第三方托管

外部托管解决方案(通常称为“云服务”)可以提供灵活,经济效益和可扩展手段,以实现大学的存储,共享和处理数字数据的需求。

但是,使用云服务需要传输和委托具有潜在敏感数据的第三方,并带有应仔细考虑和管理的风险。这些指南提供了一个共同的过程和用于对云服务进行一致风险评估的模板。

第三方托管安全检查表

    扩张

  • 定义
    学期 定义
    云服务 SaaS,PaaS或IAAS,大学数据托管在大学数据中心外部
    萨斯 软件作为服务。通过浏览器访问的软件应用程序(例如,页面,iModules,Gmail,SeavAfvisor,Dropbox)
    帕斯 平台即服务。开发和部署应用程序的平台(如谷歌App Engine, Heroku)
    IAAS. 基础架构作为服务。服务器基础架构的虚拟或物理托管(例如Amazon EC2,Windows Azure,Rackspace)
    SOC的报告 服务机构控制报告由独立的服务审计员制作,证明服务机构的内部控制的有效性。有几种不同类型的SOC报告。“SSAE 16 SOC 1 Type 2”是最常见的。
    SSAE 16. 关于证明参与标准的声明(SSAE)NO 16是美国注册会计师协会(AICPA)新利luck18全站发表的审计和报告标准

  • 适用性的范围
    • 本指南适用于所有类型的“云”服务,包括SaaS,IAA和PaaS。
    • 该指南和清单应由任何大学学校或分支机构使用,该学校或分支机构考虑托管服务和/或云上的数据到三种类型的第三方托管解决方案中的数据。

  • 的指导方针
    1. 使用第三方托管服务不应将大学公开到不利的安全风险。
    2. 供应商实施的安全内部控制应比在大学托管数据中心的等效服务托管“在前提”中的“上提下”。
    3. 应完成附件核对,以了解控制的控制,以解决与外部托管相关的共同风险,并评估残余风险。
    4. 应尽可能获得独立意见的独立意见,例如SOC报告或由安全专业人员执行的渗透测试报告。
    5. 如果您有任何疑问,请在评估过程中咨询法律、风险、信息技术和数字服务。
    6. 如果残余风险被认为是不可接受的后,减轻控制,然后应寻求替代方案。

  • 评估过程
    步骤1 完成清单在服务供应商的帮助下IT风险与安全服务,信息技术和数字服务
    第2步 索取任何证明文件,例如服务机构控制(SOC)报告
    第3步 进行风险评估并达成一致剩余风险
    第四步 接受残余风险或实施额外的控制
    第5步 发送已完成的清单的副本IT风险与安全服务法律与风险

  • 相关大学政策
    它可以接受使用和安全策略 所有大学IT(包括托管服务)的使用都由ITAUSP管理。
    大学纪录政策 必须根据该政策处理和处理所定义的关于记录管理政策中所定义的“官方纪录”的任何信息资产。
    隐私政策 必须根据该政策收集,处理和处理所定义的任何被视为“个人信息”的信息资产。
    负责任的研究政策 必须按照研究政策的负责任进行管理任何研究数据。
    研究数据和主要材料政策 必须按照研究数据和主要材料政策处理任何研究数据和主要材料。
    合同及协议政策 与供应商合同只能按照合同和协议政策订立。