操作程序手册
第十一章-资讯科技
先前发布日期:2014年12月12日
出版日期:2022年8月2日
政策审查日期:2022年11月23日
策略所有者:信息技术副总裁

11.04信息安全事件响应

I. 政策声明

世界杯官方app信息安全办公室(OIS)致力于解决所有企图, 对可疑和确认的信息安全事件作出迅速有效的反应，以保护数据，并尽量减少对世界杯官方app信息技术资源的任何潜在危害.

II. 基本原理

正确和成功的保安事件应变，可以使用适当的资源和人员，以有效的方式预防, 检测, 分析, 包含, 根除安全事件并实施最佳实践, 在安全事件期间和之后.

3. 范围

这项政策适用于所有被授予访问世界杯官方app信息技术资源的人, 包括, 但不限于, 所有资料使用者, 其中包括世界杯官方app员工和第三方授权用户.

IV. 本政策的网站地址

http://www.pakata.net/hop/chapter11/11.04.html

V. 相关法规、政策、要求或标准

德克萨斯大学系统政策或校董会规则 & 监管

其他政策及标准

VI. 联系人

如果你对《世界杯官方app下载》的政策有任何疑问.信息安全事件响应，请联系以下办公室之一:

信息安全办公室
210-458-7974
informationsecurity@pakata.net
世界杯官方app技术解决方案
210-458-4555
TechCafe@pakata.net

7. 定义

首席资讯保安主任(CISO)
1. 负责为所有集中维护和分布式系统和计算机设备的世界杯官方app信息技术资源提供和管理整体安全程序的主要世界杯官方app员工. 首席信息安全官评估信息技术资源安全风险，并与内部利益相关者就风险进行透明的讨论. 首席信息安全官还负责本政策和相关政策的持续发展. 首席信息安全官测试合规性，并通过培训促进合规性, 意识程序, 风险评估. 首席信息安全官对信息技术资源的滥用以及外部或内部各方对信息技术资源的任何未经授权的访问作出回应.
数据保管
1. 数据管理员负责世界杯官方app信息技术资源的日常维护. 在某些情况下, 这一责任被分配给一个部门, 副总裁单位, 大学的员工, 第三方供应商, 或大学科技解决方案.
数据所有者
1. 负责信息技术资源支持的业务功能的经理或代理，或负责使用信息技术资源执行程序的个人.
Data 用户
1. 经资料拥有人授权存取资讯科技资源的个人, 按照资料拥有人的程序及规则办理, 无论是单独完成还是通过促进或负责自动化应用程序或流程.
事件应变小组
1. 对安全事件作出响应并确定安全事件是否应向州或联邦当局报告的一组人员. 成员包括首席信息安全官, Senior Information Security Analyst; Chief Privacy Officer, 信息管理副总裁 & 技术, 首席技术官, 资讯保安管理员, 支援服务处处长 & Operations Support; and 数字客户体验总监. 可聘请第三方网络安全和/或取证供应商作出回应. 其他的将根据需要由首席信息安全官列入.
妥协指标(IOC)
1. 上升到重大攻击级别的安全事件的技术细节，包括, 但不限于, hash values; Internet Protocol addresses; and malware types and/or signatures, 攻击者使用的域.
资讯科技资源
1. 的程序, 设备, 设施, 软件, 以及设计出来的数据, 建, 操作, 并维持创造, 收集, 记录, 过程, 商店, 检索, 显示, 传递信息. 这可能包括但不限于任何和所有计算机打印输出, 在线显示设备, 大容量存储介质, 以及所有与电脑有关的活动，包括任何能够接收电子邮件的设备, 浏览网站, 或能接受的, 存储, 管理, 或传输数据，包括, 但不限于, 大型机, 服务器, 个人电脑, 笔记本电脑, 掌上电脑, 移动设备, 寻呼机, 分布式处理系统, 联网和计算机控制的医疗和实验室设备(e.g., 嵌入式技术), 通信资源, 网络环境, 电话, 传真机, 打印机和托管服务.
资讯保安管理员
1. 每个部门的指定工作人员或数据保管员, 与OIS密切合作, 负责推行及管理资讯保安措施，并协助部门内其他资料保管人及/或资料拥有人处理任何保安需要.
资讯保安事件
1. 可能导致未经授权访问的事件, 损失, 信息披露, 修改, 中断, 或销毁资料及/或资讯科技资源, 无论是偶然的还是故意的.
主要利益相关者团队
1. 可能对安全事件的内部和外部响应提供高层监督的小组. Members may include the President; Director of the Office of Risk & Emergency Management; the Vice President of Information Management and 技术; Chief 技术 Officer; 数据所有者; 研究 Integrity Officer; members of The University of Texas System Offices of Information Security, 风险管理, and/or Privacy; insurance company; third-party forensic vendors.
回应及沟通小组
1. 当信息安全事件发生时，计划并实施通知给受影响个人的小组. 成员包括通讯和市场营销助理副总裁, 数字客户体验总监, Chief Privacy Officer; Director and Coordinator of Business Continuity Emergency Management and other individual(s) the 回应及沟通小组认为有必要.
重大的攻击
1. 世界杯官方app信息技术资源中未经授权的活动, ,包括, but is not limited to malware that is spreading; ransomware; nation-state activity inside 世界杯官方app’s 资讯科技资源; an extortion demand; or any equivalent activity of similar severity.
重大安全事件
1. 没有上升到重大攻击级别的安全事件的技术细节，包括, 但不限于, 中断 to business operations (partial or total service 中断 in one or more lines of business for more than 1 day; suspension or termination of a network connection to a third party in order to avoid potential contagion; unauthorized 信息披露 of Confidential Data; theft of intellectual property by internal or external actors; 损失 of an unencrypted device thought to have Confidential Data; a crime that triggers external reporting or 信息披露 obligations, or that create regulatory consequences; potential coverage by media, 包括 any online media; or likely reputational harm to 世界杯官方app.
战术、技术和程序(TTP)
1. 上升到重大攻击级别的安全事件的技术细节，包括, 但不限于, methods of obtaining credentials with escalated privileges; establishing back doors; exfiltrating Data; other means of persistence within 资讯科技资源; and attack vectors such as brute force, 网络, 电子邮件/钓鱼, 外部可移动介质, 模拟欺骗, 不当的使用, 设备丢失或被盗.

8. 责任

事件应变小组
1. 调查保安事故.
2. 确定是否发生了违规行为.
3. 对安全事件造成的风险等级和损害范围进行分类.
4. 通知数据所有者, 回应及沟通小组, 和/或安全事件和状态更新的关键利益相关者团队成员.
5. CISO必须在检测到重大攻击后不迟于12小时通知UT系统CISO和UT系统首席隐私官(CPO).
6. 重大攻击期间, 首席信息安全官必须提供妥协指标和策略, 技术, 和程序，在收到信息后六小时内通知UT系统CISO.
7. 重大保安事故, CISO必须在事件发生或发现后七天内通过UT系统事件报告系统通知UT系统.
8. 指派专人负责记录对安全事件的反应.
9. 包含受影响的数据和信息技术资源.
10. 消除安全事件，减轻安全事件的危害.
11. 就保安事件是否需要通知受影响的个人提供意见.
12. 团队成员可以指派一名指定人员在响应沟通团队中服务.
回应及沟通小组
1. 计划和实施通知受影响的个人和/或联邦或州当局.
2. 确定内部和/或外部通知的最佳沟通方式.
3. 起草并向受影响的个人发送任何相关通信.
4. 通知数据所有者, 事件应变小组, 和/或安全事件和状态更新的关键利益相关者团队成员.
5. 在安全事件得到缓解后, 指定一个部门或工作人员回答受影响个人世界杯官方app安全事件的问题.
6. 在某些情况下, 一个团队的所有成员可能无法到场履行他们的职责. CISO的, 与其他团队成员协商, 可能会选择重新分配或执行所需的职责，这取决于诸如需要解决关键漏洞之类的因素.

IX. 程序

资讯保安事故监察
1. 首席信息安全官将汇总信息安全事件数据，并与关键利益相关者团队共享, 回应及沟通小组, 数据所有者, 及资讯保安管理员, 根据需要.
2. 此数据可能包括信息安全事件的数量和类型以及其他信息.
资讯保安事故报告
1. 任何个人如果知道或怀疑信息安全事件已经发生或正在发生，必须立即通知OIS，联系世界杯官方app技术解决方案，电话:210-458-5555或 TechCafe@pakata.net.
2. 任何干涉的企图, 防止, 阻碍, 报复的, 或劝阻报告信息安全事件, 关键安全问题, 违反政策, 或信息技术资源漏洞，严禁使用.
3. 处理涉及犯罪活动的资讯保安事故, 响应沟通小组将根据要求和建议通知执法机构.
“资讯安全事件调查及识别
1. 在收到潜在的信息安全事件通知后, 事件响应小组应及时评估和收集信息，以确定受影响的数据, 资讯科技资源, 和/或业务流程. 事故应变小组将决定是否发生了实际的资讯保安事故. 如果安全事件得到确认，OIS将通知事件响应小组. 如果事件涉及研究，则还应通知研究诚信官.
2. 当可适用, 数据所有者将被要求完成并提交一份描述存储或处理数据的声明，并将其提交给事件响应小组. 事件响应小组也可能需要文件副本.
3. 事件应变小组亦会就资讯保安事件是否需要通知受影响的个人及/或其他当局提供意见.
资讯保安事故遏制
1. OIS将确定信息安全事件的规模和范围，并作出相应的响应.
2. 是否有必要采取可能对业务流程产生重大影响的行动, 事件响应小组将通知关键利益相关者小组.
3. 事件响应小组将作出合理努力，尽量减少影响.
4. 在极少数情况下, 可能有必要在没有收到管理受影响的数据及/或资讯科技资源的个人的意见的情况下采取行动.
消除资讯保安事故
1. 事件响应团队负责消除或减轻导致安全事件的漏洞.
2. 事件响应小组将向受影响的单位提供建议，并协调消除或减轻漏洞所需的任何剩余努力.
资讯保安事故跟进
1. 事件响应小组将编写一份安全事件报告，总结信息安全事件并概述建议的行动.
2. 安全事件报告将被修订，以包括负责单位主管的行动计划和行动计划进展，并将与响应沟通小组共享.
保安事件通知
1. 事件响应小组将及时通知德克萨斯大学系统首席信息安全官所有确认的信息安全事件和可疑的信息安全事件.
2. CISO必须在检测到重大攻击后不迟于12小时通知UT系统CISO和UT系统CPO.
3. 重大攻击期间, 首席信息安全官必须提供妥协指标和策略, 技术, 和程序，在收到信息后六小时内通知UT系统CISO.
4. 重大保安事故, CISO必须在事件发生或发现后七天内通过UT系统事件报告系统通知UT系统.
5. 响应沟通小组将根据法律要求通知州和联邦当局.
6. 如果决定通知受影响的个人资讯保安事件 , 然后是响应沟通小组会否针对特定的保安事件制定及实施资料外泄通知程序.
7. 我们将尽可能及时地通知个人，而不会无故拖延. 有关信息安全事件的任何媒体咨询均应直接向传播和营销副总裁咨询.

X. 实施的特别说明

没有一个

XI. 表单和工具/在线流程

对数据进行分类: 数据分类标准.
的例子应呈报的保安事故.

十二世. 附录