4-04.1流程—信息安全策略

电子设备和系统的可接受用途

可接受使用的电脑系统和其他电子设备应在政策的指导方针内运作.  除数据分类与保护和信息技术办公室(OIT)内部程序外,本程序还提供了详细信息,以帮助理解政策和员工在合规方面的角色. 

  1. 系统使用
  1. 合理使用电脑和通讯系统

高校信息技术资源是为高校业务服务的. 这并不排除偶尔偶然使用的资源,只要它们是有限的,并且不干扰信息技术资源可用性的业务活动. 亚虎(GTC)允许计算机用户合理地使用其电子邮件和其他计算机和通信系统. 所有这些个人使用必须符合道德和礼貌行为的传统标准. 例如, 电子邮件不得用于分发或展示可能被某些人认为具有破坏性或冒犯性的信息或图形.

一个例外是存储个人身份信息(PII)或任何敏感的个人数据是不合理的个人使用大学系统.

  1. 使用风险自负
员工使用GTC设备访问互联网,风险自负. 对于用户通过互联网浏览、下载或收到的材料,GTC概不负责. 电子邮件系统可能会发送包含冒犯性内容的未经请求的信息.
  1. 活动监控
用户必须意识到,他们的互联网活动,而使用大学系统或个人拥有的设备在GTC网络可能被监控和记录. 这些信息可能包括访问过的网站, 文件下载, 花在网上的时间, 以及相关信息.
  1. 无人值守的活动会话

用户不得在未登出的情况下离开个人电脑或工作站, 锁定或调用密码保护的屏幕保护程序.

  1. 会话超时
将强制执行跨大多数系统的系统超时,以提高安全性访问. 但是,不应该使用系统超时来处理无人参加的会话.
  1. 支持的软件和记录系统
只有GTC许可和支持的软件才能在GTC内使用. 所有原始数据和信息都应保存在原始记录系统中. 任何外部报告的数据都应由数据所有者进行审查和批准. 请参阅资讯科技标准程序以获取更多资讯.
  1. 用户id和密码
  1. 个人身份证责任

唯一的用户ID和密码以及特定的访问权限将根据用户的工作职责和责任分配给用户.  用户对使用其个人用户id执行的所有活动负责. 用户绝不能与其他人共享他们的个人登录凭证, 包括他们的主管.  他们必须不允许其他人使用他们的用户id执行任何活动, 并且不得使用属于其他用户的id执行任何活动. 

  1. 禁止共享接入码

GTC计算机帐户, 用户id, 网络密码, 语音信箱的个人识别号码和其他接入码不得由最初发给其收件人以外的任何人使用.

  1. 共享密码

不管情况如何, 除授权用户外,绝不能将个人密码共享或透露给任何人. 唯一的例外是在开放实验室中使用共享密码,为学生提供开放访问. OIT员工绝不能要求用户透露他们的密码.

  1. 强密码

密码必须遵循基于行业标准和以下最佳实践的OIT要求:

  1. 长度和复杂度(由系统控制)
  2. 最小和最长使用寿命(由系统控制)
  3. 重复使用的频率
  4. 密码应以安全的方式使用和存储
  1. 在公共场所输入密码

员工应该避免在键盘或电话键盘上输入密码,如果知道有人在监视他们的行为.  必须注意键盘的位置,使未经授权的人无法轻易看到员工输入密码, 加密密钥, 以及其他与安全相关的参数. 

  1. 密码接近访问设备

用户不得写下或以其他方式记录可读密码,并将其存储在与之相关的设备附近.

  1. 通信软件中的密码

用户不得在互联网浏览器中存储固定密码, 或相关的数据通讯软件随时.

  1. 怀疑密码泄露

如果怀疑密码被泄露,每个用户都必须立即更改密码, 或已知已披露给未经授权的一方.  如果用户认为他们的GTC登录凭据已被泄露,应立即通知OIT.

  1. 电子通讯
  1. 身份误传

员工不得歪曲事实, 晦涩难懂的, 抑制, 或在GTC的任何电子通信中替换自己或他人的身份. 唯一的例外是从大众传播系统中代表学院或负责地区或个人发送的官方学院电子信息.

  1. 不保证消息隐私

GTC不能保证电子通信的私密性. 员工必须意识到电子通讯可以, 取决于技术, 被转发, 拦截, 印刷, 并被其他人储存起来. 因此,员工必须对GTC电子通信中涉及的主题保持谨慎, 并且不应该发送消息讨论任何他们在当地报纸的头版上读到的让他们不舒服的事情.

  1. 回应个人资料要求

GTC员工不得回复要求提供个人或敏感大学信息的电子邮件, 甚至从内部来源. GTC的OIT部门永远不会要求您执行安全职责, 比如修改密码, 透过电子邮件. 任何此类请求将与管理层单独沟通确认.

  1. 消息转发

未经管理部门批准,GTC机密信息不得转发给学院以外的任何方. 如果批准,所有发送到学院以外的敏感数据都应该加密. 任何标准的自动转发电子邮件或其他电子信息都不应用于任何大学电子信息.

  1. 传送敏感资料

所有PII、FERPA、HIPAA或其他传输的敏感数据必须加密.  注意:这适用于GTC的内部Outlook电子邮件/交换服务器和教职员工/学生GTC Gmail帐户.  这些是未加密的.  

  1. 短信

短信是另一种通信方式,GTC可以利用它来联系大学社区. 群发短信被授权的大学官员用来发送重要和时间敏感的信息,比如紧急通知, 校园闭包, 学术的最后期限, 注意事项对学生的学业成功至关重要.

  1. 学生选择加入/选择退出功能

学生被提示输入并验证他们的联系信息,以用于紧急警报和其他时间敏感的通信. 选择加入/选择退出的联系信息可以在内部网站的学生区更新,并使用学院的主要通信工具. 这将包括发短信的电话号码和任何可选择的电子邮件地址,以及可用于自动呼叫的固定电话信息. 当前学生的主要通信工具之外的任何其他系统都需要集成到这个选择加入/选择退出过程中.

  1. 互联网使用情况
  1. 发布敏感信息

员工不得在任何支持匿名FTP或类似公共访问服务的公开访问的互联网系统上发布未加密的敏感GTC材料.

  1. 冒犯性网站

GTC不对员工在使用互联网时可能遇到的内容负责. 当用户连接到含有不良内容的网站时,他们必须立即转移到另一个网站或终止他们的会话.

  1. 阻止网站和内容类型

连接特定网站的能力本身并不意味着GTC系统的用户被允许访问该网站. 学院可能会, 由其自行决定, 限制或阻止可能导致网络服务降级的某些文件类型的下载.

  1. 学院提供设备
  1. 设备访问

请求添加, 删除, 或者改装电脑, 桌子上的手机, 及相关设备必须透过电脑查阅表格递交.  针对新员工, 此表格必须在新员工到达之前由主管或经理提交给人力资源部.  现有员工, 此表格应由雇员的主管或经理通过OIT票务系统提交.  对于需要安装多个系统的项目,请使用项目申请表.

  1. 系统或应用程序访问

请求添加、删除和修改所有用户ID.g. 凭证)在GTC计算机和通信系统或访问特定的应用程序, 必须由员工的直接主管提交并授权吗, 管理员或数据所有者使用GTC4me上的计算机访问表.

  1. 用户安装软件

用户未被授权安装GTC许可, 在他们的大学电脑上安装了经过批准的软件, 网络服务器, 或其他机器,未经信息技术办公室事先书面授权. 

  1. 共享GTC颁发的设备

禁止与未经授权的用户共享GTC颁发的设备.  员工不得与GTC以外的任何人共享他们的学院颁发的设备.

  1. 连接设备和设备

GTC员工禁止将任何设备连接到学院的计算机网络,但连接到学院的公共Wi-Fi网络除外. 员工不得将任何个人拥有的计算机外围设备或设备连接到GTC计算机.

  1. 修理或修改计算机设备

员工不应该拆卸,试图修理,或修改,学院拥有的设备. 所有维修都应联系信息技术办公室.

  1. 重新安置电脑设备

在没有信息技术办公室的指导下,员工不得移动或重新安置学院拥有的计算机设备.

  1. 物理安全
  1. 语音信箱中的敏感信息

员工不得记录, 或者在答录机或语音邮件系统上留下包含敏感信息的录音信息.

  1. 定位显示屏幕

所有用于处理敏感或有价值数据的个人电脑的显示屏必须放置在不能轻易从窗口看到信息的位置, 走在走廊上的人, 或由在接待处和相关区域等候的人员.

  1. 锁定敏感信息

非授权员工使用时, 或者在授权人员正在工作的区域不明显时, 所有的硬拷贝敏感信息必须锁在文件柜里, 桌子, 保险箱, 或者其他家具. 不使用时, 或者不在一个清晰可见和有人参与的区域, 所有包含敏感信息的计算机存储介质必须锁在类似的外壳中.

  1. 设备保管人员

个人计算机的主要用户被认为是设备的保管人. 设备是否损坏, 失去了, 偷来的, 借来的, 或因其他原因无法进行正常的业务活动, 保管员必须及时通知相关部门经理. 便携式机器除外, 未经资讯科技署知情及批准,不得搬移或重新安置个人电脑设备.

  1. 房地产运动

学校发放的计算机和相关信息系统设备不得离开GTC办公室,除非得到适当授权.

  1. 环境注意事项

GTC办公室的所有个人电脑都必须使用浪涌抑制器. 用户不得将个人电脑放置在可能被水或其他物质损坏的地方.

  1. 保安事故报告

任何可能危害信息安全或已知违反现有安全策略的可疑事件都必须立即报告给信息技术部门. 这些事件的例子可能包括但不限于:

  1. 任何未经授权使用GTC系统
  2. 密码或其他系统访问控制机制丢失, 偷来的, 披露, 或者被怀疑迷路了, 偷来的, 或披露  
  3. 所有不寻常的系统行为,如丢失文件或错误路由的消息
  4. 涉嫌或实际向未授权方泄露学校敏感信息.