政策数字基础设施网络安全政策

网络安全政策


方便打印及PDF格式打印友好

意图

这一政策:

  • 为学校内部的网络安全管理提供基础;
  • 支持大学的教学、学习和研究成果,以及企业成果;而且
  • 支持大学承诺履行其法定、法律和道德义务,以合法、合乎道德和符合成本效益的方式管理其信息资源。

范围

本政策适用于:

  • 高校信息与通信技术服务;
  • 由大学或代表大学的第三方供应商管理的大学资讯及通讯科技服务的所有授权用户(校内及校外);而且
  • 大学的有形及无形资产包括:
    • 大学的声誉和公众形象;而且
    • 大学以任何媒介或形式提供的资料,例如电子(数码、影像或音频表示)或印刷纸张。

本政策不适用于大学受控实体。

定义

可接受的使用-指在使用大学资讯及通讯科技服务方面,根据资讯及通讯科技可接受使用政策所准许的行为和行动。

负责的军官-指大学内负责网络安全的高级职员。

资产拥有者-指对大学信息通信技术服务负有责任和权力的个人或集体组织。

授权用户-指获大学提供认证证书以使用大学资讯及通讯科技服务的人士。《信息通信技术可接受使用程序》记录了各种类型的用户。

身份验证凭据-指用于访问ICT服务的用户id /密码、用户名/密码、PIN或其他秘密密钥。

能力-机构履行业务职能所需的能力、材料和专业知识。

控制-指为消除或减低风险而采取的措施。

网络安全-指为落实资讯保安而可确定、实施及维持必要及相应措施的方法(政策、策略、行为及技术)。

信息安全-指保护及保存以数码或其他方式提供的资料的机密性、完整性及可用性。

合理可行的-指在考虑及权衡所有相关事项,包括:

  • 有关风险发生的可能性;
  • 威胁或风险可能造成的后果;
  • 有关人士对该风险的了解,或合理应了解的情况,以及消除或减少该风险的方法;
  • 为消除或减少风险而采取的控制措施的有效性和适用性;而且
  • 在评估风险的程度和消除或最小化风险的可用方法之后,与消除或最小化风险的可用方法相关的成本,包括成本是否与风险严重不成比例。

负责人员-指制定或参与制定影响整个或大部分业务的决策的高级职员或委员会,即副校长、教务长、副校长、副校长、院长、主任、参谋长、理事会委员会和副校长委员会。

适宜性的控制-指某项管制是否适当,但须顾及该管制是否:

  • 是否有效地消除或减少风险或风险的可能性
  • 不引入新的和更高的风险;而且
  • 在存在风险的情况下实施是否切实可行

大学ICT服务-指提供给获授权用户的设施和服务,包括在大学(或代表大学的第三方供应商)控制下的软件、通讯设备和计算基础设施,以网上或电子形式提供资料。

简介

有效保护商业资料,既能维持大学品牌的声誉,又能减低发生负面事件和事件的风险,从而创造竞争优势。

我们的目标是增强抵御网络攻击的能力,更好地保护我们在数字经济中的利益。

有效的网络安全需要一种企业方法,以确保每个责任实体都有有效开展其业务所需的程序、工具和支持,同时管理不利安全事件和事件的风险。

此政策不能确保对可能中断大学核心服务的所有安全威胁或攻击提供保护。相反,本政策支持大学理事会及其委员会证明,网络安全风险和措施正以适合大学的信息价值、商业环境和目标的方式进行识别和管理,即:

  • 网络安全能力的赞助;
  • 与网络安全有关的问责制和责任制度;
  • 推广有意识的资讯保安文化;
  • 建立信息安全风险管理计划,包括评估和接受安全风险的标准;而且
  • 建立应对信息安全威胁和事件的方法。

政策原则

1.能力

服务与资源副校长将:

  • 赞助网络安全能力,根据本政策识别、分析并减轻组织(包括其业务部门、子公司、相关互联基础设施、利益相关方和供应商)面临的信息安全风险。
  • 提名一名问责人员。

问责人员会:

  • 学校网络安全能力建设应遵循以下原则:
  • 积极强化信息安全责任。
  • 主动评估、评估和管理信息安全风险。
  • 主动监控和应对信息安全威胁和事件。

2.责任

问责人员会:

  • 建立符合昆士兰政府信息安全政策和标准核心要求的大学网络安全管理计划。
  • 建立网络安全角色和职责,并将这些职责记录在JCU网络安全管理计划中。
  • 建立可衡量的目标、指标和结果,以推动持续改进,以减少信息安全风险、事件和事件。
  • 根据要求,确保网络安全能力的有效性。

负责人员会:

  • 通过建立和实施大学网络安全管理计划中概述的相关流程、程序、标准和指导方针,支持网络安全能力。

3.文化

负责人员会:

  • 在整个大学推广和维持一种有意为之的资讯保安文化,确保所有获授权用户:
  • 培养保护所有信息的主人翁意识;而且
  • 对自己的行为负责(包括对大学ICT服务的可接受使用)。
  • 支持授权用户的角色意识、培训和教育。
  • 推广报告资讯保安事件及事件,包括表扬支持资讯保安的获授权用户。
  • 确保信息安全是所有新项目和计划的要求,无论项目类型如何。
  • 就信息安全事宜积极合作和支持利益相关方(包括审计)。

4.风险管理

问责人员会:

  • 建立并运行以信息为中心的风险管理计划,为识别、分析和评估信息安全风险提供系统方法,包括业务部门、相关互联基础设施、子公司、利益相关者和供应商。
  • 确保根据大学的风险管理政策和框架及附带的风险偏好声明,将已确认的风险适当地记录下来,并传递给适当的负责人,以促进知情的风险接受。
  • 制定学校的网络安全管理计划:
    • 建立网络安全目标;而且
    • 详细介绍大学在管理资讯保安风险方面的基本资讯保安管制。
  • 定期报告信息安全风险和目标实现情况。

负责人员及资产拥有人将:

  • 实施大学网络安全管理计划中的相关控制。
  • 透过实施合理可行的控制措施,处理已确定的风险,以保护大学的资讯及相关资讯系统,防止其机密性、完整性或可用性丧失。
  • 定期监测、评估和持续改进控制的适宜性。

5.反应和恢复

问责人员会:

  • 建立、实施和演练网络安全事件响应计划,以准备、响应破坏性网络事件并从事件中恢复。

负责人员及资产拥有人将:

  • 提供合理的资源,以支持网络安全事件响应计划的实施和运作。

相关的政策工具

网络安全管理计划

的行为准则

版权政策

合规政策

信通技术可接受使用政策

信息隐私政策

记录管理政策

风险管理政策

风险管理框架和计划

信息权政策

学生行为的政策

日程安排/附录

一个也没有。

有关文件及法例

澳大利亚昆士兰

1997年詹姆斯库克大学法案(QLD)

2009年《资讯私隐法》

《2002年公共记录法》(QLD)

《2009年电讯拦截法》(QLD)

《2009年昆士兰信息权利法》

昆士兰信息标准

澳大利亚联邦

《刑法法》(1995年)(c)

1968年著作权法(c)

2003年垃圾邮件法案(联邦)

《1979年电信(拦截和访问)法》

1997年电信法(c)

高等教育标准框架(门槛标准)2015

政府

批准的细节

政策支持

主管服务和资源的副校长

批准机关

财政委员会

下次覆核日期

21/11/2022

修订历史

版本

批准日期

实现日期

细节

作者
19次 30/04/2018

更改以反映2018年4月30日的标题重组。

 质量、标准和政策

丹麦队

21/11/2017

06/12/2017

政策的建立

信息通信技术

关键字

信息,安全,网络安全,风险,隐私,版权,
Baidu
map