目的

本系统和信息完整性信息技术要求(ITR)的目的是为与最全菠菜网院(“学院”)信息技术资源相关的系统和信息完整性流程建立信息安全标准. 信息系统安全学科依赖于确保和维护机密性的实践, 完整性, 信息系统和数据传输的可用性, 加工过的, 和/或存储在这些系统中.

范围

本ITR适用于所有学院信息系统和信息技术资源. 所有信息系统保管人, 其指定方和承包商有责任遵守本ITR. AACC安全计划将保持与NIST SP 800-171一致的安全措施，以确保保护, 完整性, 保密, 信息技术资源的弹性.

定义

1. 授权用户:已被授予访问电子信息资源的授权，并且具有当前权限的用户.
2. 承包商:签订合同提供材料或劳动力来完成某项服务的个人或公司.
3. 数据:以事实形式呈现的信息元素, 比如数字, 单词, 的名字, 或者对事物的描述，从中可以得到“可理解的信息”.
4. 员工:大学教职员工, 包括非免税, 免除, 以及海外教职员工.
5. 信息系统:信息技术资源相互关联的组成部分，为集合而共同工作, 处理, 维护, 使用, 分享, 传播, 或者信息处理.
6. 信息系统管理员:为学院提供服务并负责系统开发的学院职员或其他个人, 采购, 合规, 和/或信息系统的最终处置.
7. 信息技术资源:用于自动采集的任何设备或互联系统或设备子系统, 存储, 操纵, 管理, 运动, 控制, 显示, 切换, 交换, 由学院直接或由第三方根据与学院签订的需要使用该等设备的合同传输或接收数据或信息. 这个术语包括计算机, 移动设备, 软件, 固件, 服务(包括支援服务), 和学院的网络通过物理或无线连接, 无论所有权的信息技术资源连接到网络.
8. 完整性:通过防止不当修改或破坏，确保记录及其所含信息的准确性和真实性.
9. 用户:大学社区成员, 包括但不限于, 工作人员, 教师, 学生, 校友, 以及代表学院工作的个人, 包括第三方供应商, 承包商, 咨询顾问, 志愿者, 以及其他可能需要访问的个人, 使用或控制学院数据.

系统和信息完整性要求

系统和信息完整性要求涉及在系统和组织内实施的安全控制，以确保被访问的系统和信息未被篡改或损坏(完整性)。.

AACC将以基于风险的方式实施NIST SP800-171和SP800-172安全控制.

1. AACC将及时识别和减轻系统缺陷和漏洞.
2. AACC将提供对恶意代码的保护.
3. AACC将监督系统、子系统、组件和应用程序的服务提供商。.
4. AACC将监控系统安全警报和通知，并采取快速纠正措施.
5. AACC将识别和响应未经授权的系统使用.
6. AACC将识别并回应未经授权的信息访问.
7. AACC不会实施系统, 子系统, 组件, 以及被禁止的应用程序, 法律法规.

执行

任何知道可能违规的用户应尽快通知IIT.

任何员工, 代表学院履行职责的承包商或其他第三方如违反规定，可能会被拒绝使用信息技术资源，并可能受到纪律处分, 直至并包括终止雇佣或合同或追究法律诉讼.

豁免

例外情况应提交给信息和教学技术部的副校长, 经信息安全总监审核批准. 如果一个异常被授予了补偿性的安全控制或保护措施，将被记录下来.

突发事件

没有一个

评审过程

资讯科技规定将每12个月或更早(如有需要)检讨一次. 指南和程序将每24个月或更早进行审查，如果需要的话.

指导方针标题:  系统和完整性信息技术要求

指导业主: 信息和教学技术副总裁

指导管理员: 资讯保安总监

联系信息: 约翰•威廉姆斯 jwwilliams6@salamzone.com  

批准日期: 1月. 8, 2024

有效日期: 1月. 8, 2024

历史: 2023年11月通过

适用于: 教职员工

相关政策: 可接受使用资讯科技资源政策

相关程序: 信息技术资源的可接受使用程序

相关指南:

• 信息技术的可接受使用信息技术要求
• 系统及完整性资讯科技指引

形式: N/A

相关法律:

• Nist sp 800- 171,800 -172