College Operations

Home
About MCCC
Policies & Procedures
College Operations

IT Security

Board of Trustees Policy: 5.17

Date: June 2020

Supersedes: January 2010

Purpose

数据和技术的安全漏洞构成了一个非常真实和非常昂贵的威胁 to the College. 安全保障措施必须到位,以保护学院免受这些 威胁,基于它们所带来的风险. 此策略的目的是启用 帮助保护所有学院数据,确保可用性和完整性 运行学院所需的技术(网络、应用程序、数据仓库等).), 并遵守有关数据隐私和保护的法律法规.

Scope

此政策的范围包括所有学院设施的资讯科技保安管理; 数据、技术和所有用户. 此策略不包括非it的管理 相关资产,如纸质记录.

Policy

学院将确保技术的保密性、完整性和可用性 和数据,通过制定和实施合规标准 满足各种IT安全需求. 这些标准将遵循行业定义 确保技术和数据安全的最佳实践.

Roles and Responsibilities

校董会委派评估和批准的责任 遵从标准,作为大学校长的IT安全计划的一部分.

信息技术副校长将担任学院的信息 Security Officer. 在这个角色中,信息技术副总裁负责 用于IT安全的开发、实现和持续管理 项目合规标准. 经主席批准后,合规标准 将由资讯科技副总裁执行.

访问任何IT资产的任何用户在确保IT资产的成功方面都起着至关重要的作用 IT安全计划,并且该责任必须被视为最高优先级 of any User. 例如,用户必须创建强密码,以保护其登录 证书,并利用学院的资源,提供确保 数据的安全存储和传输.

Compliance Standards Overview

遵从性标准将在IT安全计划中添加、删除和修改 取决于行业中最佳实践的变化. These standards will require 信息技术副院长,以及信息学院的成员 技术人员由信息技术副总裁指定,负责承担 采取措施保护书院的资料及科技,例如:

  • 对学院资讯科技资产进行风险评估;
  • 安装、维护和审查安全保障措施,以达到可接受的安全水平 Risk;
  • 根据对学院的敏感性和关键性对数据进行分类;
  • 教育学院社区保护敏感数据和方法的重要性 识别和报告可疑的保安事件;
  • 策略性及有效率地回应资讯科技保安事件;
  • 维护安全措施,保护学院的网络设备;
  • 为电子传送敏感资料订定安全措施;
  • 实施安全保障措施,以预防、检测和解决IT安全事件 源自针对网络、系统和用户的威胁;
  • 定义远程访问敏感IT资产的用户的安全需求 (i.e., off campus) locations;
  • 维护安全措施,防止恶意软件的感染和传播;
  • 妥善管理用户标识、认证、创建和保护 of strong Passwords;
  • 维持一个持续的漏洞管理程序;
  • 及时通过安全更新解决IT资产中的漏洞;
  • 限制对敏感IT资产的访问,允许用户只能访问这些资产 履行其核定职责所需的资源;
  • 制定和遵循适当的数据备份和恢复程序;
  • 实施安全措施,限制物理访问包含敏感信息的区域 IT Assets;
  • 定义维护、审查和保护学院日志的要求 系统和IT资产,以便识别和处理潜在的安全事件 in a timely manner;
  • 建立管理第三方访问敏感IT资产的规则,以及 在授予第三方访问权限后保护学院的IT资产;
  • 实施适当的数据丢失预防措施,以防止和检测数据泄露.
不合规的后果

当用户被发现疏忽或无视遵守规定时 与IT安全合规标准,学院将确定适当的 对用户采取的行动. 举例来说,学院可以在一个 简单的疏忽或无意的错误,培训用户是适当的. 学院可能会认为某些单独的违规事件是如此有害 如要立即上升到纪律后果较严重的级别,予以处分 包括长期停职、终止雇佣关系、 解除职务、停学、开除学籍、终止第三方服务 关系,或终止合同.

Definitions

Access
进入、查看、指示、通信、存储数据、检索的权限 数据从,或以其他方式利用特定的信息资源

Authentication
通过密码验证用户或计算机是否为其所声称的用户或计算机的过程。 token, or other credential

Availability
保证信息和通信服务随时可供利用 when expected

Backup
将数据复制到辅助介质上的过程.g.(磁盘、磁带),以防万一 the primary medium fails

College
蒙哥马利县社区学院

Compliance Standard
IT安全计划中涉及特定IT安全领域的文件; 并为该区域定义适当的安全需求

Confidentiality
保证信息将保密,只允许适当的人访问 Users

Criticality
对数据进行的分类,它决定了维护数据的重要性 Availability

Integrity
确保信息不会被意外或恶意篡改或破坏; 并且是及时、准确、完整和符合其预期目的的

IT Asset
与资讯科技相关的硬件、软件和数据资源,以支持学院的使命

IT Security Incident
导致违反机密性、完整性和/或可用性的it相关事件 of an IT Asset

IT Security Program
政策、法规遵循标准、程序和其他文档的集合 支持学院在资讯科技保安方面的目标

Log
发生在IT资产上的事件的时间顺序记录,包括连接、 用户登录、访问等各种事件,与是否有任何实际无关 或者发生了企图违反安全的行为

Malware
Malicious software (e.g.(病毒,蠕虫,特洛伊木马)开发的目的是造成 对IT资产的机密性、完整性或可用性的破坏

Network Device
构成网络底层连接基础设施一部分的IT资产 (e.g.、路由器、交换机、防火墙、入侵防御系统、内容过滤系统、 remote access system)

Password
一个秘密字符串,它为用户帐户提供必要的身份验证 to gain Access to an IT Asset

Recovery
将数据恢复到辅助介质(如.g. 磁盘,磁带)在一个实例中 the primary medium fails

Risk
一个事件的概率和它的结果的组合

Risk Assessment
发现、分析、解释和确定IT安全优先级的过程 通过检查IT资产的威胁和漏洞来确定风险的大小 评估风险,并确定风险的可接受性

Safeguard
加强或促进安全的管理、技术或物理实体 of an IT Asset

Security Update
减轻IT资产中的安全漏洞的软件补丁

Sensitivity
对数据进行的分类,它决定了维护数据的重要性 Confidentiality and Integrity

Third-Party
非学院内部人员或组织

Threat
威胁源被意外触发或有意利用的可能性 a specific Vulnerability

User
任何教师、职员、承包商、学生或有权访问的第三方 转移至学院的资讯科技资产或电子资料

User Identification
在IT系统中确定用户身份的过程(例如.g., Usernames)

Vulnerability
系统安全程序、设计、实现或内部的缺陷或弱点 控件可能被意外触发或故意利用,并导致 在一个安全漏洞或违反系统的安全策略