文摘:  JSU必须为JSU员工和第三方供应商访问大学关键信息建立规则和操作参数, 操作员的责任, 以及保护澳门皇冠体育的资产, data, PII和. 保单号码: 50000.013 有效日期: 3/29/2019 审查/修改日期: 3/16/2023  类别: 信息技术 政策的所有者: CIO /信息技术 政策联系: CISO /信息技术

政策声明

此计划概述了在安全数据泄露事件中应遵循的步骤，并确定和描述了事件响应团队(“IRT”)的角色和职责。. 事件响应团队负责在发生数据泄露事件时激活此计划.

 

目的

此策略的目的是建立IRT支持的所有业务单位开发和维护安全响应计划的需求. 这确保了安全事件管理团队和IRT拥有在发生安全事件时制定成功响应所需的所有必要信息.

 

定义

事故应变小组(IRT) -事故应变小组的任务是防止严重的利润损失, 公众对资产的信心或信息及时提供, 对涉及计算机信息系统的任何意外事件作出有效和熟练的反应, 网络或数据库. 事件响应小组被授权采取必要的适当措施来控制, 缓解或解决计算机安全事件.

知识产权(" IP ") -指的是心灵的创造, such as inventions; literary and artistic works; designs; and symbols, 商业中使用的名称和形象.

国家事件管理系统(NIMS) -提供一致的全国模板，使全国各地的合作伙伴能够共同努力预防, 防止, 回复, 恢复, 并减轻事故的影响, 不管是什么原因, 大小, 位置, 或复杂性.

安全事故 -是一个可疑的, 尝试, 成功的, 或者迫在眉睫的未经授权访问的威胁, 使用, 信息披露, 违反, 修改, or destruction of information; interference with information technology operations; or significant violation of responsible/acceptable 使用 policy.

个人身份信息(“PII”) -是可以单独使用或与其他信息一起识别的信息, 联系, 或者找到一个人, 或者在语境中识别个体.

受保护的健康信息(“PHI”) -是有关健康状态的任何信息, 提供保健服务, 或由澳门皇冠体育(“JSU”或“大学”)(或澳门皇冠体育的商业伙伴)创建或收取的医疗保健费用。, 并且可以与特定的个体联系起来.

数据泄露 ——是其中敏感的事件, 可能已经查看了受保护的或机密的数据, 被未经授权的个人窃取或使用的. 数据泄露可能涉及PHI、PII、商业秘密或知识产权.

敏感数据 —加密或明文的数据，包含PII或PHI数据.  

商业秘密 -任何为企业提供竞争优势的机密商业信息.

 

员工坚持

这项政策适用于所有收集者, 访问, 维护, 分发, 过程, 保护, 商店, 使用, 传输, 处理, 或以其他方式处理澳门皇冠体育的PII或PHI，包括与供应商的任何协议.

 

政策

首席信息官(CIO)将领导事件响应小组来处理泄露或暴露.

一旦发生盗窃, 澳门皇冠体育受保护/敏感数据泄露事件得到确认, CIO将被告知被盗事件, 违反或暴露. IT, 和指定的法医小组一起, 是否会分析漏洞或暴露以确定根本原因.

事件响应小组成员来自:

• 资讯科技基建-网络
• 资讯科技及资讯保安
• 财务(如适用)
• 法律
• 大学通信
• 校友关系(如适用)
• 人力资源
• 使用相关系统的受影响单位/部门，其数据可能已被泄露或暴露
• 基于所涉及的数据类型的其他部门, 首席信息官认为必要的其他人员.

 

与法医调查员合作

澳门皇冠体育’s insurer will be provided 访问 to forensic investigators and experts that will determine how the 违反或暴露 occurred; the types of data involved; the number of internal/external individuals and/or organizations impacted; and analyze the 违反或暴露 to determine the root ca使用.  

 

制定沟通计划.

IT将与大学通讯合作, 总法律顾问和人力资源部决定如何将违规行为传达给:a)内部员工, B)公众;, c)直接受影响的人.

 

所有权和责任

角色 & 职责:

• 赞助商 那些杰克逊州立社区的成员对维护任何特定的信息资源负有主要责任吗. 发起人可由任何杰克逊州立行政人员根据其行政职责指定, 或者是真正的赞助商, 集合, 发展, 或者存储信息.
• 资讯保安管理员 那是澳门皇冠体育社区的成员吗, 由资讯科技总监指定, 谁为实施提供管理支持, 与相关保荐人协商，监督和协调特定信息资源的安全程序和系统.
• 用户 包括杰克逊州立社区的几乎所有成员，只要他们有权访问信息资源, 可能包括员工, 受托人, 承包商, 咨询顾问, 实习生, 临时雇员和志愿者.
• 事故应变小组 应由首席信息官主持，并应包括, 但不会局限于, 以下部门或其代表:it网络, IT-Information Security; 大学通信; 法律; Management; Financial Services; 人力资源.

 

政策合规

任何被发现违反此政策的澳门皇冠体育人员都可能受到纪律处分, 直至并包括终止雇佣关系. 任何违反规定的第三方合作公司可能会被终止网络连接/取消合同，并受到法律最大限度的起诉.

相关标准、政策和流程

• 可接受的使用政策，50000.003
• 业务连续性计划，50,000.005
• 数据安全策略，50000.008
• 容灾计划，50000.015
• 国际人道法政策和章程，第711条.08事件准备计划(2023年5月18日)
• JSU教师手册，校园安全(2019年8月30日)
• JSU教师手册，校园突发事件期间的责任(2019年8月1日)