目的
波士顿大学有责任确保其信息系统的安全,保护其计算机、服务器、移动设备、电子系统、网络和数据免受恶意攻击,并保护数据的机密性、完整性和可用性。 本政策的目的是授权信息安全部门调查并应对对计算服务的保密性、完整性或可用性构成直接威胁的网络事件。
覆盖的方
本政策适用于所有使用大学计算机服务的学生、澳门威尼斯人注册网站、员工、客人和其他人员。
定义条款
“账户” 指的是一旦个人证明了自己的数字身份,就可以访问的数据和计算服务的组合。
“计算服务” 指计算机系统、个人设备、网络,以及它们提供或托管的所有形式的软件、固件、操作系统、应用平台和数字内容,这些都是由大学拥有、租赁或安排的,或由大学拥有、保管或控制的。 Computing Services include all technology used to provide and store “User Information”, as defined in the 电子资讯公开政策. 计算服务还包括大学安排的基于云或互联网的服务,或用于开展大学业务或存储数据的一般基于云或互联网的服务。 [See 计算机服务的可接受使用政策]
“网络事件” 是任何可能影响资料及帐户安全的事件。 事件定期发生,包括善意输入错误的密码、网络事件、涉及计算服务的违规行为以及其他已报告的信息系统漏洞。 可以通过各种方式检测和报告事件,包括来自安全技术的警报、来自社区、执法部门或其他可信来源的报告、通过电子邮件和票务系统、社交媒体、新闻报道、人际互动以及电话、团队或Zoom呼叫。
“网络事件” 指一方使用“网络钓鱼”、黑客攻击、拒绝服务、包括勒索软件在内的恶意软件或未经授权使用密码等方法,获得或试图获得对计算服务、数据或账户的未经授权访问的一次或多个网络事件。 这些事件对大学计算机服务的安全构成紧急威胁,需要立即进行调查以减轻风险。
“重大保安事件” 是网络事件的一个子集,它具有或可能扩展到校园或大学范围,具有或可能影响由大学维护或为大学维护的个人身份信息的隐私,对大学具有重大的声誉或财务风险,或超出可用资源的缓解范围。
“使用计算服务的违规行为” 当被授权方以违反适用法律或大学政策的方式使用大学计算服务时发生,例如从另一方盗版软件或资源,发送大学政策中定义的威胁或骚扰的不适当电子邮件,滥用数据或涉及存储在我们计算机上的澳门威尼斯人注册网站研究的澳门威尼斯人注册网站研究不当行为。
大学政策
网络事件报告
波士顿大学社区的所有成员都有义务及时报告使用计算服务导致或可能导致网络事件或违规的网络事件。 The official method for individuals to report Cyber Events is to send notice of such events and relevant information to the IS&T Service Desk via ithelp@bu.edu.
授权
本政策规定,在首席信息安全官的领导下,信息安全部门作为牵头机构,对涉及计算机服务、账户或数据的任何网络事件进行调查,并描述了大学应对此类事件的方法。
信息安全可协助对使用“计算服务”的违规行为进行技术调查,但不会主导或授权该等调查。 调查将由适用政策文件中列出的负责办公室领导,使用从电子信息公开政策中获得的授权。 信息服务与技术副总裁可授权信息安全部门在相同条件下调查违反其政策的行为,例如《计算服务的可接受使用政策》。
调查期间的私隐
大学承认,对可疑网络事件进行调查可能需要信息安全部门检查系统、网络和应用程序日志以及与大学计算机服务运营有关的类似数据,以确定事件的范围和严重程度及其来源。 这种授权是适当的,以支持大学的利益,以确保“适当和合法地使用和运行网络”,但应以尽可能保护帐户持有人隐私的方式实施。 调查的范围可能会有很大的不同,但澳门威尼斯人注册行动的例子可能包括搜索在特定时间和日期发送的特定电子邮件的日志,或扫描个人的文件或设备以查找恶意软件。 对隐私的保护包括限制参与调查的个人人数,并酌情限制搜索条件和审查的时间段。
信息安全部将继续调查,直到对计算服务和账户的威胁得到控制。 如果在调查过程中,信息安全部门确定可能涉及社区成员,从而违反了大学政策,此事将提交给相关政策的负责办公室。 “信息安全”不得利用“网络事件”调查不相关的政策违规行为或不威胁“计算服务”安全的个人活动,除非法律要求将该等活动提请执法部门注意。 If an investigation requires non-emergent detailed or prolonged examination of an individual’s activity or access to personal data, the process described in the appropriate section of the 电子资讯公开政策 shall be followed before accessing such information. 信息安全可以复制或冻结账户及其相关数据,以确保相关信息在被审查之前不被删除。
如果信息安全部门的审查得出波士顿大学个人账户被外部实体入侵的结论,并且没有大学附属个人对该等入侵负责,则信息安全部门有权与波士顿大学警察局(BUPD)共享该决定和用于支持该决定的信息,以支持BUPD领导的调查。 如无紧急情况,资讯保安会在调查进行前向帐户持有人发出通知并征求其同意。 信息安全部门还被授权与其他实体(包括国家信息共享与分析中心和执法部门)共享与网络事件相关的非个人身份信息,以实现互联网的总体保护。
关键的角色
(i) The 信息安全 安全运营中心(SOC) will be responsible for the initial review and correlation of reported security events, prioritizing them, and determining which warrant escalating to the 事故应变小组(IRT) for further investigation.
(ii) The 事故应变小组(IRT) is responsible for initiating the Incident Response Plan detailed below. 事件响应小组(IRT)的常备成员应为首席信息安全官指定的信息安全成员,并可根据事件的性质和所需技能,在临时基础上吸纳信息安全、IS&T和大学社区的其他成员。
(iii) The Chief 信息安全 Officer shall define a cross-functional 高级事故管理小组(SIMT) of university leadership that will provide oversight and be able to bring additional resources to aid in response during a major incident.
程序
经公共服务与信息安全治理委员会审核和批准,首席信息安全官应在本政策约束下制定高层次事件响应计划,以应对网络事件。
责任方
信息安全, Information Services and Technology
930 Commonwealth Avenue 2nd Floor
Boston, MA 02215
相关政策及参考资料
电子资讯公开政策, 2017年6月生效
计算机服务的可接受使用政策,于2023年5月生效
政策的历史
这是2023年2月起草的一项新政策,用于编纂和标准化事件响应策略和程序。 它基于自2011年以来一直在使用的现有数据泄露管理计划。 该政策于2023年5月通过。