资讯保安标准
第三方访问
一般
供应商和其他第三方在支持硬件和软件管理方面发挥着重要作用, 和客户运营. 供应商可能具有远程查看、复制和修改数据和审计日志的能力. They might remotely correct software and operating systems problems; monitor and fine tune system performance; monitor hardware performance and errors; modify environmental systems; and, 重置告警阈值. 对可以看到的内容设置限制和控制, 复制, 修改, 而由供应商控制则会消除或减少责任风险, 尴尬, 以及收入损失和/或失去对大学的信任.
适用性
本程序适用于供应商可访问的大学信息系统. 本程序的目的是提供一组措施,以减轻与供应商访问相关的信息安全风险. 本文所述的程序适用于所有部门, 管理员, 以及负责供应商提供的信息资源的供应商.
本程序不适用于访问已经公开的大学数据的第三方, 比如大学网站.
程序
1. 向供应商提供访问大学信息系统的人员应确保供应商遵守所有适用的大学政策, 实践, 标准, 协议包括, 但不限于:安全政策, 隐私政策, 安全策略, 审计政策, 软件许可政策, 负责任的使用政策, 及其他大学资讯安全标准管理程序.
2. 被允许访问任何非公立大学信息系统的供应商应签订以下协议和合同:
a. 供应商有权访问的大学信息;
b. 供应商如何保护大学信息;
c. 可接受的返回方法, 破坏, 或在合同结束时处理卖方所拥有的大学信息;
d. 大学信息和信息资源的使用仅用于商业协议的目的. Any other 大学 information acquired by the vendor in the course of the contract cannot be used for the vendors own purposes or divulged to others; and,
e. 供应商应遵守适用的保密协议条款.
3. 皇冠体育365赌博&M大学商务部将为供应商提供信息资源联络点. 联系人将与供应商合作,确保供应商遵守大学的政策.
4. 每个供应商应提供A&移动商务与所有员工分配到大学合同的列表. 该名单应在人员变动后24小时内更新并提供给大学. 如果信息泄露,未能通知大学员工变动可能会导致供应商承担额外的责任.
5. 为每个现场供应商员工提供适当的访问授权(1).e., 资源所有者应根据信息资源的重要性指定大学附属机构.
6. 供应商人员应向信息技术帮助台报告所有安全事件.
7. 任何供应商管理层参与大学安全事件管理的责任和细节应在合同中规定.
8. 供应商必须遵循所有适用的大学变更控制流程和程序.
历史
最后更新:2024年1月31日