كتالوج ضوابط أمن المعلومات
جامعة تكساس ايه اند ام - كينجسفيل
كتالوج ضوابط أمن المعلومات
نظرة عامة
يحدد كتالوج ضوابط أمان المعلومات الحد الأدنى من المعايير والضوابط الخاصة بأمن المعلومات بالجامعة وفقًا لمعايير أمن المعلومات الخاصة بالولاية لمؤسسات التعليم العالي الموجودة في العنوان 1 ، الفصل 202 ، القانون الإداري لولاية تكساس (TAC 202).
الغرض من كتالوج التحكم هذا هو تزويد مالكي ومستخدمي معلومات Texas A&M University-Kingsville بإرشادات محددة لتنفيذ ضوابط الأمان المطابقة لمعايير مراقبة الأمان المطلوبة حاليًا في كتالوج معايير التحكم في أمان إدارة موارد المعلومات (DIR) في تكساس ، الإصدار 1.3. يتم تنظيم كل مجموعة تحكم تحت رمز تعريف المجموعة المكون من حرفين وعنوانها ، وتعتمد تنسيق الترقيم الخاص بـ كتالوج معايير مراقبة الأمن DIR.
الاستثناءات
مالك أو من ينوب عن مصدر المعلومات (على سبيل المثال ، الوصي ، المستخدم) هو المسؤول عن ضمان تنفيذ تدابير الحماية في كتالوج مراقبة الأمن. استنادًا إلى اعتبارات إدارة المخاطر ووظائف الأعمال ، يجوز لمالك المورد أن يطلب استبعاد بعض تدابير الحماية المنصوص عليها في عنصر تحكم. يجب أن تكون جميع الاستثناءات متوافقة مع الإجراءات الموضحة في عملية استبعاد ضوابط أمن المعلومات.
مراقبة الدخول إلى
- سياسة وإجراءات التحكم في الوصول AC-1
- AC-2 إدارة الحساب
- AC-3 إنفاذ الوصول
- AC-5 فصل الواجبات
- AC-7 محاولات تسجيل دخول غير ناجحة
- إخطار استخدام نظام AC-8
- AC-14 الإجراءات المسموح بها بدون تحديد أو مصادقة
- AC-17 الوصول عن بعد
- AC-18 وصول لاسلكي
- AC-19 التحكم في الوصول للأجهزة المحمولة
- AC-20 استخدام نظم المعلومات الخارجية
- AC-22 محتوى متاح للجمهور
ضوابط التوعية والتدريب
- الوعي الأمني وسياسة التدريب AT-1 والإجراءات
- تدريب الوعي الأمني AT-2
- AT-3 تدريب الأمن القائم على الدور
- سجلات التدريب الأمني AT-4
ضوابط المراجعة والمساءلة
- سياسة وإجراءات المراجعة والمساءلة AU-1
- أحداث التدقيق AU-2
- AU-3 محتوى سجلات التدقيق
- سعة تخزين المراجعة AU-4
- استجابة AU-5 لفشل معالجة التدقيق
- مراجعة المراجعة والتحليل والإبلاغ في الاتحاد الأفريقي 6
- AU-8 الطوابع الزمنية
- AU-9 حماية معلومات التدقيق
- AU-11 الاحتفاظ بسجلات التدقيق
- إنشاء تدقيق AU-12
تقييم الأمان وضوابط التفويض
- تقييم الأمان وسياسة التفويض CA-1 والإجراءات
- تقييمات الأمان CA-2
- الربط البيني لنظام CA-3
- CA-5 خطة العمل والمعالم
- ترخيص الأمان CA-6
- CA-7 المراقبة المستمرة
- اتصالات النظام الداخلي CA-9
ضوابط إدارة التكوين
- سياسة وإجراءات إدارة تكوين CM-1
- تكوين خط الأساس CM-2
- تحليل الأثر الأمني CM-4
- إعدادات تكوين CM-6
- أقل وظائف CM-7
- جرد مكونات نظام المعلومات CM-8
- قيود استخدام برنامج CM-10
- برنامج CM-11 الذي يثبته المستخدم
ضوابط التخطيط للطوارئ
- CP-1 سياسة وإجراءات التخطيط للطوارئ
- CP-2 خطة الطوارئ
- CP-3 طوارئ التدريب
- CP-4 اختبار خطة الطوارئ
- موقع التخزين البديل CP-6
- CP-9 نظام معلومات النسخ الاحتياطي
- CP-10 استعادة نظام المعلومات وإعادة التكوين
ضوابط تحديد الهوية والمصادقة
- سياسة وإجراءات تحديد الهوية والتوثيق IA-1
- تحديد IA-2 والمصادقة (المستخدمون التنظيميون)
- إدارة معرف IA-4
- IA-5 إدارة المصادقة
- ملاحظات IA-6 Authenticator
- مصادقة وحدة التشفير IA-7
- تحديد IA-8 والمصادقة (المستخدمون غير التنظيميين)
ضوابط الاستجابة للحوادث
- سياسة وإجراءات الاستجابة للحوادث IR-1
- تدريب الاستجابة للحوادث IR-2
- معالجة حادثة IR-4
- مراقبة حادثة IR-5
- الإبلاغ عن حادثة IR-6
- IR-7 المساعدة في الاستجابة للحوادث
- IR-8 خطة الاستجابة للحوادث
ضوابط الصيانة
- سياسة وإجراءات صيانة النظام MA-1
- MA-2 الصيانة الخاضعة للرقابة
- MA-4 صيانة غير محلية
- موظفو الصيانة MA-5
ضوابط حماية الوسائط
- سياسة وإجراءات حماية الوسائط MP-1
- الوصول إلى الوسائط MP-2
- MP-6 Media Sanitization (تعقيم الوسائط)
- استخدام الوسائط MP-7
ضوابط الحماية المادية والبيئية
- PE-1 سياسات وإجراءات الحماية المادية والبيئية
- تصاريح الوصول المادي لـ PE-2
- التحكم في الوصول المادي PE-3
- مراقبة الوصول المادي لـ PE-6
- سجلات وصول الزوار PE-8
- إضاءة الطوارئ PE-12
- PE-13 الحماية من الحرائق
- ضوابط درجة الحرارة والرطوبة PE-14
- حماية من أضرار المياه PE-15
- تسليم وإزالة PE-16
ضوابط التخطيط
ضوابط إدارة البرنامج
- خطة برنامج أمن المعلومات PM-1
- PM-2 كبير مسؤولي أمن المعلومات
- موارد أمن المعلومات PM-3
- خطة عمل PM-4 وعملية المراحل الرئيسية
- جرد نظام المعلومات PM-5
- > مقاييس أداء أمن المعلومات PM-6
- PM-7 هندسة المؤسسات
ضوابط أمن الموظفين
- سياسة وإجراءات أمن الموظفين PS-1
- PS-2 تعيين مخاطر الموقف
- فحص الأفراد PS-3
- PS-4 إنهاء الأفراد
- PS-5 نقل الأفراد
- اتفاقيات الوصول PS-6
- PS-7 أمن أفراد الطرف الثالث
- عقوبات الأفراد PS-8
ضوابط تقييم المخاطر
ضوابط اكتساب النظام والخدمات
- سياسة وإجراءات اكتساب النظام والخدمات SA-1
- SA-2 تخصيص الموارد
- دورة حياة تطوير نظام SA-3
- عملية اقتناء SA-4
- توثيق نظام المعلومات SA-5
- خدمات نظام المعلومات الخارجية SA-9
- إدارة تكوين المطور SA-10
ضوابط حماية النظام والاتصالات
- سياسة وإجراءات حماية النظام والاتصالات SC-1
- SC-5 رفض حماية الخدمة
- حماية الحدود SC-7
- سرية ونزاهة ناقل الحركة SC-8
- إنشاء وإدارة مفتاح التشفير SC-12
- حماية التشفير SC-13
- أجهزة الحوسبة التعاونية SC-15
- SC-20 Secure Name / Address Resolution Service (مصدر موثوق)
- SC-21 Secure Name / Address Resolution Service (Recursive or Caching Resolver)
- بنية SC-22 وتوفير خدمة حل الاسم / العنوان
- عزل عملية SC-39
ضوابط سلامة النظام والمعلومات
- سياسة وإجراءات سلامة النظام والمعلومات SI-1
- SI-2 معالجة الخلل
- حماية التعليمات البرمجية الضارة SI-3
- مراقبة نظام المعلومات SI-4
- تنبيهات وإرشادات وتوجيهات الأمان SI-5
- SI-12 معالجة إخراج المعلومات والاحتفاظ بها