信息安全政策

默顿学院管理机构于2018年10月3日批准了以下政策. 对本政策的任何修订均须经理事机构批准.

书院全体成员, 学院全体员工, 学院各院系均须遵守本政策. 默顿信息技术系为各部门提供支持和指导,而默顿信息技术系又得到了牛津大学中央信息安全团队的支持, “信息安全”.

本政策每年进行审查,以确保任何新的发展都得到保障和保护.

1目的

本政策概述了默顿学院(“学院”)的信息安全管理方法,并提供了指导原则和责任,以确保学院的安全目标得到满足.

2适用范围

此政策适用于整个学院,并单独适用于:

  • 所有能够接触到学院信息和技术的个人;
  • 处理书院资讯所用的所有设施、技术及服务;
  • 学院根据其运作活动以任何形式处理的信息;
  • internal and external processes used to process the College’s information; and
  • 向学院提供资讯处理服务的外部人士.
3目标

学院在资讯保安方面的目标是:

  • 一种文化被嵌入以确保在所有的教学中, 研究和管理活动中对信息安全进行了考虑;
  • 个人知悉并被告知他们的资讯保安责任;
  • 识别、管理信息风险并将其降低到可接受的水平;
  • 获授权用户可安全地查阅资料以履行其职责;
  • 设施、技术和服务充分平衡可用性和安全性;
  • 实现的安全控制是务实、有效和可测量的;
  • contractual, regulatory and legal obligations relating to information security are met; and
  • 事件得到有效管理和解决, ,以改善学院的管理环境.
4资讯保安政策框架(ISPF)

信息对学院的运作至关重要,未能保护信息会增加财务和声誉损失的风险. 学院致力于保护所有形式的信息不受损失 保密, 完整性, 可用性 确保:

  • 学院所有相关员工和成员完成信息安全意识培训;
  • 资讯保安风险得到充分管理,并在适当情况下对资讯科技系统和业务流程进行风险评估;
  • 学院与任何第三方合作伙伴或供应商签订的协议涵盖了所有相关的信息安全要求, 遵守这些规定是受到监控的;
  • 采取适当的资讯保安措施,保护所有资讯科技设施, 技术, 以及用于访问的服务, 处理和存储学院信息;
  • 通过适当的内部渠道及时报告所有信息安全事件, 信息系统是孤立的, 妥善调查和管理事故;
  • 信息资产所有者是学院所有信息资产的所有者, 资产是根据它们的重要性和敏感性进行分类的, rules for their use are in place; and
  • 资讯保安管制受到监察,以确保其足够和有效.

提供一个实用的信息安全框架的基础, 学院将按照学院规章及学院手册(称为“基线”)的规定,实施一套最低限度的信息安全控制措施。. 在研究, 监管或国家要求超过基线, 将在必要的服务或项目一级加强控制. 在不可能或切实可行的情况下达到基线, 异常情况应记录在案,以证明偏差的合理性,并实施适当的补偿控制. “基线”有助学院达致资讯保安的目标.

本政策应传达给用户和相关的外部各方, 学院网站将提供相关链接.

5的责任

下列机构和个人有特定的资讯保安责任:

  • 财务会计员 向理事机构负责管理书院院士所面临的资讯保安风险, 员工, 初级成员和其他成员.
  • 金融委员会 是否有责任监督书院院士的资讯保安风险管理, 员工, 初级成员和其他成员.
  • 国内的会计员 负责建立和维护必要的安排以确保供应, 学院资料的完整性及保密性.
  • 资讯科技总监 负责为学院内部运作的电脑及数码资讯系统实施资讯保安措施. 资讯科技总监负责就有关电脑及数码资讯保安的安排,向任何第三方伙伴或供应商提供专业技术意见.
  • 用户 是否负责做出明智的决定来保护他们处理的信息.
6合规

学院应开展信息安全合规与保障活动, 由大学资讯保安小组酌情协助, ,以确保资讯保安的目标及ISPF的要求得到满足. 任何故意违反本政策及基线的行为,学院将严肃处理,并可能对团体及/或个人采取纪律处分.

7回顾与发展

这一政策, 以及支持ISPF文档, 每年由财务会计审核及更新, 国内的会计员, 以及数据保护官员,并经财务委员会和章程细则委员会审查后由理事机构批准,以确保他们:

  • 保持操作上的适用性;
  • 反映技术的变化;
  • are aligned to relevant best practice; and
  • 支持继续遵守法规、合同和法律.