1介绍

继续保密, 信息系统的完整性和可用性是菠菜导航网运作的基础. 信息系统的不安全将危及大学履行其提供世界级研究和教学的使命的能力,并因随之而来的财务或声誉损失的风险而产生更大的长期影响.

本电子资讯系统保安政策为大学所有成员提供保障资讯系统安全的指导原则和责任. 大学其他支援政策, 程序和准则将更详细地说明具体的主题领域.

数字、数据 & 科技组将领导大学承诺成功实施信息安全管理,但这只有在大学社区所有成员都意识到的情况下才可能实现, 和携带, 走出自己的个人责任.

1.1保险单的目的

本政策的目的是:

  • 确保大学管理的资讯系统免受保安威胁,并减低无法直接应对的风险
  • 确保大学的所有成员都了解并能够遵守相关的英国和欧盟法律
  • 确保所有用户都意识到并理解他们在保护所访问数据的机密性和完整性方面的个人责任
  • 确保所有用户都知道并能够遵守此策略和其他支持策略
  • 维护大学的声誉和业务,确保大学有能力履行其法律义务,并保护大学不因滥用其资讯科技设施而承担法律责任或受到损害
  • 确保及时审查政策和程序以回应反馈, 立法等因素从而提高持续安全.

1.2适用范围

本信息系统安全政策适用于菠菜导航网的所有成员, 所有与大学信息互动的第三方, 以及所有用来存储或处理它的系统.

2政策

2.1意识与沟通

当所有获授权用户的帐户被发出时,他们会被告知有关政策和配套政策及指引. 指引的更新将通过DD公布&T网站,并在与DD交互的主要点突出显示&T系统的适当变化.

2.2定义

大学数据包括由大学拥有或授权的所有数据元素,或由大学代表第三方处理的任何信息.

大学信息系统——包括但不限于所有拥有的信息系统, 举行, 在大学网络上使用或出现的,以及任何使用它们的人.

数据管理员——菠菜导航网与研究项目相关的最高级研究员是该项目的数据管理员,并最终负责研究数据管理.

数据保管人——数据保管人负责安全保管, 运输, 数据的存储和业务规则的实现. 例如DD中的系统管理员和开发人员&T.

2.3信息安全原则

下列原则为大学的信息和信息系统的安全和管理提供了一个框架.

  1. 信息分类应符合信息分类框架和任何其他立法, 可能增加信息和安全要求敏感性的规章或合同要求.
  2. 数据管理员负责确保其数据是保密的,并与数据保管人合作,根据其分类级别处理信息,并制定适当的程序和系统来满足这一要求. 个人资料储存在何处, 必须收集和记录储存和加工的适当同意.
  3. 本政策范围所涵盖的所有个人必须根据其分类级别适当处理信息.
  4. 信息应该只提供给那些有合法需要的人.
  5. 信息将受到保护,不受未经授权的访问和处理.
  6. 信息将受到保护,防止丢失和腐败.
  7. 资料将根据其分类采取适当的措施,安全、及时地处理.
  8. 任何知道违规行为的人都必须及时报告违规行为.

2.4. 法律和监管义务

菠菜导航网及其员工/学生/用户/成员必须遵守所有当前的英国和欧盟立法以及监管和合同要求. 有关法例的摘要载于附录A -与资讯系统保安政策有关的法例指南.

2.5信息分类

以下是资讯保安原则的资讯分类级别摘要. 详细的定义和进一步的指引可参阅大学秘书办公室的资料分类框架(ICF). ICF包括来自数据保护策略的定义.

类别-高度限制

描述

Highly confidential information whose inappropriate disclosure would be likely to cause serious damage or distress to individuals and/or constitute unfair/unlawful processing of “sensitive personal data” under the Data Protection Act; and/or seriously damage the University’s interests and reputation; and/or significantly threaten the security/safety of the University and its staff/students.

例子

  • 与可识别的在世个人有关的敏感个人数据
  • 个人银行资料
  • Large aggregates (>1000 records) of personal data such as personal contact details
  • 有助于保护个人安全或关键职能和资产安全的非公开信息.g. 较高风险区域的网络密码和访问代码

类别-限制

描述

Confidential information whose inappropriate disclosure would be likely to cause a negative impact on individuals and/or constitute unfair/unlawful processing of “personal data” under the Data Protection Act; and/or damage the University’s commercial interests, 和/或对大学的声誉产生负面影响.

例子

  • 与可识别的在世个人有关的个人资料
  • 学生评核分数
  • 员工菠菜导航网
  • 具有商业价值/义务的研究数据或信息或知识产权

类别-内部用途

描述

不被视为公开的资料,只应在内部分享,但如披露,不会对大学及/或个人造成实质损害.

例子

  • 非机密的内部通信.g. 日常管理,如会议室和餐饮安排
  • 最后的工作组文件和会议记录
  • 内部政策和程序

2.合规和事件通知

菠菜导航网信息系统的所有用户遵守信息安全政策是至关重要的. 任何违反信息安全的行为都是一件严重的事情,可能会导致机密的丧失, 个人或其他机密数据的完整性或可用性. 这种损失可能导致对大学的刑事或民事诉讼,也可能导致商业损失和经济处罚.

任何实际或疑似违反本政策的行为必须根据事件调查程序尽早通知首席数字和信息官或IT安全经理. All security incidents will be investigated and consequent actions may follow in line with this policy; the 可接受使用政策; University disciplinary policy; and relevant laws.

根据大学的资料保护政策,如发现任何影响个人资料的违规行为,资料保护小组会被通知. 遵守此政策应成为任何与第三方合同的一部分,可能涉及访问大学系统或数据.

3. 责任

3.1个人

个人必须遵守可接受使用政策,并遵循相关的辅助程序和指导. 个人应该只访问他们有合法权利访问的系统和信息,而不应该故意试图非法访问其他信息. 个人不得帮助或允许其他个人试图非法访问数据. 特别是, 个人应遵守下表所列的资讯保安“注意事项”:

DO
是否使用强密码,如果您认为密码可能已被泄露,请更改密码 不要把密码给任何人
是否报告任何遗失或疑似遗失的资料 不要将您的大学密码用于任何其他帐户
一定要警惕索取机密信息的虚假邮件或电话——向DD报告任何可疑情况&T服务台 不要打开可疑的文件或链接
是否保持软件更新,并在所有可能的设备上使用杀毒软件 不要破坏大学系统的安全
注意使用公共Wifi或电脑的风险吗 不要提供对大学信息或系统的访问
是否确保大学数据存储在大学系统中 未经允许,请勿复制学校的机密信息
密码是否保护和加密您个人拥有的设备 不要让你的电脑或手机不上锁

3.2数据管理员

数据管理员的职责

了解他们负责的全部信息的广度,并根据信息安全原则1对其进行分类. 遵守 数据政策
确保维护持有或处理其数据的信息系统的数据保管人了解为保护超出正常用户数据的数据而可能需要的任何额外要求.

3.3数据保管人

数据保管人负责保存数据的信息系统,通常是系统管理员. 除了他们个人的责任之外.他们必须:

  • 确保系统的物理和网络安全.
  • 确保他们维护的系统得到适当的配置、维护和开发.
  • 确保数据正确存储和备份.
  • 确保有适当的访问控制,以满足数据管理员的要求.
  • 了解并记录风险, 采取适当的步骤来缓解这些问题,并确保数据所有者理解这些问题.
  • 记录员工的操作程序和职责.
  • 为系统用户发布程序,以允许安全访问和使用.
  • 确保系统符合法律和其他合同要求.

3.IT安全经理

负责电子资讯系统保安政策,并向大学提供专业意见, 特别是数据保管人和数据管理员. 资讯科技保安经理会就引进的任何新资讯系统的保安措施提供意见,以协助厘清政策.

3.5数字,数据 & 科技集团

除了作为许多系统DD的数据保管人之外&T必须确保IT基础设施的提供与此策略的要求一致,以支持其他数据托管.

3.6内部审计

内部审计将确保对数据保管人的程序和分类进行适当的审查.

3.7大学秘书

大学秘书办公室负责信息安全培训, 出版《菠菜地址大全》指南, 与数据保护法相关的政策和遵从性.

4. 配套法规、政策和指导方针

菠菜导航网发布的其他政策支持并加强了这一政策声明. 这些包括但不限于:

政策评估

如有需要,大学会检讨此政策,以确保政策是适当和最新的. 任何问题或顾虑都应向 IT保安经理.

5证明文件

文件控制信息

所有者:Mark Acres IT安全经理
版本号:1.0
批准日期:2016年4月
批准人:执行委员会
上次审核时间:2016年7月