1介绍
持续保密, 信息系统的完整性和可用性是365平台官网运作的基础. 未能确保信息系统的安全将危及大学履行其提供世界一流研究和教学的使命的能力,并通过随之而来的财务或声誉损失的风险产生更大的长期影响.
本电子信息系统安全政策为大学所有成员提供了保护其信息系统所需的指导原则和责任. 其他配套政策, 程序和准则将更详细地说明具体主题领域.
数字、数据 & 技术组将领导大学承诺成功实施信息安全管理,但这只有在大学社区的所有成员都意识到的情况下才有可能, 和携带, 拿出自己的个人责任.
1.1政策目的
这项政策的目的是:
- 确保大学管理的信息系统受到保护,免受安全威胁,并减轻无法直接应对的风险
- 确保大学的所有成员都了解并能够遵守相关的英国和欧盟法律
- 确保所有用户都意识到并理解他们在保护所访问数据的机密性和完整性方面的个人责任
- 确保所有用户都了解并能够遵守本政策和其他支持政策
- 维护大学的声誉和业务,确保大学有能力履行其法律义务,并保护大学免受因滥用资讯科技设施而造成的责任或损害
- 确保及时审查政策和程序以回应反馈, 立法和其他因素,以提高持续的安全.
1.2适用范围
本信息系统安全政策适用于365平台官网的所有成员, 所有与大学信息互动的第三方, 以及所有用来存储或处理它的系统.
2政策
2.意识与沟通
所有授权用户在开立帐户时,会被告知有关政策及辅助政策及指引. 指南的更新将通过DD公布&T网站,并强调了与DD的主要互动点&T系统的适当变化.
2.2定义
大学数据包括由大学拥有或授权的所有数据元素,或由大学代表第三方处理的任何信息.
大学信息系统——包括但不限于所有的信息系统, 举行, 在大学网络上使用或呈现的信息,以及任何使用这些信息的人.
数据管理员-365平台官网与研究项目相关的最资深研究员是该项目的数据管理员,最终负责研究数据管理.
数据保管人-数据保管人负责数据的安全保管, 运输, 数据的存储和业务规则的实现. 例如DD中的系统管理员和开发人员&T.
2.3信息安全原则
以下原则为大学信息和信息系统的保安和管理提供了一个框架.
- 信息分类应根据信息分类框架和任何其他立法进行, 可能增加信息和安全需求敏感性的法规或合同要求.
- 数据管理员负责确保其数据是保密的,并与数据保管人合作,按照其分类级别处理信息,并制定适当的程序和系统来满足这一要求. 个人资料储存在哪里, 必须收集和记录储存和处理的适当同意.
- 本政策范围所涵盖的所有个人必须根据其分类级别适当地处理信息.
- 信息只应提供给有合法需要的人.
- 信息将受到保护,防止未经授权的访问和处理.
- 信息将得到保护,防止丢失和损坏.
- 信息将以安全、及时的方式处理,并采取适当的分类措施.
- 任何知道违反政策的人都必须及时报告.
2.4. 法律和监管义务
365平台官网及其365官网/学生/用户/成员必须遵守所有现行的英国和欧盟立法以及监管和合同要求. 有关法例的摘要载于附录A -资讯系统保安政策相关法例指南.
2.5信息分类
以下是资讯保安原则的资讯分类级别摘要. 详细的定义和进一步的指导可以在大学秘书办公室的信息分类框架(ICF)中找到. ICF包括来自数据保护政策的定义.
类别-高度限制
描述
Highly confidential information whose inappropriate disclosure would be likely to cause serious damage or distress to individuals and/or constitute unfair/unlawful processing of “sensitive personal data” under the Data Protection Act; and/or seriously damage the University’s interests and reputation; and/or significantly threaten the security/safety of the University and its staff/students.
例子
- 与可识别的在世个人有关的敏感个人资料
- 个人银行资料
- Large aggregates (>1000 records) of personal data such as personal contact details
- 有利于保护个人安全或关键职能和资产安全的非365官网.g. 高风险地区的网络密码和访问代码
类别-限制
描述
Confidential information whose inappropriate disclosure would be likely to cause a negative impact on individuals and/or constitute unfair/unlawful processing of “personal data” under the Data Protection Act; and/or damage the University’s commercial interests, 和/或对大学声誉产生负面影响.
例子
- 与可识别的在世个人有关的个人资料
- 学生评核分数
- 员工联络资料
- 研究资料或具有商业价值/义务的知识产权
类别-内部用途
描述
不属于公开的资料,只应在校内分享,但如披露不会对大学及/或个人造成实质损害.
例子
- 非机密的内部通信.g. 日常行政管理,如会议室和餐饮安排
- 最后工作组文件和会议记录
- 内部政策和程序
2.合规和事件通知
365平台官网信息系统的所有用户遵守信息安全政策是至关重要的. 任何违反信息安全的行为都是严重的问题,并可能导致机密性的丧失, 个人或其他机密数据的完整性或可用性. 这种损失可能导致针对大学的刑事或民事诉讼,也可能导致商业损失和经济处罚.
任何实际或疑似违反本政策的行为都必须根据事件调查程序尽早通知首席数字和信息官或IT安全经理. All security incidents will be investigated and consequent actions may follow in line with this policy; the 可接受使用政策; University disciplinary policy; and relevant laws.
根据大学的数据保护政策,数据保护团队将被告知任何影响个人数据的违规行为. 遵守这一政策应成为与第三方签订的任何可能涉及访问大学系统或数据的合同的一部分.
3. 责任
3.1个人
个人必须遵守可接受的使用政策,并遵循相关的辅助程序和指导. 个人应该只访问他们有合法权利访问的系统和信息,而不是故意试图非法访问其他信息. 个人不得帮助或允许其他个人试图非法访问数据. 特别是, 个人应遵守以下表格中列出的信息安全“注意事项”:
| DO | 不 |
|---|---|
| 是否使用强密码,并在认为密码可能已被泄露时更改密码 | 不要把你的密码告诉任何人 |
| 是否报告任何丢失或疑似丢失的数据 | 不要将你的大学密码重复用于任何其他帐户 |
| 一定要警惕那些要求机密信息的虚假邮件或电话——向DD报告任何可疑的事情&T服务台 | 不要打开可疑的文件或链接 |
| 是否保持软件更新,并在所有可能的设备上使用防病毒软件 | 不要破坏大学系统的安全性 |
| 是否留意使用公共Wifi或电脑的风险 | 不要提供访问大学信息或系统的权限 |
| 是否确保大学数据存储在大学系统中 | 未经允许,请勿复制大学机密资料 |
| 密码能保护和加密你的个人设备吗 | 不要让你的电脑或手机上锁 |
3.2数据管理员
数据管理员的职责
了解他们所负责的全部信息,并根据信息安全原则1对其进行分类.
遵守 数据政策
确保维护持有或处理其数据的信息系统的数据保管人了解为保护超出正常用户数据的数据而可能需要的任何额外要求.
3.3数据保管人
数据保管人负责保存数据的信息系统,通常是系统管理员. 除了他们个人的责任之外.他们必须:
- 确保系统的物理和网络安全.
- 确保他们维护的系统得到适当的配置、维护和开发.
- 确保数据得到适当的存储和备份.
- 确保适当的访问控制已到位,以满足Data steward的要求.
- 了解并记录风险, 采取适当的步骤来减轻并确保数据所有者理解这些问题.
- 记录员工的操作程序和职责.
- 为系统用户发布过程,以允许安全访问和使用.
- 确保系统符合法律和其他合同要求.
3.4 IT安全经理
负责电子资讯系统保安政策,并为大学提供专业意见, 特别是数据保管人和数据管理员. 资讯科技保安经理将为任何新引进的资讯系统提供适当的保安措施,以协助政策的清晰明了.
3.5数字、数据 & 科技集团
除了作为许多系统DD的数据保管人的功能之外&T必须确保IT基础设施的提供与此策略的要求一致,以支持其他数据保管人.
3.6内部审计
内部审计将确保对数据保管人的流程和分类进行适当的审查.
3.7大学秘书
大学秘书办公室负责资讯保安培训, 信息分类框架指南的出版, 与数据保护法相关的政策和合规性.
4. 配套法规、政策和准则
365平台官网发布的其他政策支持并加强了这一政策声明. 这些包括但不限于:
政策评估
大学将在需要时审查此政策,以确保其保持适当和最新. 如有任何疑问或顾虑,请向 IT保安经理.
5证明文件
文件控制信息
所有者:Mark Acres IT安全经理
版本号:1.0
批准日期:2016年4月
批准机构:执行委员会
最近审查日期:2016年7月