1介绍

继续保密, 信息系统的完整性和可用性支撑着365平台官网的运作. 如未能确保资讯系统的安全,将危及大学履行其提供世界一流研究及教学的使命的能力,并由此带来财务或声誉损失的风险,从而产生更大的长期影响.

本《365平台官网》为大学所有成员提供有关资讯系统保安的指导原则和责任. 其他支持大学政策, 程序和准则将更详细地说明具体主题领域.

数字、数据 & 科技集团将带领大学致力成功推行资讯保安管理,但这只有在大学全体成员都意识到的情况下才有可能实现, 和携带, 拿出自己的个人责任.

1.1政策目的

本政策的目的是:

  • 确保大学管理的资讯系统免受安全威胁,并减少无法直接应对的风险
  • 确保所有大学成员了解并能够遵守相关的英国和欧盟法律
  • 确保所有用户都知道并理解他们的个人责任,以保护他们所访问的数据的机密性和完整性
  • 确保所有用户都知道并能够遵守本策略和其他支持策略
  • 维护大学的声誉和业务,确保其有能力履行其法律义务,并保护其免于因滥用其资讯科技设施而承担责任或受到损害
  • 确保及时审查政策和程序以回应反馈, 立法和其他因素,以改善正在进行的安全.

1.2适用范围

本信息系统安全政策适用于365平台官网的所有成员, 所有与大学信息互动的第三方, 以及所有用来存储或处理它的系统.

2政策

2.1意识与沟通

所有获授权用户在发出户口时,均会获告知有关政策及配套政策及指引. 有关指引的更新内容会透过政策发展部公布&T网站,并突出了与DD互动的要点&T系统的变化要适当.

2.2定义

大学数据包括由大学拥有或授权的所有数据元素,或由大学代表第三方处理的任何信息.

大学信息系统——包括但不限于所有的信息系统, 举行, 在大学网络中使用或呈现,以及使用它们的人.

数据管家——365平台官网与某个研究项目相关的最高级研究员是该项目的数据管家,最终负责研究数据的管理.

数据保管人-数据保管人负责数据的安全保管, 运输, 数据的存储和业务规则的实现. DD中的系统管理员和开发人员就是这样的例子&T.

2.3资讯保安原则

以下原则为大学资讯及资讯系统的安全及管理提供架构.

  1. 信息分类应符合信息分类框架和任何其他立法, 可能会增加信息敏感性和安全要求的监管或合同要求.
  2. 数据专员负责确保他们的数据是分类的,并与数据保管人合作,通过适当的程序和系统,根据其分类级别来处理信息. 存放个人资料的地方, 必须收集和记录储存和处理的适当同意.
  3. 所有在本政策范围内的个人必须根据其分类级别适当地处理信息.
  4. 信息应该只提供给那些有合法获取需求的人.
  5. 资料将受到保护,不受未经授权的查阅及处理.
  6. 信息将受到保护,防止丢失和腐败.
  7. 资料将以安全及及时的方式处理,并采取适当的分类措施.
  8. 任何知道违反政策的人都必须及时报告.

2.4. 法律和监管义务

365平台官网及其员工/学生/用户/成员必须遵守所有现行的英国和欧盟立法以及监管和合同要求. 有关法例的摘要载于附录A -与资讯系统保安政策有关的法例指引.

2.5信息分类

以下是“资讯保安原则”内的“资讯分类级别”的摘要. 大学秘书办公室的“资讯分类架构”(ICF)载有详细的定义及指引. ICF包含了数据保护策略中的定义.

类别-高度限制

描述

Highly confidential information whose inappropriate disclosure would be likely to cause serious damage or distress to individuals and/or constitute unfair/unlawful processing of “sensitive personal data” under the Data Protection Act; and/or seriously damage the University’s interests and reputation; and/or significantly threaten the security/safety of the University and its staff/students.

例子

  • 与可辨认的在世个人有关的敏感个人资料
  • 个人的银行信息
  • Large aggregates (>1000 records) of personal data such as personal contact details
  • 有助于保护个人安全或关键职能和资产安全的非公开信息.g. 高危地区的网络密码和接入码

类别——限制

描述

Confidential information whose inappropriate disclosure would be likely to cause a negative impact on individuals and/or constitute unfair/unlawful processing of “personal data” under the Data Protection Act; and/or damage the University’s commercial interests, 及/或对大学的声誉有负面影响.

例子

  • 有关可辨识在世个人的个人资料
  • 学生评价是
  • 365官网365官网
  • 具有商业价值/义务的研究数据或信息或知识产权

类别-内部使用

描述

不被视为公开的资料只应在内部分享,但一经披露不会对大学及/或个人造成实质损害.

例子

  • 非机密内部通信.g. 日常行政管理,如会议室和餐饮安排
  • 最后的工作组文件和会议记录
  • 内部政策及程序

2.遵从性和事件通知

365平台官网信息系统的所有用户都必须遵守信息安全政策,这一点至关重要. 任何违反资讯保安的行为都是严重的,可能导致丧失机密性, 个人或其他机密数据的完整性或可用性. 这样的损失可能会导致对大学的刑事或民事诉讼,以及商业损失和经济处罚.

任何实际或怀疑违反本政策的行为,必须根据事件调查程序,尽早通知首席数码及资讯科技总监或资讯科技保安经理. All security incidents will be investigated and consequent actions may follow in line with this policy; the 可接受的使用政策; University disciplinary policy; and relevant laws.

根据大学的资料保障政策,如发现任何影响个人资料的泄漏,会通知资料保障小组. 遵守这一政策应构成任何与第三方合同的一部分,可能涉及访问大学系统或数据.

3. 责任

3.1个人

个人必须遵守可接受的使用政策,并遵循相关的支持程序和指导. 个人应该只访问他们有合法权利访问的系统和信息,而不是故意试图获得非法访问其他信息的权限. 个人不得协助或允许其他试图获得非法访问数据的个人访问数据. 特别是, 个人应遵守下表列出的资讯保安“注意事项”:

DO
是否使用强密码,并在你认为密码可能被泄露时更改它 不要把你的密码告诉任何人
是否报告遗失或怀疑遗失资料 不要在任何其他帐户上重复使用你的大学密码
一定要警惕那些索要机密信息的假邮件或电话——向国防部报告任何可疑的事情&T服务台 不要打开可疑的文件或链接
是否随时更新软件并在所有可能的设备上使用杀毒软件 不要破坏大学系统的安全
是否注意使用公共Wifi或电脑的风险 不要提供访问大学信息或系统的权限
确保大学数据存储在大学系统上 未经允许,不得复制学校机密信息
密码是否保护和加密你的个人设备 不要让你的电脑或手机解锁

3.2数据管家

数据管理员的职责

了解他们所负责的资讯的全部范围,并根据资讯保安原则1将其分类. 遵守 研究数据政策
确保维护持有或处理其数据的信息系统的数据保管人知道保护数据超过正常用户数据可能需要的任何额外要求.

3.3数据管理者

数据管理员负责保存数据的信息系统,通常是系统管理员. 除了他们个人的责任之外.1他们必须:

  • 确保系统的物理安全、网络安全.
  • 确保他们维护的系统得到适当的配置、维护和开发.
  • 确保资料已妥善储存及备份.
  • 确保适当的访问控制以满足数据专员的要求.
  • 了解并记录风险, 采取适当的步骤来缓解并确保数据所有者能够理解这些问题.
  • 记录员工的操作程序和职责.
  • 为系统的用户发布过程,以允许安全访问和使用.
  • 确保系统符合法律和其他合同要求.

3.IT安全经理

是否负责电子资讯系统保安政策,并向大学提供专业意见, 特别是数据管理员和数据管理员. 资讯科技保安经理会就任何新推出的资讯系统提供适当的保安措施,以协助厘清政策.

3.5数字,数据 & 科技集团

DD除了作为许多系统的数据保管人的功能之外&T必须确保IT基础设施的提供与此策略的要求一致,以支持其他数据保管人.

3.6内部审计

内部审计将确保对数据保管人的流程和分类进行适当的审查.

3.7所大学秘书

学校秘书办公室负责信息安全培训工作, 《365官网》指南的出版, 与数据保护法相关的政策和遵从性.

4. 支持法规、政策和指导方针

365平台官网发布的其他政策支持并加强了这一政策声明. 这些包括但不限于:

政策评估

本大学将在需要时审查该政策,以确保其适当和最新. 任何问题或顾虑都应该向 IT安全经理.

5支持文档

文档控制信息

所有者:Mark Acres IT安全经理
版本号:1.0
批准日期:2016年4月
批准人:执行委员会
上次审核日期:2016年7月