主菜单(IT)

风险管理

定义

风险指CSUN资产的保密性、完整性和可用性的可能损失。风险计算使用两个因素:可能性一个弱点被利用了,而且影响CSUN。风险管理指从确定和评估、确定优先次序、实施和监测缓解措施的整个过程。

部门的责任

各部门负责向资讯保安部门通报任何涉及CSUN的重大项目和应用程序采购一级和二级数据存储、访问或处理。

信息安全责任

信息安全小组负责进行风险评估,并提供有关所需缓解措施的信息,以符合CSU和CSUN政策

什么时候需要进行风险评估?

资讯保安小组进行三类风险评估:

  1. 供应商采购:当采购基于云计算的供应商或应用程序,并授权访问CSUN Level 1和2数据时,需要进行风险评估。这包括雇用咨询服务和使用采购卡(Pcard)进行采购。
  2. 内部风险评估:信息安全为校园部门和学院进行风险评估。这种类型的风险评估侧重于部门的1级和2级数据处理。每两年进行一次,以确定CSU和CSUN政策之间的差距,以及当前部门的做法。
  3. 项目和过程:当部门进行一项涉及使用CSUN第一级及第二级数据的大型项目时,资讯保安会进行风险评估。例如:从内部迁移到云。

风险管理过程

风险管理过程。

通知/要求:该部门必须通知资讯保安任何采购和重大项目的承担。强烈建议部门在研究阶段通知信息安全部门。等到最后一分钟才做可能会耽误整个过程。

信息收集:信息安全小组将要求供应商和/或部门提供信息。如果进行采购,需要供应商提供下列文件之一:

  1. 高等教育云供应商评估工具(HECVAT)
  2. SOC 2 II型审计报告
  3. 云安全联盟共识评估倡议问卷(CSA CAIQ)

评估草案:资讯保安将草拟一份风险评估文件。该文档强调了风险以及将风险降低到可接受水平的缓解措施。MPP部门必须签署风险评估和缓解。

评估复查:一旦草案完成,信息安全部将与相关部门的工作人员分享草案,以便进行审查。这是各部门纠正有关风险评估的任何不准确信息,以及讨论缓解措施和实施计划的一个机会。

评估签字:一旦资讯保安和部门就风险评估草案和缓解措施达成一致,最终版本将通过Adobe Sign送交部门MPP以供签署。

降低风险:如风险评估文件所述,有关部门现在负责实施缓解措施。本署可联络资讯保安部门,要求其澄清或协助有关措施的实施。资讯保安署会跟进,要求海关提供有关缓解措施的情况。一旦实现了所有缓解措施,风险评估就结束了。

风险异常

在由于各种原因无法实现所需的缓解措施的情况下,将创建风险异常文档。本文档类似于风险评估文档。风险例外文件需要部门MPP和部门副总裁的签字。

通用适用CSU要求

  1. 对于涉及CSUN 1级和2级数据的采购,采购和合同管理必须包括CSU资讯保安补充(.docx)
  2. 基于云的应用程序必须使用单点登录(SSO),如果可用的话。在应用不支持单点登录的情况下,应用管理员必须确保用户使用CSUN邮箱地址创建帐号,且帐号密码符合要求CSUN密码标准及指引(.pdf)
  3. 各部门必须创建一个文档来维护和跟踪用户对存储1级和2级数据的所有云应用程序的访问。这必须每年完成。
  4. 各部门必须每年检查其在文件柜和任何基于云计算的应用程序中的记录,以确保记录不会按照规定的保留计划表存储CSU记录保留和处理计划

CSUN相关政策和标准

Baidu