政策大学规则3359-11-10.6：社会安全号码使用政策大学规则3359-11-19：选定健康信息的发布、隐私和安全政策和程序ITS：数据访问政策ITS：安全访问和数据存储标准

9. 政策的历史

审批权限：首席信息官政策经理：首席信息安全官生效日期：2022年6月1日先前生效日期：无审核日期：2023年6月1日

 

联络资讯保安      联系IT服务台