Atchison,堪萨斯

网络安全政策

This policy refers to all college 信息 resources whether individually controlled or shared, 独立或联网. 它适用于所有拥有的计算机和通信设备, 租赁, 操作, 或者由学院承包. 这包括所有联网设备, 包括但不限于, 手机, 个人电脑, 工作站, 小型计算机或其他无线设备,如ipad, 平板电脑和chromebook, 以及任何相关的外围设备和软件, 不管是否用于管理, 研究, 教学或其他用途.

今天, 信息技术(IT)渗透到教学的各个方面, 学习, 研究, 学院的外展、商业和设施功能. 保护信息和信息系统对于维护学院履行其使命和履行其对学生的责任的能力至关重要, 教师, 工作人员, 以及它所服务的公民. 州和联邦法规, 规则, 法规, college policies and other explicit agreements also mandate the security of 信息 and 信息 systems. Failure to protect the college’s 信息 technology assets could have significant financial, 法律, 道德后果.

本笃学院承认其有义务确保其所有权和控制范围内信息系统的适当安全. 此外, 学院认识到它有责任提高本笃学院社区成员的安全意识. This policy establishes the general principles of 信息 security that will be applied throughout the college.

范围

All financial and administrative policies involving community members across campus are within the scope of this policy. If there is variance between departmental expectations and the common approach described through college policy, the college will look to the campus community to support the spirit and the objectives of college policy.

政策

授权和保留的权力/行政责任

学院院长将学院信息安全政策的管理授权给首席财务官和IT总监.

资讯保安目标

Information security is critical to the interests of the college and the many constituencies it serves. The following list provides some of the objectives of 信息 security at 本笃会的大学.  此列表具有代表性,并不意味着建议学院信息安全政策或计划的全部目标.

  • 支持和维护学院的正常运作. 学院越来越多的功能都是电子处理的, 并以严谨的自然技术运用, it is critical that 信息 and 信息 systems be protected so the college can operate without interruption.
  • 保护大学资产. 该学院拥有包括知识产权在内的许多资产, 研究和教学数据系统, 还有实物资产. 这些资产的损失可能会产生重大的财务影响,以及对关键研究和教学计划的重大负面影响.
  • 保障个人及资料的私隐. With the increasing risk of identity fraud and other potential misuses of personal 信息, it is paramount that the college safeguard personal 信息 entrusted to its stewardship.
  •  保护金融交易和电子通讯. The college is the custodian of financial records and transactions; safeguarding these records is critical to maintaining trust relationships essential to our business function. 电子通讯受可接受使用政策规管.
  • 维护机构的诚信和声誉. Security breaches reflect negatively on the capability of the college to 管理 entrusted resources. In addition, security breaches could result in the potential for criminal or civil action.
  • 防止利用大学系统进行恶意行为. 学院的开放性质和为广大和多样化的选民提供方便访问的愿望使我们成为未经授权的用户不恰当地利用大学资源的目标. 学院必须防止使用本笃学院的系统和基础设施的恶意行为对自己的系统,以及对其他个人和组织的攻击.
  • 遵守州和联邦法律. 州和联邦法律法规要求学院采取合理措施确保数据的安全性(FERPA), 健康保险流通与责任法案, GLBA, 一种总线标准, DGPR). 未能保护这些信息可能会导致法律诉讼或导致学院失去提供服务的能力.

责任及问责

资讯科技总监

The college’s 资讯科技总监 has overall responsibility for the security of the college’s 信息 technologies. Implementation of security policies is delegated throughout the college to various college services, departments and other units; and to individual users of campus 信息 resources.

首席财务官

The 首席财务官 is responsible for providing interpretation of this and other related policies, 传播相关信息, 在整个校园执行信息安全政策.

大学服务

学院内的各种官员负有主要责任和权力,以确保本笃学院满足外部和内部对知识产权的要求, 研究和机构数据, 机密和商业信息的隐私和安全. 多个部门负责一般安全问题(法律问题), 安全合规, 物理安全, 通信, 及资讯科技基建保安). These individuals or departments are responsible for assisting in the development of college 信息 security policies, 标准, 以及他们职责范围内的最佳实践. They are also responsible for advising departments and individuals in security practices related to areas they oversee, 如下:

  • 人事信息和保密-人力资源
  • 学生信息和保密-注册办公室
  • 财务信息和交易-财务和管理
  • 学生贷款信息-财政援助
  • 基础设施、通信、系统安全和审计——IT
  • Legal Issues – Finance and Administration division for engaging 法律 counsel service
  • 健康资讯-学生生活
  • 校友,家长和捐赠者信息-进步办公室
  • 其他资讯-资讯科技总监

部门及其他单位

Departments and other units are responsible for the security of any 信息 they create, 管理, 或储存, 对于他们从其他学院系统获得或访问的任何信息(例如.e. 学生档案、人事档案、业务资料).

注意: 由IT部门以外的部门和个人管理的太阳城官网程序和数据的安全是管理部门的责任. IT 工作人员 will provide advice and support for implementing security measures when requested.

数据管理

数据访问

学生, 教师, 使用个人系统访问学院资源的员工对其个人计算机和其他网络设备的安全负责,并遵守以下规定:学院安全政策的规定, 大学计算机和网络设施用户的最佳实践标准和指导方针以及所有其他法律, 规定, 或者针对单个用户的策略.

  1. 未经授权的帐户或系统访问
    • 您不得访问或使用, 或试图访问或使用, 除您自己指定的帐户以外的任何计算机帐户或您未被授予访问权限的任何计算机系统. 换句话说, 用户只能使用自己的文件, 被指定为公共物品的, or those that have been made available to them with the knowledge and consent of the owner. The College’s Academic Honor System and its prohibitions against plagiarism and cheating, 除此之外, 适用于学生使用本尼迪克特学院在学术课程准备中使用的计算资源上获得的任何文件和信息.
    • 用户不得访问计算机, 软件, 数据或信息, 或未经适当授权的网络, 不管是否有任何损坏或是否电脑, 软件, data, 信息, 或者这个网络属于学院所有.
  2. Campus community members all share in the commitment to safeguarding the college’s data. The college will rely on the principle of ‘least privilege’ in granting access to data and 信息.
    • Initial access to data and 信息 must be authorized by the appropriate Data Steward (Cabinet Member);  
    • 校园社区成员的访问需求可能会因新职位而改变, 现有职位职责的变更, 或终止. Human 资源 and Information 技术 Department: shall collaborate to ensure appropriateness of ongoing access;
    • 特权用户(系统管理员), database administrators) access to data shall be periodically reviewed to ensure that access to data remains appropriate;
    • 有时, 校园社区需要提供外部个人或团体(审计员), 承包商, 供应商)有访问权限.  在这些情况下, an access start date and an access termination date shall be simultaneously identified. 是否需要在终止日期之后访问, 应咨询最初批准访问的数据管理员或指定人员.

提供有效安全的操作控制

学院通过隔离获得访问权的实体来控制内部访问权, 批准访问, 提供访问权限. 当一个实体与学院分离时,访问权就被取消了.

报告资讯保安事故

Reporting incidents is an ethical responsibility of all members of the 本笃会的大学 community. 所有与信息安全事件有关的信息应通过联系帮助台及时报告给信息技术总监.

丧失电脑特权/纪律影响

保护大学信息和信息系统的安全是每个大学社区成员的责任. 每一个学生, 教师, 员工有责任理解并遵守所有当前和未来批准的IT政策和程序,包括本信息安全政策. Failure to comply with these policies may result in loss of computing privileges and/or disciplinary action, 直至并包括终止. 不合规的例子包括但不限于:

  • 不恰当地访问和/或使用大学数据;
  • 任何人不得在大学拥有的系统上存储或使用侵犯或妨碍他人使用计算资源的程序. 这类程序的例子是试图获取另一个用户的密码, 获取其他用户的文件, 规避系统安全措施, 或者使计算机系统崩溃.
  • Connecting to inappropriate sites such as those involving pornography, weapons or drugs for example.

教育

提高对资讯科技保安重要性的认识,是建立一个环境的重要组成部分,在这个环境中,每个人都感到有责任和有权为他/她自己和社会的最佳利益行事. The IT Department will provide opportunities for individuals to learn about their roles in creating a secure IT environment.

定义

安全: 没有不可接受的风险的状态. 因此,信息安全的重点是降低计算系统的风险, 通信系统, 信息被滥用, 摧毁了, 因故意或意外而不适当地修改或披露的.

独立: 未连接到网络的计算机.

网络资源: 参考数据的形式, 信息 and hardware devices that can be accessed by a group of users through the use of a shared connection.

合适的数据管理员: 总统的内阁成员是 数据管家 在各自的领域.

数据分类级别: 分配给数据的分类级别将指导数据管理员, 数据管理者, 数据使用者, 业务和技术项目团队, 以及任何其他可能获取或存储数据的人, in the security protections and access authorization mechanisms appropriate for that data. 这种分类鼓励讨论和随后对所显示或操纵的数据的性质的充分理解.  数据被分类为以下其中一种:

  • 敏感: Protection of this data is required by state and/or federal law and/or by 本笃会的大学 policy. 对“敏感”数据的访问必须从创建到销毁都受到控制, 并且只授予那些与本尼迪克特学院有关联的人,他们需要这样的机会来履行他们的工作, 或者是法律允许的个人. 数据的保密性是最重要的, 尽管数据的完整性也必须得到保证. Access to sensitive data must be authorized in accordance with the college’s most current policy regarding authorization.   
  • 保密: 访问“机密”数据的请求必须来自, 并由, 负责数据的内阁成员.  作为工作职责的一部分,人员可以访问数据. 这些数据的完整性至关重要, 这些数据的机密性必须得到保护. 机密数据的例子包括采购数据, 不包含受限制数据的金融交易, 保密协议和图书馆交易所涵盖的信息. Access to confidential data must be authorized in accordance with the college’s most current policy regarding authorization.   
  • 公众: 任何申请人均可获准查阅“公共”机构资料. 公共数据不被视为机密. Examples of public data include published directory 信息 and academic course descriptions. 必须保护公共数据的完整性, 适当的管理员必须授权复制数据.

    注意:  即使数据被认为是公开的, 未经适当批准,不能发布(复制或复制).

数据的完整性: 存储数据的准确性和一致性, indicated by an absence of any variance in data between two updates of a data record.

数据托管业务: 资讯科技署职员或电脑系统管理员,负责操作及管理收集资料的系统及伺服器, 管理, 并提供访问大学数据的途径.  Data custodians must be authorized by the appropriate data owner or the Director of Information 技术. 

数据管家: 总统内阁成员,负责与信息技术总监协调获取和保护数据和信息.

最小特权: 用户访问仅限于为学院执行工作所需的资源. 

入侵预防: process of performing intrusion detection and attempting to stop detected possible incidents

入侵检测: 监视计算机系统或网络的异常事件并对其进行分析以确定事件是否已经发生的过程.

加密: 使用一种算法将数据转换为一种形式,其中的内容被屏蔽,只有那些拥有密钥或其他机密手段来显示数据的人才能查看.