ITS:工作日安全标准
1. 概述
阿克伦大学(UA)正在迁移到一个新的企业资源规划(ERP)系统Workday。迁移到Workday可以实现改进的安全控制,并定义和遵守新的安全标准。
2. 目的
本标准建立了在首席信息安全官(CISO)的指导下配置Workday的安全指南,以最大限度地降低数据泄露或其他信息安全事件的风险。本文建立的指导方针支持大学的信息安全计划,数据治理计划,风险和合规计划,以及某些法规和法规。这些法规和规章的例子包括但不限于:
- FERPA -家庭教育权利和隐私法
- GDPR—一般资料保护规例
- 格雷姆-里奇-比利利法案
- HIPAA——健康保险流通与责任法案
3. 范围
本标准适用于所有有权访问Workday的阿克伦大学成员。
4. 定义
- 数据所有者——对一组特定数据负有责任并有权做出决策的个人或团体。数据所有者负责收集和使用信息的一个或多个功能,确定信息的保护级别,对信息的适当使用做出决定,并确定信息的适当分类。这个角色通常属于功能性学术或行政领域,如注册主任、人力资源或首席财务官和教务长办公室。
- 数据管理员——由数据所有者确定代表数据所有者采取行动并批准或拒绝对数据的访问的人。
- 企业资源规划(ERP)——ERP是一种软件系统,可以帮助组织自动化和管理核心业务流程,以获得最佳性能。
- 最小特权原则(PoLP)—最小特权原则是一种安全控制,它为用户提供完成其工作所需的最少访问量。
- 特权访问-超出标准用户的特殊访问或权限。
- 安全组—用户的集合,或与用户相关的对象的集合。允许安全组访问安全策略中的安全项,即授予与该安全组关联的用户访问权限。
- 安全策略-允许访问Workday中的进程或对象的配置设置。
- 职责分离(SoD)——职责分离是指没有人对交易的生命周期拥有唯一的控制权。理想情况下,没有人能够发起、记录、授权和协调交易。
5. 标准
Workday的安全配置将遵循行业最佳实践以及Workday的最佳实践。
- 数据屏蔽
- 所有个人身份信息(PII)将对除信息所属个人外的所有Workday用户进行屏蔽。
- 所有财务支付数据都将对所有不需要访问它的Workday用户进行屏蔽。
- 减少定制
- 对Workday的访问由安全组控制。安全组应用于安全策略。
- Workday提供内置的安全组,自动应用到关联的安全策略中。
- IT安全服务不会提供自定义访问或自定义组,除非对所请求的自定义有法规要求或合法的、记录的安全需求。
- 最小特权原则(PoLP)
- IT安全服务将确保用户拥有完成其工作所需的访问权限;但是,将为用户提供所需的最少访问量。
- 迁移到一个新的ERP系统将需要大量的改变,而过去的糟糕做法将不会在新系统中复制。
- 如果出现差异,即用户或部门认为他们需要比最初授予的访问权限更多的访问权限,首席信息安全官将与相关的数据所有者和/或数据管理员一起决定是否应该进行更改。
- 职责分离(SoD)
- IT安全服务将配置Workday,以坚持职责分离作为基线。
- 职责分离可能因部门大小、结构和功能而异,但只有事务的关联Data Owner可以授权异常。
- 代表团
- 在ITS:工作日授权和审批政策中涵盖了授权。
- 代理
- 代理访问仅在开发租户中可用。
- 只有获得批准的个人才被允许使用代理功能。
- 使用代理来批准任何交易或配置更改是严格禁止的。
- 使用代理来查看由于安全配置而无法访问的数据是严格禁止的。
- 唯一批准的例外是对安全权限进行故障排除。
6. 标准的遵从性
- 角色和职责
- IT安全服务部门负责审查、更新和发布本标准。
- IT安全服务将通过各种方法(包括但不限于内部和外部审计、系统报告、审计日志和配置更改警报)验证该标准的合规性。
- 部门员工有责任遵循本标准中建立的指导方针。
- 不符合
- 任何故意违反本标准的人都可能受到适当的纪律处分或制裁。
- 异常
- 本标准的例外情况应遵循ITS:数据访问政策中定义的例外过程。
7. 相关文档
大学规则3359-11-08:学生档案政策和程序大学规则3359-11-10:可接受使用政策大学规则3359-11-10.3:信息安全和系统完整性政策大学规则3359-11-10.4:客户信息安全政策大学规则3359-11-10.6:社会安全号码使用政策大学规则3359-11-10.8:身份盗窃检测、预防和缓解政策大学规则3359-11-19:政策和程序的发布,隐私,和选定的健康信息安全ITS:数据分类标准ITS:安全访问和数据存储标准
8. 标准的历史
审批权限:首席信息官政策经理:首席信息安全官生效日期:2022年11月30日之前生效日期:NA审核日期:NA