信息安全意识培训政策
1。概述
最终用户的信息安全意识是最大的防御信息安全漏洞。行业研究表明,进行信息安全意识培训计划可以安全漏洞的风险降低60%或更多。训练我们的社区是至关重要的提高我们的安全态势和减少风险。
2。目的
这个政策的目的是定义阿克伦大学的信息安全意识培训计划,并确保所有员工,学生,和其betway苹果他授权方访问大学信息技术(IT)系统和/或服务暴露在信息安全意识材料适用于他们的角色在社区内。
3所示。范围
这一政策适用于授权用户颁发数字证书访问阿克伦大学的IT资源的控制下,包括但不限于:员工,目前注册学生,授权承包商、供应商、志愿者和其他授权用户由大学决定。betway苹果
4所示。背景
大学规则3359 - 11 - 10.3:“信息技术安全性和系统完整性政策”将大学人员的角色和职责定义为相关的信息安全。这一政策旨在帮助确保满意的符合大学规则3359 - 11 - 10.3,10 B部分,段落。
5。定义
- 数字证书——用户的识别和身份验证信息,通常是一个用户名和密码。
- 员工定期全职和兼职教师、员工和合同专业人士,是否补偿,他收到大学的数字证书。
- 学生——一个在校学生,不受雇于大学的任何能力。
- 第三方——任何组织、供应商、承包商或合作伙伴运营代表的大学。
6。政策
- 所有员工和第三方应:
- 在雇佣和此后,每年审查规则3359-11-10:大学“大学计算机和信息的访问和可接受的使用资源”政策。
- 完成年度信息安全意识培训规定的首席信息安全官(CISO),支持信息安全最佳实践和个人的角色在保护大学的系统和数据。
- 学生应在年度基础上:
- 收到通知的大学规则3359-11-10:“大学计算机和信息资源的访问和可接受的使用”政策。
- 提供访问信息安全意识培训,包括信息安全最佳实践和他们的角色在保护大学的系统和数据。
- CISO应当:
- 提供所有阿克伦大学的选民和第三方信息安全意识培训,促进安全日常活动的一个组成部分。
- 进行公布和突然的钓鱼模拟对全年学习支持正在进行的检查。
- 支持部门希望补充这个信息安全意识培训适合系统和数据集,有特定的监管要求和数据安全需求包括但不限于:
- FERPA——家庭教育权利和隐私法案
- GLBA——《金融服务现代化法案》法案
- GDPR——通用数据保护监管
- HIPAA,健康保险携带和责任法案
- pci dss -支付卡行业数据安全标准
7所示。政策合规
- 遵从性测量
- CISO将沟通至少每年通知规定的员工培训的财年。
- 信息安全服务团队将验证符合这一政策通过跟踪课程完成状态对当前大学的员工列表,所以供应商、承包商、志愿者和其他授权用户提供了大学数字凭证。
- 不符合
- 大学规则3359 - 11 - 10.3 D部分,描述了法规遵循需求相关信息系统安全性和完整性,它授权大学采取必要的行动以确保遵从性。
- 重复通知后未能完成年度培训可能导致的损失技术等特权访问IT系统和服务,包括但不限于电子邮件、ERP等直到完成培训。
- 第三方在规定期限内未能完成培训将导致损失的数字凭证访问他们的大学直到完成培训。
- 那些失去特权和/或访问他们的大学数字凭证由于不符合将协调与信息安全服务完全特权或访问前完成规定的培训将会恢复。
- 人失败钓鱼反复模拟可能提供额外的培训。
8。相关文档
大学3359-11-10规则:可接受的使用政策
大学规则3359 - 11 - 10.3:信息安全政策和系统完整性
大学规则3359 - 11 - 10.4:客户信息安全政策
大学规则3359 - 11 - 10.6:社会安全号码使用政策
大学规则3359-11-19:政策和程序发布,选择健康信息的隐私和安全
其:数据访问政策
其:安全访问和数据存储标准
9。政策的历史
批准机关:首席信息官
政策经理:首席信息安全官
有效日期:06/01/2022
之前生效日期:N / A
审核日期:06/01/2023