スポーツ賭けアプリ

  1. K州の家
  2. »スポーツ賭けアプリ
  3. »PPM
  4. »3400 コンピューティングおよび情報技術
  5. »PPM 第 3439 章: システム開発および保守のセキュリティ スポーツ賭けアプリ

スポーツ賭けアプリ

方針および手順マニュアルの各章の情報に関する質問は、その章を発行した事務所に問い合わせてください.

その情報は通常、各章の最後にあります.

スポーツ賭けアプリ更新に関する質問, ご連絡ください policy@ksu.edu.

システム開発および保守のセキュリティ スポーツ賭けアプリ

第 3439 章
発行: 2009 年 8 月

改訂/検討日: 2023 年 1 月, 5/2024

目次

.010 目的
.020 範囲
.030 発効日
.050 スポーツ賭けアプリ
.060 定義
.070 役割と責任
.090 関連法, 規制, またはスポーツ賭けアプリ
.100 質問/権利放棄

.010 目的

このスポーツ賭けアプリの目的は、大学の情報システム リソースの保護を強化するために、システム セキュリティの計画と管理の要件を定義することです. セキュリティは、情報システムのライフサイクルのすべての段階で考慮する必要があります (i.e., 実現可能性, 計画中, 開発, 実装, メンテナンス, および退職) 目的:

  1. 適切なセキュリティ要件をすべて満たしていることを確認
  2. 機密情報をライフサイクル全体にわたって保護する
  3. セキュリティ管理の効率的な実装を促進する
  4. スポーツ賭けアプリ変更時の新たなリスクの導入を防ぐ
  5. スポーツ賭けアプリの廃止時にデータが適切に削除されるようにする

このスポーツ賭けアプリは、情報システムのライフサイクルの開発および保守段階でシステムのセキュリティを確実に考慮するためのガイダンスを提供します.

.020 スコープ

このスポーツ賭けアプリはすべての大学に適用されます, 部門, 行政単位, および大学の情報技術リソースを使用して作成する関連組織, アクセス, ビジネス機能を実行するために大学データを保存または管理. この要件は、企業情報システム、または損失による損害のリスクのためにセキュリティに特別な注意を必要とするシステムに適用されます, 誤用, またはそこに含まれる情報への不正アクセスまたは変更.

.030 発効日

このスポーツ賭けアプリは 7 月 24 日に発効しました, 2009.

.050 スポーツ賭けアプリ

スポーツ賭けアプリ、適切なセキュリティ管理を考慮する必要があります, 開発段階とメンテナンス段階を含む.

  1. スポーツ賭けアプリ セキュリティ計画とドキュメント - スポーツ賭けアプリ セキュリティの計画と文書は、損失による危害のリスクのため、セキュリティに特別な注意を必要とするすべての企業情報スポーツ賭けアプリまたは開発中のその他のスポーツ賭けアプリに対して準備する必要があります, 誤用, またはそこに含まれる情報への不正アクセスまたは変更. そのような計画では、スポーツ賭けアプリのセキュリティ要件の概要を提供し、スポーツ賭けアプリのライフサイクルのすべての段階を通じてこれらの要件を満たすために導入または計画されている制御を説明する必要があります. セキュリティに影響を与える方法でスポーツ賭けアプリが変更された場合, スポーツ賭けアプリのドキュメントもそれに応じて更新する必要があります.
  2. 個別の開発, テスト, および本番環境 - スポーツ賭けアプリ開発, テスト, 本番は別の環境で実行する必要があります.
  3. テストデータ - 企業情報スポーツ賭けアプリのテストは、実際のデータの特性を模倣した捏造されたデータを使用して実行する必要があります, または機密データが適切にサニタイズされた実際のデータのコピー. 機密性や完全性が脅かされるため、ライブデータに対してテストを行うべきではありません. ライブデータまたは機密データの使用が必要なテストでは、適切なセキュリティ管理を導入する必要があります.
  4. 脆弱性管理 - スポーツ賭けアプリのセキュリティ管理の評価と、悪用される可能性のある弱点を特定するための脆弱性評価は、すべての新しい企業情報スポーツ賭けアプリまたは大幅な変更が行われているスポーツ賭けアプリを実稼働環境に移行する前に実行する必要があります. 実稼働企業情報スポーツ賭けアプリに対しても定期的な脆弱性評価を実行し、特定された脆弱性に関連するリスクに対処するために適切な措置を講じる必要があります. 企業情報スポーツ賭けアプリに関連するすべてのスポーツ賭けアプリとアプリケーションについて、ベンダーやその他の適切なソースからの脆弱性通知を監視し、評価する必要があります.
  5. ベンダーの買収 - 企業情報システムまたはそのシステムのコンポーネントが外部ベンダーから取得された場合, 製品がこのスポーツ賭けアプリのセキュリティ要件およびシステムの特別なセキュリティ要件をどのように満たしているかを指定した文書を提供する必要があります. ベンダーは、K-State または独立した第三者によるシステムのセキュリティ制御のテストを許可する必要があります, 必要な場合.

.060 の定義

機密データ
限られたユーザー向けの非常に機密性の高いデータ, ワークグループによる特定の用途, 部門, または正当に知っておく必要がある個人のグループ. 詳細な定義と例については、K-State のデータ分類とセキュリティ スポーツ賭けアプリを参照.

企業情報スポーツ賭けアプリ
大学コミュニティで一般的に必要とされ、通常は中央の IT 部門によって提供されるサービスを提供する情報スポーツ賭けアプリおよび/またはサーバー. 学部情報スポーツ賭けアプリは、個々の大学の使命と焦点に特化したサービスを提供します, 部門, 行政単位, または関連組織であり、通常はそれらの部門に分散した IT スタッフによって提供されます.

ライブデータ
運用中のスポーツ賭けアプリを通じてユーザーがアクセスできるデータ (i.e., ライブ).

大学データ
スポーツ賭けアプリ (以下「大学」) の機能に関連するデータ:
  1. 大学の情報技術スポーツ賭けアプリに保存されている
  2. K州立大学の教職員が管理, または学生
  3. キャンパス内外の組織的プロセスに関連する
これは、あらゆるフォーマットまたはメディアに適用されます(つまり、, 電子データに限定されません).

.070 役割と責任

  1. 最高情報セキュリティ責任者 (CISO) - 開発のためのガイダンスの作成を調整します, レビュー, スポーツ賭けアプリ セキュリティ計画の承認と身分証明書, 実装, および一般的なセキュリティ管理の評価; 企業情報スポーツ賭けアプリの定期的な脆弱性評価を監督; 必要に応じて、情報スポーツ賭けアプリ セキュリティ管理者と他の評価の実施を調整します.
  2. 企業 IT セキュリティ アナリスト - 情報スポーツ賭けアプリに対する適切な運用セキュリティ制御の適用を保証します; 識別に関しては CISO と調整します, 実装, および一般的なセキュリティ管理の評価; スポーツ賭けアプリ セキュリティ計画の開発と更新、スポーツ賭けアプリへの変更の情報スポーツ賭けアプリ所有者との調整、およびそれらの変更によるセキュリティへの影響の評価において積極的な役割を果たします. この役割は、開発に直接関与している人物が担当する可能性があります, メンテナンス, および/または情報スポーツ賭けアプリの運用.
  1. 既存の K-State システム開発および保守スポーツ賭けアプリ
  2. その他の関連法, 規制, またはスポーツ賭けアプリ
    1. K 州のデータ分類とセキュリティ スポーツ賭けアプリ
    2. K州のコンピューティングおよび情報技術政策, セクション .050
    3. スポーツ賭けアプリ​​ザス州, ITEC 情報技術ポリシー 7230, 改訂 1: 一般的な情報技術エンタープライズ セキュリティ ポリシー
    4. スポーツ賭けアプリ​​ザス州, ITEC 情報技術セキュリティ標準ポリシー 7230A (PDF)
    5. ISO/IEC 27002:2013: 情報技術 - セキュリティ技術 - 情報セキュリティ管理の実践規範、発行者: 国際安全標準化機構. これは、開発およびサポート プロセスのセキュリティ要件を含む国際セキュリティ標準です (第 12 章を参照), "情報スポーツ賭けアプリの買収, 開発とメンテナンス」) を確保し、「セキュリティは情報スポーツ賭けアプリの不可欠な部分」."
    6. NIST 特別出版物 800-18, 改訂 1: 連邦情報スポーツ賭けアプリのセキュリティ計画策定ガイド.

.100 の質問/免除

その 情報技術担当副社長兼最高情報責任者 (CIO) このスポーツ賭けアプリの責任者. CIO または被指名人は、このスポーツ賭けアプリまたは関連手順の例外を承認する必要があります. 質問は までお送りください。 最高情報セキュリティ責任者 (CISO).