文摘:  JSU必须保护和控制对其创建的敏感数据的访问, 收集, 用纸储存和处理, 电子格式符合所有适用的联邦和州法律以及大学政策. 保单号码: 50000.019 有效日期: 1/25/2019 审查/修改日期: 3/22/2023  类别: 信息技术 政策的所有者: CIO /信息技术 政策联系: CISO /信息技术

政策声明

本政策的目的是通过及时应用最新的操作系统和应用程序安全更新/补丁，提供必要的流程和指导方针，以维护关键系统和校园范围内的最终用户系统和澳门皇冠体育数据的完整性.

 

定义

• 补丁—补丁是软件和操作系统(OS)的更新，用于解决程序或产品中的安全漏洞.

 

范围

此策略及其进程引用JSU拥有的所有桌面, 笔记本电脑, 服务器, 应用程序, 移动和网络设备以及任何其他代表访问大学敏感和机密数据以及技术资源和服务的接入点的附加项目.

 

员工坚持

这项政策适用于所有JSU员工, 承包商, 咨询顾问, 临时工和其他工人, 包括所有与使用JSU拥有的桌面的第三方相关的人员, 笔记本电脑, 服务器, 应用程序, 移动和网络设备以及任何其他附加设备, 访问崔的技术资源和服务, 敏感和非敏感的大学数据.

政策

一般 使用和所有权

而JSU的网络管理希望提供合理级别的完整性, 用户应该意识到，他们在大学系统上创建/接收的数据/电子邮件仍然是JSU的财产，并且在使用这些系统时没有隐私可言. 因为需要保护学校的网络, 管理层不能保证存储在属于JSU的任何网络设备上的信息的保密性. JSU有责任对个人使用的合理性进行良好的判断. DIT建议对用户认为敏感或易受攻击的任何信息进行加密和密码保护. 出于安全和网络维护的目的, DIT组内的授权人员可以随时分析网络使用情况, 与JSU系统/设备和网络相关的交通模式和流量. JSU的DIT集团保留定期审计网络和系统的权利，以确保遵守本政策.

保密及专有资料

(个人识别，FERPA, GLBA, SOX，联邦/州监管. 参见本政策第3节中的定义.)

• 所有用户应采取一切必要措施，防止未经授权访问此信息. 请妥善保管密码，不要共用帐号.
• 授权用户对其密码和帐户的安全负责.
• 系统级密码应每半年(6个月)更换一次。. 以前使用的密码将不被允许.
• 用户级密码应每6个月更改两次).
• 所有的电脑, 笔记本电脑和工作站应该使用密码保护的屏幕保护程序，并将自动激活功能设置在10分钟或更短的时间内, 或者在系统无人操作时注销(Win用户使用Control+Alt+Delete) (Mac用户使用Control+Shift+弹出)(Retina Macbook Pro使用Control+Shift+电源). 因为便携式电脑上的信息特别容易受到攻击, 应特别注意保护这些数据.
• 所有员工通过JSU电子邮件地址发布到新闻组的帖子都应该包含免责声明，声明所表达的观点完全是他们自己的，而不一定是JSU的观点, 除非投递是在业务职责范围内. 员工在打开未知发件人发来的电子邮件附件时必须格外小心, 可能含有病毒, 电子邮件炸弹, 或特洛伊木马代码.
• 侵犯任何受版权保护的个人或公司的权利, 商业秘密, 专利或其他知识产权, 或类似的法律法规, 包括, 但不限于, 安装或分发“盗版”或其他未经JSU适当许可使用的软件产品.

不可接受的使用

一般来说，下列活动是禁止的. 雇员在履行其合法工作职责期间(如.g., 如果主机正在中断生产服务，系统管理人员可能需要禁用主机的网络访问。. 在任何情况下，JSU的用户都无权从事任何当地法律规定的非法活动, 状态, 联邦, 或国际法，同时利用jsu拥有的资源. 下面的列表绝不是详尽的, 但试图为属于不可接受的使用类别的活动提供一个框架. 所有员工通过JSU电子邮件地址发布到新闻组的帖子都应该包含免责声明，声明所表达的观点完全是他们自己的，而不一定是JSU的观点, 除非投递是在业务职责范围内. 员工在打开未知发件人发来的电子邮件附件时必须格外小心, 可能含有病毒, 电子邮件炸弹, 或特洛伊木马代码.

• 侵犯任何受版权保护的个人或公司的权利, 商业秘密, 专利或其他知识产权, 或类似的法律法规, 包括, 但不限于, 安装或分发“盗版”或其他未经JSU适当许可使用的软件产品.
• 集合, 存储或分发色情或被认为是违反本政策的淫秽材料.
• 未经授权复制受版权保护的材料，包括, 但不限于, 杂志照片的数字化和分发, 书籍或其他受版权保护的资源, 受版权保护的音乐, 受版权保护的电影以及安装JSU或最终用户没有有效许可的任何受版权保护的软件是严格禁止的.
• 非法出口软件, 技术信息, 违反国际或地区出口管制法律的加密软件或技术.
• 将恶意程序引入网络或服务器.g.病毒、蠕虫、特洛伊木马、电子邮件炸弹等.)
• 向他人透露您的帐户密码或允许他人使用您的帐户. 这包括在家里工作的家庭成员和其他家庭成员.
• 使用JSU计算资产积极参与采购或传播违反用户当地管辖区内性骚扰或敌对工作场所法律的材料.
• 从任何JSU帐户提供欺诈性产品，项目或服务.
• 导致安全漏洞或网络通信中断. 安全漏洞包括, 但不限于, 访问用户不是预期接收者的数据，或登录用户未明确授权访问的服务器或帐户, 除非这些职责是在正常职责范围内. 就本节而言, “中断”包括, 但不限于, 网络嗅探, 点击洪水, 包欺骗, 拒绝服务, 伪造路由信息.
• 明确禁止端口扫描或安全扫描，除非事先通知DIT和/或这些过程在正常职责范围内.
• 执行任何形式的网络监控，将拦截非雇员主机的数据, 除非该活动是员工正常工作/职责的一部分.
• 规避任何主机、网络或帐户的用户身份验证或安全.
• 干扰或拒绝向员工主机以外的任何用户提供服务(例如, 拒绝服务攻击).
• 使用任何程序/脚本/命令, 或者发送任何形式的信息, 意图干扰或禁用用户的终端会话, 无论如何, 本地或通过Internet/Intranet/Extranet.
• 未经学校管理部门书面许可，向校外提供JSU受保护用户的信息(或名单)或非目录信息.
• 任何被发现违反本政策的人将被立即通知停止. 用户将被给予一个时间框架，要么遵守，要么断开与JSU网络的连接，直到他们能够证明问题已经得到解决.

 

• (个人识别，FERPA, GLBA, SOX，联邦/州监管. 参见本政策第3节中的定义.)
•  
• • 必须为所有服务器操作系统(OS)安排一个风险通知的系统补丁周期, 适当的, 用于JSU信息系统和相关子系统.
  • 常规补丁计划之外的任何紧急补丁过程都必须根据风险级别进行, 由系统所有者hvjhvr与JSU补丁管理团队成员协商决定.
  • 服务器, 服务, 或应用程序必须使用当前操作系统进行维护, 应用程序, 或者安全补丁级别, 根据软件制造商的建议和风险通知, 保护大学资讯不受已知资讯安全问题的影响.
  • 当自动化补丁无法在最终用户的系统中实现时，适当的IT补丁管理团队成员必须手动实现补丁

 

• 补丁管理角色和职责
  • 管理角色和职责，确保流程快捷, 有效的, JSU信息系统和设备补丁管理的有序流程如下表所示:

 

 

角色	责任
首席信息官	审核和批准关键系统和设备的补丁实施建议
首席技术官	审核和批准关键系统和设备的补丁实施建议
CISO/网络安全官/专家	Lead the PMT in the patch implementation process; proactively identify essential patches that may lead to vulnerabilities; assess patch management process and its 有效的ness
补丁管理团队	识别和讨论补丁版本 Test patches; maintain patch management tools; notify the CIO and CTO of adverse effects.

 

• 所有被批准在工作场所使用个人设备进行工作相关职责的JSU员工和员工都有责任确保他们的设备始终更新与安全漏洞相关的补丁.

 

• 所有第三方供应商签约存储, 和/或处理JSU的敏感数据负责确保其用于提供合同服务的系统随时更新，并及时为这些系统应用安全补丁.

 

补丁管理流程

1. 1. 创建和维护组织的硬件和软件清单.
   2. 利用安全漏洞资源(厂商网站)识别新发现的漏洞和安全补丁, 新闻来源, rss提要, 供应商漏洞数据库).
   3. 在测试环境中对补丁进行通用测试
   4. 根据更新类型(关键)建立部署补丁的时间表, 非关键, 定期保养)
   5. 将补丁部署推出到生产环境
   6. 继续监控和评估补丁

 

补丁管理程序

1. 1. 识别必要的补丁并执行补丁验证:JSU信息技术系统将只使用可信来源的系统/应用程序补丁.
   2. 执行补丁评估以确定临界水平
   3. 根据系统的关键程度确定响应时间, 如果系统出现故障，会对业务造成影响, 如果系统保持未打补丁并且基于更新类型，则漏洞发生的可能性(至关重要), 非关键, 定期保养)
   4. 根据JSU变更管理政策和程序，通过电子邮件或表格提交变更请求
   5. 来自补丁管理团队的授权JSU IT员工将(1)在与生产环境相似的非生产环境中对补丁进行部署前测试，以评估可用性, 安全, (2)对补丁结果和影响的描述将记录在JSU变更管理日志文件中以供审查
   6. 应用补丁的请求将由变更管理委员会成员审查和批准
   7. 批准后，将向相关方发送电子邮件通知，其中包含以下信息:补丁将部署的日期/时间, 哪些系统和服务将受到影响, 补丁更新将持续的时间长度，并提供联系信息，以表达向生产环境部署补丁的关注或问题
   8. JSU补丁管理团队的成员将在必要时继续监控和评估应用补丁的系统

 

 

异常

以下是JSU所有系统的例外情况, 软件, 应用程序 or device that cannot be patched to resolve a known vulnerability include 1) the vendor does not have a patch available; 2) the patch provided by vendor creates instability within the system; instability outweighs the risk.  

 

政策合规

• • 任何JSU员工, 被发现违反本政策的供应商和承包商可能会受到纪律处分, 直至并包括撤销访问权限, 或终止合同或雇佣关系.  除了大学纪律, 使用者可能会受到联邦法律的刑事起诉, 状态 or local laws; civil liability or both for unlawful use of any IT System