OU管理策略
和程序

Police & Support Services, Room 13
201布鲁克草原路
罗切斯特, MI 48309-4482
(位置图)

search icon

880个系统管理职责

学科:责任管理体系
数:880
授权机构:总统内阁
负责办公室:大学科技服务
发行日期:2003年5月
最后更新:2013年3月

理由:  该政策旨在保护信息技术资源的各种各样的部门,系统管理员和教师,以及由大学信息科技服务部(UTS)的工作人员的支持。

政策:  系统管理必须具有大学资产保护的目标和信息技术资源的利用浩如烟海在大学的专业和及时的方式来完成。具有系统管理员大学和责任应当采取合理的措施:

  • 所有的技术政策,技术方向和高校技术服务,货币技术的最佳实践,以及由单位规定的其他准则或标准建立的标准遵守。

  • 关于信息传播给具体的政策和管理访问程序和使用,系统和技术服务。

  • 了解信息技术资源和资产的责任范围,并分配到库存和适当地跟踪这些资产。

  • 要采取行动对付盗窃或损坏系统组件和数据的注意事项,并以适当的区域这样的十大网赌官方报告这些十大网赌官方发生时。

  • 关于治疗的信息,并由系统的用户以适当的方式,尊重隐私和保密存储的信息。系统管理员的访问能力,不能混为一谈有权限访问数据。

  • 知道存储在系统中的数据元素,以了解数据中定义的分类 信息安全策略#860,并采取预防措施来保护系统或网络和其中的隐私,保密性和信息质量的安全性。

  • 合作与其他信息技术资源的系统管理员,或外面无论在大学,找到并通过他/她的控制下,使用该系统的通过或其他系统上造成的正确问题。

范围和适用性:  在定义ESTA政策适用于所有大学学生,教师和工作人员和其他负责维护,支持和大学的信息技术资源的操作 OU AP&P #890利用大学的信息技术资源。 ESTA策略是指所有大学的信息技术资源是否共享单独控制,单机或联网。它适用于所有的信息技术资源,系统和服务器,包括拥有,租赁,经营,或由学校控制的。

本地定义和使用的外部条件:  个别单位在大学可以定义为信息技术资源“使用条件”下的控制只要条件不冲突那些在找到适当利用高校的指导方针 OU AP&P #890利用大学的信息技术资源 或ESTA政策。个别单位负责宣传。他们和制定政策和适当的关于授权使用的设备为他们负责的规定。

定义: 

 

访问帐户:  访问帐户的访问身份管理方案的一部分,并且通常提供一个单一系统用户与身份通常被称为用户名和密码来登录和增益访问系统,网络或应用程序。访问帐户将被分配到特定的权限适当的单一的岗位职责和访问的目的。

身份管理系统: 身份管理系统是专门用来管理登录凭据,登录标识的通用系统:比如,密码和个人身份证号码。

负责管理员: 而大学是合法的“所有者”或购买或租赁与大学基金的所有信息技术资源“经营者”,任何特殊的制度监督可以委托给大学治理结构的特定细分的头,如副总裁,院长,系主任,或行政部门的负责人凡信息技术资源的系统是不是大学技术服务的控制之下。高校拥有或租赁的设备,那人却在ESTA政策简称负责管理员。

系统管理员:  负责的管理员默认情况下,系统管理员,但管理员负责人可以指定另一个管理系统。 ESTA候是系统管理员,谁负责的系统或系统的维护,支持和操作。有额外的系统管理员职责作为一个整体对他们的监督下,该系统(S)的大学,不论其部门或组的策略。负责的管理员拥有系统管理员的行动的最终责任。被问责系统管理员选民。

系统管理:  是指系统管理员的系统管理和职责分配的具体任务。这些任务包括,但不限于:安装,支持和维护操作系统,数据库管理系统,应用软件和硬件;规划,故障排除,解决,应对系统出现问题或中断;并提供有关在组织中使用的系统知识的事实。

技术币种: 状态,年龄,以及硬件和软件的非过时的状态。该大学努力坚持以合理的更换周期,以保持充足的和最新的硬件和维护通过安装软件所需的监测和发布,安全更新和补丁程序的安全和功能。

程序:    

一。访问帐户的完整性

只要有可能,访问帐户都集成了UTS管理身份管理系统:如的NetID系统(LDAP)或Active 目录(admnet)。集中认证政策粘附到大学系统允许管理员专注于系统和应用管理,用户权限分配和用户角色中的系统。安全性是通过减少登录身份和密码的增殖增强。

在十大网赌官方系统管理员管理访问帐户,访问帐户必须及时地进行活动,提供新的帐户,并及时包括删除旧账。所有访问帐户使用唯一的用户名和单独分配的密码验证。帐户将被分配并促成了与最小权限需要。

所有访问帐户在解雇立即禁用,除非大学或大学技术服务政策事先批准。所有访问帐户都会定期恶意,外的日期,或未知账户的存在审核。访问帐户将被禁用或删除基于对环境和遵守所有许可证的访问规则。系统管理员将确保访问帐户可以是跟踪一个单身的人,那访问帐户相匹配的用户的授权,即初始或供应商提供的默认账户或密码被禁用,且访问帐户执行ESTA策略相匹配的系统访问。

系统管理员将验证访问机密数据(定义 信息安全策略#860)通过访问帐户和系统时间,根和管理,包括访问记录。

系统管理员将保证强密码的使用和更改这些密码频繁,在系统内环境的限制。系统管理员必须验证所有系统和网络设备,所有的密码在传输过程中被加密,并在休息与强大的加密。访问帐户的认证数据存储(例如,密码文件,加密密钥,证书,个人识别号码,存取码)必须被适当地保护利用访问控制,加密强,阴影等 - 例如,密码文件不能是可读的。

湾许可证,版权和合同

系统管理员必须遵守和执行版权,软件许可证和合同。受版权保护的所有软件不得复制或除非业主具体的版权规定或受版权法律许可访问。不得复制保护的软件到,从,或通过任何一所大学的设施或系统中,除了根据有效许可证或受版权法允许否则。副本的数量和分布必须以一种方式来处理这个用户同时在一个部门这样的数量不超过该部门购买的原始拷贝数,除非在购房合同另有规定的除外。系统管理员负责执行合规制度有关合同,软件和采购政策。

温度。数据保护

系统管理员将实现机密数据的足够的保护(定义 信息安全策略#860)其中的存储位置适当的识别,进程加密,并除去机密数据不会保留即下保持准则。

d。数据备份和系统服务

系统管理员必须定期执行,并为他们管理的系统,或UTS完整的备份服务,他们必须工作,他们的管理员给系统添加到一个更大的大学备份结构。系统管理员将描述数据恢复服务,如果有的话,提供给系统用户。鉴于书面张贴的计算机系统本身有足够的系统用户或消息的文件应被视为备份描述。

UTS维持ITS示意图管理系统描述系统和维护这些系统的日常备份,由首席信息官批准,仅用于灾难恢复的目的。 UTS备份在轮换计划创建并存储在由首席信息官批准的位置。首席信息官特别授权UTS备份。

即强制

UTS会审核的有大学网络上存在的系统的安全性。可以UTS扫描或检查系统的合规性和可大学体系无论是断开或隔离任何不符合规定的系统是网络,直到达到符合性。按照这一政策,被拒绝访问违反五月到大学的计算资源和可能受到其他处罚和纪律处分,包括大学的纪律处分程序,以适当他们每所大学的地位 政策#890利用大学的信息技术资源.

F。可能的误用和系统日志的调查

系统管理员必须立即在发现上大学的技术服务和十大网赌官方警察局报告数据的安全性和违反任何可能的滥用。系统管理员可以在第一证人可能被滥用。系统管理员将研究任何可能违反大学技术服务立即报告给他们。

分配给系统管理员定期,并定期监测可能滥用和误用系统日志。管理员必须报告任何系统日志异常,滥用或误用指示指示调节UTS在不到两年的工作日或48小时,发现的。当一个安全漏洞或未经授权的曝光数据时,可能UTS到系统禁止访问,而系统的法医副本制作或同时工作与刑事调查执法。

系统管理员应保持适当的系统日志最少48小时,不超过30天,如果这样的日志可以使一个人的身份,除非有需要更长的保留审查了与UTS和法律事务办公室具体的法律或法规要求。这日志不标识身份的用户,或根据需要系统管理员的人可以保持。

传票和信息请求所有其他电子数据或记录系统必须交由办公室立即法律事务。系统管理员可能被控电子提供信息存储的信息关于什么是可用的(包括系统原理图,备份和日志),保存电子存储信息和生产信息办公室法律事务。社会问题覆盖备份和保留周期标准的政策和做法通知。

克修改或删除设备的

信息技术资源的退役,处置,或者转移到另一个位置必须拥有所有数据,并移除,擦除和不可读释放设备前,有许可证。授权给大学软件和信息技术资源,不得转让给第三方。除去必须符合大学安全技术服务建立的标准。设备必须使用由物业管理部门批准的方法来配置。系统管理员不能试图修改或删除计算机设备,软件或外围设备进行控制或未经适当授权他人管理这一点。

小时。网络的一致性

系统管理员将实施符合互联网协议(IP)地址,域名服务,无线连通性策略,防火墙规则和目录服务的整体结构的大学系统,由大学技术服务所建立。

我。合规的特殊领域

大学必须与某种特殊的法规。尤其是,支付卡行业(PCI)和健康保险流通与责任法案(HIPAA和高科技相关的CUR)有特定的要求。其他法律和监管领域从五月出现时间时间协议需要特定的系统管理。这个过程的系统,存储或传输信用卡或其他付款方式必须符合行业合规标准的支付卡。这个过程的系统,存储或发送电子保护的健康信息(EPHI)必须符合HIPAA法规遵从标准和相关HITECH。 UTS必须被告知所有系统的处理,存储或传输数据的PCI或HIPAA。

负责PCI或HIPAA兼容的系统系统管理员必须参加合规年度培训。

所有系统和应用程序用于处理,传送或存储持卡人信息或EPHI必须访问控制且由唯一分配的登录身份和密码允许的。只要有可能,管理权限将启用LDAP的。由于访问帐户只对执行功能所需的最小资源的访问。管理员帐户必须更改密码每90天。密码策略必须强制使用强密码长度至少为8个字符。这两个密码必须包含字母和数字的值。一个帐户一个新的单密码不能是相同的现有四(4)的密码。

当多个账户被锁定试图访问失败。重复的登录尝试失败后,必须六(6)锁定尝试的帐户。锁定必须持续时间为30分钟;经核实行政越权是允许的。

系统必须安装由系统管理员,除非否决及时的基础上最新的安全补丁,然后只有在地方补偿控制。服务器的实现必须基于业界公认的最佳实践硬化。系统的物理安全性和访问仅限于授权的管理员。该软件维护文件的完整性被用来检测的系统文件的任何一个或日志数据不正确的改变。访问控制日志成功和失败的登录尝试遏制和访问日志。记录日志的集中数据访问,登录尝试成功,失败的登录尝试在网上保留3个月,离线一年。

学家远程访问

用于远程访问系统必须通过政府担保进行处理,加密通信事先通过大学科技服务验证。

ķ。从网络中移除

为了保证所有系统用户声音的大学环境,并达到预期的大学网络服务的目的,系统发现的不符合可从大学网络被删除大学政策。当立即断开是没有必要的,系统管理员将仍然有望迅速采取行动,来诊断问题,停止任何正在进行的虐待,使被需要防止再次发生任何变化。这将涉及采用安全的最佳做法。 ESTA过程中保留任何证据表明需要应定位可能会在问题的根源,并采取任何法律或纪律处分,这可能是适当的。可能会要求系统管理员违规的记录实例后恢复网络服务之前,以证明符合本文档以及大学政策。

湖系统完整性

负责系统管理员安装和维护系统完整性的各个方面,包括获得释放,并修复保证不对操作系统升级的货币,安装修补程序,管理版本,安装防病毒软件,更新定义病毒,改变所有的供应商默认密码,同步系统时钟,并关闭服务,而不需要那个端口,用于系统的有效运行。硬件和软件供应商协议及时更新是必需的。没有供应商的支持合同并不意味着大学的技术服务能够修复和未经事先同意或通知恢复系统。系统管理员必须尽一切努力保持熟悉不断变化的安全技术,涉及到他们的系统,并不断地分析技术漏洞及其启示RESULTING安全。

米第三方访问

通过访问第三方大学的信息技术资源,必须在合同义务和大学的安全政策和做法遵守。

ñ。供应商帐户和密码

系统管理员必须验证供应商默认密码被更改或在安装和实施的时间立即禁用。所有的密码必须加密供应商。应收账款按厂商需要的是只在需要的时间启用,工作完成后关闭。

相关政策和形式:

 

OU AP&P #212 Bankcard 信息 Security Requirements

   

OU AP&P #360物业管理

 

 

OU AP&P # 830信息技术

OU AP&P # 850 Network Policy 

 
OU AP&P # 860 信息 Security

 

OU AP&P # 软件870个法规 

 
OU AP&P # 890利用大学的信息技术资源

附录: