安全性

ITRM 政策、標準和指南可在政策和治理部分找到。

是的，機構主管最終負責該機構的信息技術系統和數據的安全性。

根據資訊科技資訊安全標準 (SEC501-10 .1) PDF " 關鍵資訊安全角色和職責 "，機構主管的具體職責包括：

為該機構指定一名信息安全主任（ISO），每兩年一次。

確保維持機構資訊安全計劃，足夠保護機構的 IT 系統，並且記錄並有效地傳達。

檢閱並批准機構的業務影響分析 (BIA)、風險評估 (RA) 和營運持續性計劃 (COOP)，以包括 IT 災難復原計劃（如果適用）。

檢閱並核准所有分類為敏感的機構 IT 系統的系統安全計劃。

確保已建立資訊安全稽核計劃。 注意：有關機構主管有關稽核計劃合規性的特定責任，請參閱資訊科技安全審核標準 (COV ITRM 標準 SEC502-00)。

確保建立信息安全計劃的計劃。

確保建立資訊安全意識和培訓計劃。

提供資源，讓員工能夠履行保護 IT 系統和資料的責任。

為每個機構敏感系統識別系統的系統擁有者，通常是企業所有者。

遵守資訊安全主任、系統/數據所有者和系統管理員的職責分離的安全概念，以防止利益衝突。

確保資料外洩已向資訊安全主任報告。 （只適用於行政部門機構。）

機構主管可委派所有資訊安全職責，但以下事項除外：

指定資訊安全主任。

確保信息安全計劃的實施。

確保實施稽核計劃。

注意：委派方必須在電子郵件提交的機構主管複製給資訊安全長。

機構主管每兩年一次向資訊安全總監 (CISO) 提交 ISO 及備份 ISO 名稱、職稱和聯絡資料，指定 ISO。 如需其他詳細資訊，請參閱 IT 資訊安全標準 (SEC501-10 .1) PDF " 關鍵資訊安全角色與職責 "。

如果提交通過電子郵件發送，則如果代理主管被複製，則將從機構主管以外的其他人接受提交的提交。

您的機構資訊科技 (IT) 安全審核計劃應根據「IT 安全稽核標準」(SEC 502) "「IT 安全稽核規劃 "」和「IT 安全稽核指南」(SEC 512.00) " IT 安全審核計劃 " 中所給出的指示制定。 請使用 IT 安全性稽核計劃範本來完成您的計劃。

機構主管或委任人必須每年向資訊安全主任 (CISO) 提交審計劃。 如果提交是由指定人發送的電子郵件，則必須複製代理機構負責人。

您的機構資訊科技 (IT) 安全糾正行動計劃應根據資訊安全審核標準 (SEC 502) " 資訊安全審核文件 " 及資訊科技安全審核指引 (SEC 512.00) " 更正行動計劃 " 及 " CAP 所提供的指示制定定期報告 ". 請使用「糾正行動計劃範本」 來完成您的計劃。

機構主管或委任人必須每季提交糾正行動計劃給聯邦首席信息安全官（CISO）。

如果計劃包含敏感資訊，請發送電子郵件 CommonwealthSecurity@VITA.Virginia.Gov，要求協助確定有效且安全的傳送方式。

如果您需要在網路環境中對應用程式、網路磁碟機等的額外存取權，請讓您的機構資訊技術資源 (AITR) 或資訊安全主任 (ISO) 將請求電子郵件發送至 VITA 客戶服務中心 (VCCC) 至 vccc@vita.virginia.gov。

請隨時在您的信息安全意識工作中使用 " 安全性文章 " 視頻。 我們很高興您在我們的產品中看到足夠的價值以將其添加到您的計劃中。

聯邦安全和風險管理可以通過以下方式聯繫：

郵件：弗吉尼亞州里士滿，維吉尼亞州里士滿博豐斯普林斯大道 7325 弗吉尼亞信息技術局首席信息安全官 23225

電子郵件：commonwealthsecurity@vita.virginia.gov。

提交懷疑或已知安全事件的主要方法有兩種。提交安全事件的一種方法是填寫位於此處的線上報告表格：報告網絡事件。

提交安全事件的第二種方法是致電維塔客戶服務中心（VCCC），致電 1 -866-637 -8482。 VCCC 將接受 IT 合作夥伴和非 IT 合作機構的安全事件報告。

在收到指示之前，必須切勿觸摸或關閉計算機。

如果機構主管認為遵守資訊安全標準的規定會對該機構的業務流程造成不利影響，機構主管可向資訊安全長提交例外要求，要求批准從特定要求偏離特定要求。請使用COV 安全標準例外表提交例外。

例外申請應向資訊安全主任 (CISO) 提交。 如果提交通過電子郵件發送，ISO 可能會發送電子郵件並複製代理主管。

如果例外包含敏感資訊，請透過電子郵件 CommonwealthSecurity@VITA.Virginia.Gov 要求協助識別有效且安全的傳送例外狀況。