系统和信息完整性
Overview
这个更新的标准是为了帮助围绕系统和信息完整性的现有IT实践与NIST 800-171 (SI | 3)中的要求保持一致.14.X)以及行业最佳实践. 这个文件没有完全覆盖3.14.由于现有的限制和特定于CUI的其他需求,171中的x控件.
What is in this document:
- Patching requirements
- 要求向信息技术安全办公室(OIT)报告缺陷
- AV配置要求
本文件中不包含的内容:
- 打补丁过程(测试、部署、记录)
- 系统加固要求
Policy Reference
Purpose
本审计和问责制标准支持 APM 30.11高校数据分类与标准,以及其他有关的大学政策.
Scope
这些标准是所有访问的托管和非托管系统的最低基线, 存储或处理365滚球官网的数据(见 APM 30.14 C-6)或使用365滚球官网的技术资源(参见 APM 30.12 C-1)在低、中、高风险水平(见 APM 30.11)不包括在经批准的系统保安计划内.
Standards
协助确保在合理的时间内发现和解决系统和应用程序的缺陷:
- 应用安全补丁,自动解决系统和应用程序的缺陷, 或在10个工作日内.
- 可在经OIT Security及所有受影响的数据和系统所有者批准的基于风险的漏洞评估流程批准的时间框架内应用补丁.
- 发现缺陷或漏洞的ui员工必须向他们报告
oit-security@thechromaticendpin.com 在发现后的4小时内.- 发现不包括验证.
- 不鼓励对网络安全问题进行自我调查, 如果您觉得需要在向OIT安全部门报告之前进行调查, report it anyway.
为了帮助确保恶意软件无法建立、传播和影响系统:
- 所有具有大学数据的系统都必须具有oit管理的AV/EDR.
- 不能运行OIT管理的AV/EDR的系统必须具有OIT Security批准的缓解控制措施
- 检测到恶意软件的系统必须重新格式化或重建,除非OIT安全部门另有批准.
- 大学的技术资源必须由OIT或由OIT指定的重新管理.
为了帮助确保恶意软件无法建立、传播和影响系统:
- 更新签名需要在发布后1天内应用.
- 除非OIT Security记录了异常,否则必须至少每周进行一次完整的系统扫描.
- 除非OIT Security记录了异常,否则必须启用实时保护.
OIT Security, 作为参与信息共享和分析中心的一部分, 供应商建议和其他警报提要工具, 会否根据APM 30对警报作出回应.14.
Other References
1. NIST SP800-171r2 (February 2020)
2. NIST SP800-53r5 (September 2020)
Definitions
1. System Flaws
系统中可能导致系统不能按预期工作的问题. 这可能包括流程失败、软件漏洞或设计缺陷.
2. Security Patch
供应商为解决安全漏洞而发布的更新或修复程序.
3. Anti-Virus (AV)
监视计算机或网络以识别所有主要类型的恶意软件并防止或控制恶意软件事件的程序.” (CMMC Glossary)
4. 端点检测和响应(EDR)
运行在端点上的软件,它检查系统行为是否存在恶意活动并采取相应的行动.
Standard Owner
OIT负责这些标准的内容和管理.
Contact: oit-security@thechromaticendpin.com
Revision History
3/1/2024 — Minor updates
- 小的格式/措辞/参考变化.
2023年6月23日-原始标准
- 完全重写以符合NIST 800-171r2