维护
概述
这个更新的标准是为了帮助信息技术办公室(OIT)围绕维护控制的现有实践与NIST 800-171 (MA | 3)中的要求保持一致.7.X)以及行业最佳实践. 这个文件没有完全覆盖3.7.由于现有的限制和特定于CUI的其他需求,171中的x控件.
本文件内容:
- 修补的要求
- 用于远程维护的访问控制连接
- 第三方维修的安全要求
本文件中不包含的内容:
- 补丁程序或方法
- 远程维护的步骤或方法
- 经批准的第三方维修供应商
政策参考
目的
此标识和身份验证标准支持 APM 30.11高校数据分类与标准,以及其他有关的大学政策.
范围
这些标准是所有访问的托管和非托管系统的最低基线, 商店, 或处理bet365亚洲官网的数据(见 APM 30.14 C-6)或使用bet365亚洲官网的技术资源(参见 APM 30.12 C-1)在低、中、高风险水平(见 APM 30.11)不包括在经批准的系统保安计划内.
标准
仅运行当前支持和修补的操作系统. 针对系统和应用程序存在的缺陷,自动或在10天内打安全补丁.
- 补丁可以在OIT安全办公室和所有受影响的数据和系统所有者批准的基于风险的漏洞评估流程批准的时间范围内应用.
适用于:低/中/高
远程维护的鉴权必须通过符合接入控制和身份认证标准的认证通道.
适用于:低/中/高
- 在将设备送回供应商或第三方进行内部无法完成的维修之前, 必须使用介质保护中描述的标准对系统进行消毒
适用于:高
- 在将设备送回供应商或第三方进行内部无法完成的维修之前, 必须使用oit管理的加密对系统进行加密,或者使用媒体保护中描述的标准对系统进行消毒.
适用于:中等
- 键, 访问学校技术资源的密码或其他认证秘密不得与第三方共享, 按照APM 30的要求.15.
适用于:低/中/高
- 如果执行或验证维修需要访问,则必须使用仅分配给供应商的临时凭据.
- 任何由第三方在现场进行的维护都必须在监督下进行,除非根据批准的合同进行操作.
适用于:中等/高
其他参考资料
1. NIST sp800 - 171 r2 (2020年2月)
2. NIST SP800-53r5 (2020年9月)
3. 媒体保护标准
定义
1. 安全补丁
供应商为解决安全漏洞而发布的更新或修复程序.
2. 远程维护
通过网络连接访问系统,以便对系统本身进行操作.
3. 第三方
系统内非所有者、用户或其他授权个人的任何实体. 这可能包括未授权使用特定系统的大学附属机构.
标准的主人
OIT 安全负责这些标准的内容和管理.
联系人: oit-security@spontando.com
修订历史
3/1/2024 -小更新
- 小的格式/措辞/参考变化.
2023年6月23日-原始标准
- 完全重写以符合NIST 800-171r2