目的
波士顿大学有责任确保其信息系统的安全,保护其计算机、服务器、移动设备、电子系统、网络和数据免受恶意攻击,并保护数据的机密性、完整性和可用性。本政策的目的是授权信息安全部门调查并应对对计算服务的保密性、完整性或可用性构成直接威胁的网络事件。
覆盖的方
本政策适用于所有使用大学计算机服务的学生、澳门威尼斯人注册网站、员工、客人和其他人员。
定义条款
“账户”是指个人在证明其数字身份后可以访问的数据和计算服务的组合。
“计算服务”是指计算机系统、个人设备、网络,以及它们提供或托管的所有形式的软件、固件、操作系统、应用平台和数字内容,这些都是由大学拥有、租赁或安排的,或由大学拥有、保管或控制的。计算服务包括所有用于提供和存储“用户信息”的技术,如电子信息获取政策中所定义的。计算服务还包括大学安排的基于云或互联网的服务,或用于开展大学业务或存储数据的一般基于云或互联网的服务。[见电脑服务的可接受使用政策]
“网络事件”是指可能影响数据和账户安全的任何事件。事件定期发生,包括善意输入错误的密码、网络事件、涉及计算服务的违规行为以及其他已报告的信息系统漏洞。可以通过各种方式检测和报告事件,包括来自安全技术的警报、来自社区、执法部门或其他可信来源的报告、通过电子邮件和票务系统、社交媒体、新闻报道、人际互动以及电话、团队或Zoom呼叫。
“网络事件”是指一方使用“网络钓鱼”、黑客攻击、拒绝服务、包括勒索软件在内的恶意软件或未经授权使用密码等方法,获得或试图获得对计算服务、数据或账户的未经授权访问的一次或多次网络事件。这些事件对大学计算机服务的安全构成紧急威胁,需要立即进行调查以减轻风险。
“重大安全事件”是网络事件的一个子集,这些事件已经或可能扩大校园或大学的范围,已经或可能影响由大学维护或为大学维护的个人身份信息的隐私,对大学具有重大的声誉或财务风险,或超出了可用资源的缓解范围。
当被授权方以违反适用法律或大学政策的方式使用大学计算服务时,即发生“违反使用计算服务”,例如从另一方盗版软件或资源,发送大学政策中定义的威胁或骚扰的不适当电子邮件,滥用数据或涉及存储在我们计算机上的澳门威尼斯人注册网站研究的澳门威尼斯人注册网站研究不当行为。
大学政策
网络事件报告
波士顿大学社区的所有成员都有义务及时报告使用计算服务导致或可能导致网络事件或违规的网络事件。个人报告网络事件的官方方法是通过ithelp@bu.edu向IS&T服务台发送此类事件的通知和相关信息。
授权
本政策规定,在首席信息安全官的领导下,信息安全部门作为牵头机构,对涉及计算机服务、账户或数据的任何网络事件进行调查,并描述了大学应对此类事件的方法。
信息安全可协助对使用“计算服务”的违规行为进行技术调查,但不会主导或授权该等调查。调查将由适用政策文件中列出的负责办公室领导,使用从电子信息公开政策中获得的授权。信息服务与技术副总裁可授权信息安全部门在相同条件下调查违反其政策的行为,例如《计算服务的可接受使用政策》。
调查期间的私隐
大学承认,对可疑网络事件进行调查可能需要信息安全部门检查系统、网络和应用程序日志以及与大学计算机服务运营有关的类似数据,以确定事件的范围和严重程度及其来源。这种授权是适当的,以支持大学的利益,以确保“适当和合法地使用和运行网络”,但应以尽可能保护帐户持有人隐私的方式实施。调查的范围可能会有很大的不同,但澳门威尼斯人注册行动的例子可能包括搜索在特定时间和日期发送的特定电子邮件的日志,或扫描个人的文件或设备以查找恶意软件。对隐私的保护包括限制参与调查的个人人数,并酌情限制搜索条件和审查的时间段。
信息安全部将继续调查,直到对计算服务和账户的威胁得到控制。如果在调查过程中,信息安全部门确定可能涉及社区成员,从而违反了大学政策,此事将提交给相关政策的负责办公室。“信息安全”不得利用“网络事件”调查不相关的政策违规行为或不威胁“计算服务”安全的个人活动,除非法律要求将该等活动提请执法部门注意。如果调查需要对个人活动或个人数据的访问进行非紧急的详细或长时间检查,则在访问该等信息之前,应遵循《电子信息访问政策》适当部分中所述的流程。信息安全可以复制或冻结账户及其相关数据,以确保相关信息在被审查之前不被删除。
如果信息安全部门的审查得出波士顿大学个人账户被外部实体入侵的结论,并且没有大学附属个人对该等入侵负责,则信息安全部门有权与波士顿大学警察局(BUPD)共享该决定和用于支持该决定的信息,以支持BUPD领导的调查。如无紧急情况,资讯保安会在调查进行前向帐户持有人发出通知并征求其同意。信息安全部门还被授权与其他实体(包括国家信息共享与分析中心和执法部门)共享与网络事件相关的非个人身份信息,以实现互联网的总体保护。
关键的角色
(i)信息安全安全运营中心(SOC)将负责对报告的安全事件进行初步审查和关联,对其进行优先排序,并确定哪些授权升级至事件响应小组(IRT)进行进一步调查。
(ii)事件响应小组(IRT)负责启动下文详述的事件响应计划。事件响应小组(IRT)的常备成员应为首席信息安全官指定的信息安全成员,并可根据事件的性质和所需技能,在临时基础上吸纳信息安全、IS&T和大学社区的其他成员。
(iii)首席信息安全官应定义一个由大学领导层组成的跨职能高级事件管理团队(SIMT),该团队将提供监督,并能够在重大事件期间提供额外资源以帮助应对。
程序
经公共服务与信息安全治理委员会审核和批准,首席信息安全官应在本政策约束下制定高层次事件响应计划,以应对网络事件。
责任方
信息安全,信息服务和技术930联邦大道2楼波士顿,MA 02215
相关政策及参考资料
电子信息获取政策,于2017年6月生效
《计算机服务可接受使用政策》,于2023年5月生效
政策的历史
这是2023年2月起草的一项新政策,用于编纂和标准化事件响应策略和程序。它基于自2011年以来一直在使用的现有数据泄露管理计划。该政策于2023年5月通过。
澳门威尼斯人注册本政策的其他资源
相关政策及程序
- 计算机服务的可接受使用政策,2023年5月生效
- 电子信息获取政策,于2017年6月生效
- 网络安全监控政策,2017年6月生效,2018年1月修订
- 资料保障标准
- 网站政策
- 相关BU TechWeb政策的列表