Procedure Statement

Texas A&大学商学院的电子信息资源是重要的学术和行政资产，需要适当的保护. 计算机系统、网络和数据容易受到各种威胁. These threats have the potential to compromise the integrity, availability, and confidentiality of the information.

Reason for Procedure

本程序为信息安全过程的管理和监督提供指导.

Procedures and Responsibilities

1. General
   1. 必须采用有效的安全管理程序来适当地消除或减轻对大学信息资源的潜在威胁所带来的风险. 应采取措施保护这些资源免遭未经授权的访问, disclosure, modification, or destruction whether accidental or deliberate.
   2. Texas A&M University-Commerce, as a state university, 是否需要遵守德州行政法规(TAC)的信息安全标准. 《皇冠体育365赌博》将保护信息资源的责任赋予了总统. For the purposes of this procedure, 皇冠体育365遵守德州信息安全标准行政法规的权力和责任已由校长授权给首席信息官.
2. Responsibilities
   1. 总统已指定信息技术信息安全官负责管理本程序和TAC信息安全标准的规定.
   2. 部门负责人或主管应负责确保适当的安全程序生效，并确保部门拥有和运营支持的信息系统符合本程序和TAC标准.
   3. 一个部门的负责人或主任，为另一个部门拥有的信息系统提供业务支持(保管人)&移动商务部门应负责确保所支持的信息系统有适当的安全程序并符合TAC标准. 
   4. 遵从交谘会标准的运作责任，可由部门主管或总监委派给适当的资讯系统支援人员(例如.g. System Administrators) within the department.
   5. 保存在个人工作站或个人计算机上的关键任务或机密信息必须提供TAC标准中规定的适当保障措施. It is the responsibility of the operator, or owner, 及/或该工作站或个人电脑的部门系统管理员，以确保有适当的保安措施，并进行年度风险评估.
3. Compliance Assessment Reporting
   1. 对电子信息系统负有所有权或者保管责任的部门应当确保, on an annual basis, 向信息安全官提交安全评估报告. 本报告由信息安全意识评估和合规(ISAAC)系统生成. 报告应由指定的系统管理员或信息系统保管人提交.
   2. 负责存储信息资源的部门, transmit, 或处理关键任务或机密信息的人员可使用ISAAC系统评估其安全状态并衡量其是否符合TAC信息安全标准.
4. Information Security Standards
   1. The procedures determining acceptable use of A&移动商务信息资源在以下信息安全标准中得到处理:

For all campus users

Acceptable Use Acceptable use of university computing resources

Authorized Software Standards for licensed software use

Email Usage Standards for ensuring prudent and acceptable use of email

Internet/Intranet Usage Acceptable use of university network resources

Malicious Code Detection and blocking of viruses and spyware

Network Access Standards for access and use of network infrastructure

Password Authentication Standards for complexity of passwords and management

Portable Computing 存储在移动计算设备上的机密数据的存储标准

Privacy Coveys the limits and expectations of privacy

For network administrators

Network Configuration 维护、扩展和使用网络基础设施的标准

For system administrators

Account Management Standards for administration of user accounts

Administrator/Special Access Standards for administration of special access privilege accounts

Backup/Recovery 包含重要数据的系统的备份和恢复标准

Change Management Procedures for modifications of systems containing essential data

Incident Management Describes prevention, detection, and response to security incidents

Intrusion Detection Management of the detection of attempts to bypass security 

Physical Access Management of access to information infrastructure

Security Monitoring Ensures security controls are in place and effective

Server Hardening 确保服务器控件配置为保护机密信息

Vendor Access 要求非大学员工在访问前签署保密表格

For system developers

System Development 确保准确和有效的系统获取和/或开发过程

Related Statutes, Policies, and Requirements

System Policy 29.01 Information Resources

System Regulation 29.01.03 Electronic Information Services Access and Security

University Procedure 29.01.03.R0.01 Information Security Standards Portable Computing

Supersedes:

University Rule 24.99.99.R1 Electronic Information Security

University Procedure 24.99.99.R1.01 Electronic Information Security Standards

Definitions

Confidential Information -根据《皇冠体育365》或其他适用的州或联邦法律的规定，不包括在披露要求之外的信息. Most student records are confidential records.

Mission Critical Information - Information that is defined by Texas A&M University-Commerce or any division thereof (department, etc.)对其功能至为重要，而若资料/系统遗失而无法及时修复，则会造成严重的不利影响.

Owner -负责某一大学功能并决定控制和访问支持该大学功能的电子信息资源的人员.

Custodian -为信息系统提供操作支持并负责实施所有者定义的控制和访问权限的人员(或部门).

ISAAC (Information Security Awareness Assessment and Compliance) -一个以网络为基础的系统，用以评估资讯系统的保安状况及衡量是否符合资讯保安标准. 它还提供了创建灾难恢复计划和执行物理安全检查的指南. 此外，还提供安全培训课程(信息和测试).

Contact Office

Chief Information Officer, 903.886.5550