第三方安全管理策略

上次审查:2022年10月6日
最后修改日期:2022年10月6日

  1. 介绍

    本政策旨在确保正规赌博十大平台排行和第三方之间的所有合同和协议具有可接受的信息安全和信息治理流程水平,以确保大学数据受到法律要求和最佳实践的保护和管理.
    此政策适用于所有供应商, 承包商, 咨询顾问, 合作伙伴, 以及代表大学使用、访问或管理信息的第三方.

  2. 政策概述

    大学已建立管理措施,以控制与第三方业务有关的安全风险.
    大学对第三方访问其系统和数据制定了最低安全要求.

  3. 政策过程

    作为正在进行的尽职调查的一部分, 大学对其第三方关系进行风险管理评估. 它设置了与风险和复杂程度相称的安全需求, 包括合规和监管风险.

    1. 第三方管理
      1. 安全审查
        1. 执行合同前尽职调查,评估第三方及其系统的安全性, 应用程序, 或者服务——IT安全, 金融稳定, 声誉, 等. 见附录A表1
        2. 第三方关系的安全审查将根据第三方分类的风险和复杂程度进行评估. 见附录A表1
        3. 信息安全 will review the security assessment and determine if the third party meets the University’s security requirements; if the third party does not meet to Universities expectations, 补偿控制必须实施并重新评估.
      2. 承包协议
        1. 签署数据处理附录(DPA)(如适用).
        2. 第三方合同中必须包含最低安全要求. CISO将开发和维护第三方合同中包含的一组安全需求. 参见第三方合同安全要求.
        3. 第三方在访问大学系统和数据之前必须签署保密协议(NDA).
      3. 第三方必须根据其预期持有的业务关键性和数据敏感性进行分类, 处理或访问.
      4. 大学采用了一套最低的安全要求,第三方访问. 请参阅用户帐户和访问管理策略的承包商和供应商部分中概述的第三方访问安全要求.
      5. 第三方合同必须被跟踪. 除非另有规定,合同所有人被指定为DU联络人.
      6. 第三方必须在关系的整个生命周期中执行定期的安全审查. 见附录A表3.
      7. 合同终止后, 大学必须与第三方合作,将其数据退回或销毁.
         
    2. 法规遵循需求
      1. HIPAA合规性-与处理受保护健康信息(PHI)的第三方签订的合同应遵守与大学参与的其他合同关系相同的一般准则.
      2. FERPA合规性-与处理教育记录的第三方签订合同, 包括个人身份信息(FERPA), 应遵守与大学涉及的其他合同关系相同的一般准则.
      3. GDPR Compliance – Contracts with third parties that handle personal data (PD) from a European Union (EU) citizen are involved; the third party will likely have to adhere to GDPR, 包括尊重数据主体的权利, 包括数据可以或不可以存储在哪里.
         
    3. 异常
      此策略的例外情况必须由IT管理层审查和批准.

     

  4. 定义
  • 信息安全:大学的信息安全团队.
  • 杜联络通常情况下,业务经理已经请求/与第三方签订了合同.
  • 第三方供应商、承包商和大学有合同的商业伙伴.

     

    附录A
    表1:基于数据分类的第三方评估流程

     


    数据分类/数据类型

    安全问卷/ SOC2或同等学历

    信息安全检查

    单位能承受风险吗?

    公共

    推荐

    可选/光检查

    是的

    内部

    推荐

    是的/光检查

    No

    保密

    要求

    是的/标准审查

    No

    敏感或受限制
    (hipaa / ferpa / pii / cui / pci / cpa)

    要求

    是/标准审核+ HIPAA/FERPA/PCI审核要求

    No

    表2:第三方评估和合同文件


    数据安全文档

    责任

    需求描述

    请求第三方安全审查

    杜单位

    要求 at the start of third-party contracting 过程 and when requesting IA data classification determination; or evaluation of alternative documentation from vendors.

    最低安全要求

    采购服务

    合同的最低安全要求.

    资料保障附录(或同等资料)

    采购服务

    在第三方访问的所有协议和合同中都需要, 流程, or maintains any type of institutional data classified as 保密 and Sensitive; 推荐 for data classified as 内部 (or unit can accept risk); not required for data classified as 公共.

    安全调查问卷

    采购服务

    要求在授予合同或与可能访问的第三方达成协议之前完成, 过程, 或维护分类为机密或敏感的数据.

    第三方安全审查备忘录

    信息安全

    审查备忘录概述了安全审查过程中确定的任何网络安全风险, 任何建议及资讯安全网的处置.

    安全例外

    信息安全

    确定的第三方安全问题由DU单位领导和IT领导记录并签名. 至少每年审查一次. 包括在给高层领导的网络安全风险报告中

    支付卡信息合规性证明

    商家服务

    每年需要从合格安全评估员(QSA)处获得(或在VISA网站上被列为1级提供商).

    表3:第三方安全审核


    检查类型

    需要/审核的文件类型

    结果

    安全光
    • 第三方提供的应用程序/服务安全信息
    • 安全记分卡信息
    • 第三方违约信息
    • 添加到安全审查跟踪文档中

    第三方安全审查备忘录(电子邮件)

    标准的审查
    • 第三方提供的应用程序/服务安全信息
    • 安全记分卡信息
    • 第三方违约信息
    • 现场评估(根据需要)
    • 安全问卷或SOC报告
    • 添加到安全审查跟踪文档中

    第三方安全审查备忘录(电子邮件或文件)

    定期评审
    • 审查由独立第三方进行的风险评估, DU安全问卷或SOC 2报告
    • 审查SLA,违规,安全事件
    • 持续的第三方安全性能
    • 漏洞扫描连接到大学网络的第三方设备
    • 在独立或组织对第三方的评估中发现的任何弱点或缺陷,都需要第三方提供一份计划,以进行所需的改进
    • (根据需要)现场检查,包括设施的参观/视觉影响, 与现场人员面谈并审查政策和程序

    第三方安全审查备忘录(电子邮件或文件)