风险 & 安全评估

确保风险评估识别出合理可预见的内部和外部安全风险, 对大学的保密和诚信, 风险评估必须在OIT安全部门的指导下与所有必要的利益相关者定期进行.

1. 除非另有安排，风险评估计划每年以日历年为基础进行一次. (3.11.1[a-b ], (3.14.1[a-b]))
2. 风险应按影响和可能性计算的严重程度进行分类.
3. 风险评估应根据APM 30下的数据分类来评估大学数据和系统的安全性.11，包括现有控制是否适当. (3.12.1[a-b])
4. 风险必须报告给数据所有者、CIO和适当的实体. (3.14.1[c-d])

1. OIT安全部门可随时自行决定使用以下方法扫描系统:
   1. 基于代理扫描
   2. 网络扫描
   3. 应用程序漏洞扫描
2. 每周或更频繁地扫描系统和应用程序. (3.11.2[a-c], (3.14.1[a-b]))
3. 系统和应用程序扫描发生在重大的新漏洞被发现在OIT安全的自由裁量权. (3.11.2[d-e])
4. 任何和所有连接到大学管理网络的系统都受到未经认证的网络扫描.

确保发现的风险和漏洞得到解决.11.3[b] 3.12.2[a-c])

1. OIT安全部门将决定是否需要进行补救.
2. 需要补救的风险将通过系统所有者的票据进行跟踪.
3. 需要补救的风险必须在OIT 安全定义的时间范围内解决.
   1. 无法在OIT 安全定义的时间范围内解决的风险必须具有由OIT 安全批准的缓解控制措施，直到风险或漏洞得到解决.
   2. 除非OIT 安全另有规定，标准时间框架为(3).14.1[e-f]):
      1. 高风险问题:4小时
      2. 中等风险问题:1个工作日
      3. 对于低风险问题:10个工作日
   3. 无法解决的风险必须有OIT 安全批准的减轻控制措施，并每年进行审查.
   4. 具有未解决的漏洞或风险的系统可以在CSIRT的自由裁量权下脱机.
      1. CSIRT必须尽最大努力将处于脱机状态的系统与系统所有者和用户进行通信.

1. 除非另有安排，否则渗透测试计划至少每年根据日历年进行一次. (3.14.1[a-b])
2. 渗透测试结果必须包括在年度风险评估中.

供应商安全评估(VSA)必须由OIT security在购买资源之前完成, 使用由第三方提供的服务或与第三方共享大学数据. 完成评估:

1. 供应商必须根据要求提供在过去12个月内完成的HECVAT.
2. 供应商必须提供SOC类型2报告和过桥函.
   1. 被确定为具有重大风险的供应商, 由OIT安全部门和/或U of I数据管理员酌情决定, 可能需要定期(不超过每年)提供更新文件, 除非在合同期限内发生违约或事故.
   2. OIT 安全可自行决定接受或要求其他报告或认证.
3. 评估确定的风险必须通过缓解措施加以解决, 数据所有者的解决或接受.