事件反应过程

一个事件是什么?

事件通常是一个计划,如计划升级或系统启动。事件通常是无计划的,有内涵的问题,事故或问题,需要审查和可能采取进一步行动。它是发生意外,通常有一个消极的内涵。

我们定义了最可能的事件和过程在我们的公告发布的ut -这事件和风险管理政策和指导方针网站。在本文中,我们将事件称为“信息技术”事件。

我们如何发现事件?

事件可能会在任何方面报道指出在I期:本文档中描述的事件通知。

角色和职责的一个事件

组织领导是由首席信息官提供的或最资深的生产(最高级别)员工可用(“被指派者”)。CIO或被任命者负责确定事件的范围和影响。领导可能会改变手的一个事件。

基于CIO或被任命者审查,CIO或被任命者可能会触发启动灾难恢复计划和可能召集安全漏洞检查面板中定义的数据# 860的数据管理和信息安全政策,如适当。从这灾难恢复计划中检索的角色和职责。

每一个你政策# 890外部机构发布的信息,包括任何执法组,必须协调办公室的明确许可的法律事务。应该按照决定释放信息指南对强制性法律请求和其他调查的请求信息。

如果审查表明,发生数据泄露,下定义的数据违反安全审查小组# 860的数据管理和信息安全政策将召开的CIO或被任命者。违反响应指南将提供从保险提供者和由面板。立即采取行动将采取的CIO和大学风险经理联系网络责任保险公司和所有的行动步骤将指导下的大学网络责任保险和顾问协议。文档工作的保险提供者UTS事件访问响应——谷歌团队驱动、文档文件夹。

协助事件识别大学技术服务维护事件反应分类剧本,这是访问校园社区的所有成员。

如果数据泄露涉及支付卡数据发现,CIO或被任命者,与信息安全官和大学网络责任保险顾问,将立即按照支付品牌接触程序之前采取任何行动:

签证应对数据泄露

万事达信用卡帐户数据用户指南妥协

我阶段:一个事件通知

一个信息技术事件可以在几个方面,包括:

• 列在纪念事件ut -这事件和风险管理政策和指导方针。

• 电子邮件到大学接触的虐待(电子邮件保护)。

• 电子邮件技术服务联系大学(电子邮件保护)或任何个人在生产员工。

• 电子邮件、电话或面对面访问任何大学帮助台位置,转移到(电子邮件保护)生产项目。

• 请求或者警察局,紧急经理或授权执法机构。
• 请求法律事务或内部审计办公室的. .
• 观察或分析由系统管理员,系统工程师,生产或其他专业。
• 提交的形式丢失设备:检查表丢失,被盗或丢失电脑、平板电脑、智能手机或其他媒体存储设备(“设备”)

• 报告丢失、被盗或丢失的设备完成核对表丢失,被盗,丢失的电脑,智能手机,或媒体存储设备或选择适用的形式https://forms.www.zhongqiwg.com。

在所有情况下,创建一个票生产内部票务系统。这张票是用于所有跟踪、分析和报告功能。所有事件都将继续下一个阶段。这一步为所有生产员工提供文档信息技术事件已经收到并记录。首席信息官和/或信息安全官将通过电子邮件通知广泛(电子邮件保护)生产和调用可用的最资深的工作人员。

第二阶段:初始事件的评估

最初的通知后,生产人员将进行必要的资源来执行一个粗略评估确定的范围和影响事件。与此相关的指南调查。以下标准评估,按照重要性:

1. 确定水平的保护需要触碰任何项目之前或审查。不关掉电脑或其他电子设备;有一个开/关开关应该留在。注意,即使回顾一些文件将腐败证据材料的质量。
   1. 活动内存需要成像或逮捕了吗?
   2. 从网络系统需要立即删除吗?
   3. 有账户(用户或系统)需要立即保护通过禁用或密码改变了吗?
2. 确定严重程度和临界。评估事件的紧迫性。
   1. 是一个活跃的问题,一个潜在的威胁,还是event-in-progress ?
   2. 事后发现的问题吗?
   3. 入侵或接触休眠,活跃,还是完成?
   4. 这涉及安全或隐私的个人,包括个人身份信息?

   5. 的审查标准灾难恢复计划;灾难恢复计划需要启动吗?

3. 决定和影响范围。
   1. 有数据丢失或损坏的数据吗?
   2. 有数据泄露的证据,访问未授权方的概率,数据或未经授权的接触?

   3. 涉及哪些数据以及数据分类涵盖了暴露数据?原来是涉及知识产权或外部资助的格兰特研究数据?数据丢失可分为下列之一,每# 860的数据管理和信息安全政策定义:

      1. 机密数据,包括个人健康信息,个人身份信息和支付持卡人信息。
      2. 操作关键数据
      3. 非机密数据
   4. 识别方法,数据丢失或发生接触。
   5. 识别影响数据丢失或接触的时间框架。
   6. 近似数丢失的文件或记录。
   7. 评估概率数据访问未经授权的聚会。
   8. 是一个边缘设备(台式电脑、笔记本电脑、存储驱动,智能手机),还是涉及多种设备?
   9. 所使用的设备或设备在一个大学组织事件或注册一个事件帐户吗?
   10. 是一个服务器涉及多个文件?
   11. 是一个单用户或帐户,或涉及多个帐户吗?
   12. 涉及到系统级帐户吗?
   13. 有损失或损失未遂的服务吗?
   14. 有损失或失败的硬件吗?
   15. 有违反大学政策吗?
   16. 是一个设备丢失或被盗?
   17. 如果有一个服务中断,发表一个信息性消息生产服务主页的状态,更新每两个小时(除非特别说明),直到返回服务。

如果以上条件都满足,那么这一事件没有发生。跟踪更新机票和所有相关的信息和分析,然后关闭。

第三阶段:激活反应

对于任何事件匹配上面列出的标准:

1. 通知数据安全漏洞评估小组确定在大学# 860的数据管理和信息安全政策。注意违反报告截止日期在通信。

2. 机密数据,识别所涉及的数据的性质和范围,接触到未经授权的个人,未经授权的个人的身份,和是否获得机密数据,查看和使用。

3. 如果登录凭证损害一个人在大学社区,发起一个红旗通知后大学红旗政策政策# 412的检测和响应身份盗窃红旗。ut,基于这一政策将通知学生业务服务。

4. 包括必要的生产人员。
5. 完整的清单丢失、被盗或丢失的电脑,桌子,智能手机,或其他媒体存储设备发现的这个文档,如果一个设备有关。

6. 如果启动灾难恢复计划,通知学校应急管理和首席运营官,并按照通知的灾难恢复计划。

第四阶段:事件反应和控制

请继续适用于事件的每个部分,基于前一阶段确定的标准。

1. 所有的事件:
   1. 考虑补偿控制或任何可以立即提供救援的努力恢复服务。
   2. 识别加密策略实施和使用。
   3. 基于所确定的数据参与事件,创建联系文件违反通知流程,如果适用。
   4. 通知将使用模板创建作为一个指导原则,和分布式的协助下办公室的风险管理。
   5. 收集和保存所有相关信息,磁盘映像,访问日志、系统日志和其他材料。
2. 损失或暴露的数据:
   1. 创建一个事件跟踪记录,注意事件处理和change-of-hands。
   2. 回顾事件的细节与数据安全漏洞评估小组和律师办公室的法律事务。这些人将保持在事件通知审查过程。
   3. 确定的范围和影响的数据丢失。
   4. 处理数据安全漏洞评估小组适当的通知计划法律要求,供应商,银行和其他组织实体。
3. 损失的服务
   1. 在未遂的情况下损失的服务(如拒绝服务攻击失败),采取预防措施,消除问题试图引起服务的损失。
4. 硬件的损失或失败
   1. 如果硬件被偷了,确定数据存储设备被盗。处理事件作为数据丢失事件。完整的清单丢失,被盗,或丢失电脑、智能手机,或其他媒体存储设备。
   2. 如果有损失的服务和数据暂时失去了,但可以从备份恢复系统,将信息消息UTS主页服务期间的损失时可行的。
   3. 如果数据永久丢失,使用通知模板创建和发布通知。

第五阶段:返回的服务

保留所有证据材料尽快。然后返回服务正常操作,除非在其他法律事务办公室的命令。文件机密数据风险的程度,风险是否已经减轻,并注意是否暴露数据全面检索,破坏,或重新配置意义(即。变化的识别号码,更改密码,关闭账户,等等)。

第六阶段:评估和符合规定的报告要求

审查相关数据和执行强制报告要求与数据安全漏洞审查小组和法律事务办公室。这可能涉及到Beazley合规工作,协调大学风险管理。特别是,注意报告要求:

• FERPA,讨论大学FERPA军官
• HIPAA
• 一种总线标准
• GDPR

• 密歇根州密歇根参加参议院法案452号身份盗窃保护法案

• 赠款资金机构如果涉及研究数据

文档:文档授权和维护办公室的首席信息官,大学技术服务。

最后更新:2020年9月