Risk & Security Assessment
Overview
这个更新的标准是为了帮助围绕风险和安全评估的现有IT实践与NIST 800-171 (RA/SA | 3)中的要求保持一致.11.x/3.12.x) as well as industry best practices. This document does not give full coverage of 3.11.x or 3.12.由于现有的限制和特定于CUI的其他需求,171中的x控件.
What is in this document:
- Risk assessment requirements
- Vulnerability scan requirements
- Remediation requirements
What is NOT in this document:
- Types of risk assessments that occur
- Dates of risk assessments
- Scope of risk assessments
Policy Reference
APM 30.12 Acceptable Use of Technology Resources
APM 30.14 Cyber Incident Reporting and Response
Purpose
This Risk Assessment standard supports APM 30.11高校数据分类与标准, and other relevant university policies.
Scope
这些标准是所有访问的托管和非托管系统的最低基线, store or process University of Idaho data (see APM 30.14 C-6)或使用365滚球官网的技术资源(参见 APM 30.12 C-1)在低、中、高风险水平(见 APM 30.11)不包括在经批准的系统保安计划内.
Standards
确保风险评估识别出合理可预见的内部和外部安全风险, 对大学的保密和诚信, 风险评估必须在OIT安全部门的指导下与所有必要的利益相关者定期进行.
- 除非另有安排,风险评估计划每年以日历年为基础进行一次.
- 风险应按影响和可能性计算的严重程度进行分类.
- 风险评估应根据APM 30下的数据分类来评估大学数据和系统的安全性.11,包括现有控制是否适当.
- 风险必须报告给数据所有者、CIO和适当的实体.
- OIT安全部门可随时自行决定使用以下方法扫描系统:
- Agent-based scanning
- Network scanning
- Application vulnerability scanning
- 每周或更频繁地扫描系统和应用程序.
- 系统和应用程序扫描发生在重大的新漏洞被发现在OIT安全的自由裁量权.
- 任何和所有连接到大学管理网络的系统都受到未经认证的网络扫描.
确保已发现的风险和漏洞得到解决:
- OIT安全部门将决定是否需要进行补救.
- 需要补救的风险将通过系统所有者的票据进行跟踪.
- 需要补救的风险必须在OIT Security定义的时间范围内解决.
- 无法在OIT Security定义的时间范围内解决的风险必须具有由OIT Security批准的缓解控制措施,直到风险或漏洞得到解决.
- 除非OIT Security另有规定,标准时间框架如下:
- For high-risk issues: 4 hours
- For medium-risk issues: 1 business day
- For low-risk issues: 10 business days
- 无法解决的风险必须有OIT Security批准的减轻控制措施,并每年进行审查.
- 具有未解决的漏洞或风险的系统可以在CSIRT的自由裁量权下脱机.
- CSIRT必须尽最大努力将处于脱机状态的系统与系统所有者和用户进行通信.
- 除非另有安排,否则渗透测试计划至少每年根据日历年进行一次.
- 渗透测试结果必须包括在年度风险评估中.
供应商安全评估(VSA)必须由OIT security在购买资源之前完成, 使用由第三方提供的服务或与第三方共享大学数据. To complete the assessment:
- 供应商必须根据要求提供在过去12个月内完成的HECVAT.
- 供应商必须提供SOC类型2报告和过桥函.
- Vendors determined to be of significant risk, 由OIT安全部门和/或U of I数据管理员酌情决定, 可能需要定期(不超过每年)提供更新文件, 除非在合同期限内发生违约或事故.
- OIT Security可自行决定接受或要求其他报告或认证.
- 评估确定的风险必须通过缓解措施加以解决, resolution or acceptance by the data owner.
Other References
1. NIST SP800-171r2 (February 2020)
2. NIST SP800-53r5 (September 2020)
3. 保护客户信息的格雷姆-里奇-比利利法案标准 (May 2002)
4. CMMC Glossary (December 2021)
Definitions
1. Risk
衡量一个实体受到潜在情况或事件威胁的程度, 通常是(i)不利影响的函数, or magnitude of harm, that would arise if the circumstance or event occurs; and (ii) the likelihood of occurrence.” (NIST SP 800-171)
2. Vulnerability
“Weakness in an information system, system security procedures, 可能被威胁来源利用的内部控制或实现.” (CMMC Glossary)
3. Risk Assessment
“识别组织业务包括任务的风险的过程, functions, image, reputation, organizational assets, individuals, other organizations and the Nation, resulting from the operation of a system.” (NIST SP 800-171)
4. Penetration test
“A test methodology in which assessors, typically working under specific constraints, 试图绕过或破坏系统的安全特性.” (NIST SP 800-53)
Standard Owner
信息技术办公室(OIT)负责这些标准的内容和管理.
To request an exception to this standard.
Contact: oit-security@thechromaticendpin.com
Revision History
3/1/2024 — Minor updates
- Minor formatting/wording/reference changes.
6/23/2023 — Original standard
- Full re-write to align with NIST 800-171r2