11.07云计算
I. 政策声明
本政策规定了选择云服务提供商以及建立和管理相关云服务合同的要求,以确保符合适用的世界杯官方app下载(世界杯官方app)政策和标准, 德州行政法典TAC 202 C, 和德克萨斯大学系统(UT系统) 资讯科技资源使用及保安政策(UTS 165)
II. 基本原理
选择云服务提供商以及建立和管理相关云服务合同的流程必须确保充分的安全控制, 在云计算和TX-RAMP的OIS标准中定义, 是否与适用合同中涉及的信息安全风险相称.
3. 范围
本政策适用于世界杯官方app从云服务提供商处获得的任何和所有服务以及云服务的使用.
IV. 本政策的网站地址
http://xwmwku.cypmm.com/hop/chapter11/11.0VII.html
V. 相关法规、政策、要求或标准
- 德克萨斯大学系统政策或校董会规则 & 监管
- UT系统策略 众信165:标准11.2:保护数据-非utsa第三方存储服务.
- 世界杯官方app跳策略 11.01、资讯科技资源使用及保安政策.
- 世界杯官方app跳策略 11.02资料拥有人政策.
- 世界杯官方app跳策略 11.03可接受使用政策.
- 世界杯官方app跳策略 11.04、资讯保安事故应变.
- 世界杯官方app跳策略 11.10因特网在世界杯官方app的组织和适当使用.
- 世界杯官方app信息安全办公室(OIS)云服务标准.
- 数据分类指引.
- President-Delegated当局.
- 其他政策及标准
VI. 联系人
如果你对《世界杯官方app》的政策有任何疑问.07、云计算,请联系以下办公室之一:
- 信息安全办公室
210-458-7974
informationsecurity@cypmm.com - 世界杯官方app技术解决方案
210-458-4555
TechCafe@cypmm.com
7. 定义
- 云服务
- 维护的服务, 商店, 或在世界杯官方app信息技术资源之外的远程技术平台和服务器网络上处理数据.
- 云服务提供商
- 云服务的第三方提供商. 这些供应商将托管处理或存储世界杯官方app直接控制之外的数据的信息技术资源.
- Data
- 用于支持世界杯官方app任务的记录信息,无论其形式或媒介如何, 无论是行政管理还是教育工作.
- 数据可以硬拷贝(印刷或书面)保存或传输。, 数字/电子(包括视频), audio, 图像), 或其他格式的世界杯官方app信息资源.
- 数据分类
- 基于数据风险类别的数据类别概述在官方 世界杯官方app数据分类指南.
- 数据所有者
- 世界杯官方app学院, 副总裁单位, 部门, 或请求云服务或控制与与云服务提供商签订的合同相关的数据和性能的个人.
- 数据用户
- 经资料拥有人授权存取资讯科技资源的个人, 按照资料拥有人的程序及规则办理, 无论是单独完成还是通过促进或负责自动化应用程序或流程.
- 资讯保安管理员
- 每个部门的指定工作人员或数据保管员, 与OIS密切合作, 负责推行及管理资讯保安措施,并协助部门内其他资料保管人及/或资料拥有人处理任何保安需要.
- 资讯科技资源
- 的程序, 设备, 设施, 软件, 和设计的数据, 建, 操作, 并维持创造, 收集, 记录, 过程, 商店, 检索, 显示, 传递信息. 这可能包括, 但不限于, 所有计算机打印输出, 在线显示设备, 大容量存储介质, 以及所有与电脑有关的活动,包括任何能够接收电子邮件的设备, 浏览网站, 或能接受的, 存储, 管理, 或传送数据,包括, 但不限于, 大型机, 服务器, 个人电脑, 笔记本电脑, 掌上电脑, 移动设备, 寻呼机, 分布式处理系统, 联网和计算机控制的医疗和实验室设备(e.g., 嵌入式技术), 通信资源, 网络环境, 电话, 传真机, 打印机和托管服务.
- President-Delegated权威
- 获得世界杯官方app主席书面授权,代表世界杯官方app执行和交付合同的个人. 只有这些被授权的个人才能执行并将世界杯官方app提交给合同.
- 敏感数据
- 分类为第一类或第二类的数据 世界杯官方app数据分类指南.
- TX-RAMP
- 德州风险和授权管理项目由德州立法机构设立(参议院475号法案), 现在的德州政府法典第2054条.0593. TX-RAMP为安全评估提供了标准化的方法, 授权, 以及持续监控处理国家机构数据的云计算服务.
8. 责任
- 数据所有者
- 确保选择, 使用, 其云服务的管理与本政策以及其他适用的世界杯官方app和UT系统政策一致, 标准, 和程序.
- 确保数据在适当的数据分类下进行分类和指定.
- 提供完成本政策所述风险评估所需的必要信息.
- 发起资讯科技资源产品和服务合同的采购,以及商业合同办公室的数据共享协议, 采购处, 或世界杯官方app技术解决方案.
- 信息安全办公室(OIS)
- 传播在选择云服务提供商时使用的任何适用的安全标准.
- 根据世界杯官方app和UT系统政策和安全标准对云服务提供商进行风险评估,并根据风险评估提供决定和建议.
- 与商务合同办公室协调, 世界杯官方app技术解决方案, 采购办公室, 和/或首席隐私官(CPO)确定云服务合同的适当保密条款和条件, 考虑到合同的风险级别和涉及云服务的数据分类.
- 商务
- 对于总价值超过竞争性采购限制的云服务合同, 采购办公室:
1.1与OIS和世界杯官方app技术解决方案协调选择云服务提供商, 并(如适用)与商务合同办公室协调, OIS, 和/或CPO在建立涉及敏感数据共享的合同时.
1.2向OIS提供访问适用的云服务采购订单合同的权限. - 对于总价值低于竞争性采购限额的云服务合同, 商务合同办公室:
2.1与OIS的坐标, 世界杯官方app技术解决方案, 和/或CPO为提交给商业合同办公室的云服务合同确定适当的保密条款和条件,并与世界杯官方app技术解决方案和OIS协调,考虑合同的风险水平, 数据的安全性, 以及与云服务相关的数据分类.
2.2 为OIS提供访问适用云服务合同的权限.
- 对于总价值超过竞争性采购限制的云服务合同, 采购办公室:
IX. 程序
- 云服务风险评估
- 决定是否实施和利用云服务, 数据所有者必须与OIS合作或遵循OIS制定的流程,以确定特定拟议云服务的风险.
- 云服务是否包含敏感数据, 对推荐的云服务提供商的选择必须包括对云服务提供商数据安全特征的风险评估.
- 风险评估将由OIS协助进行,并将包括由数据所有者和/或选定的云服务提供商完成的某些数据字段.
- 采购办公室和商业合同办公室将协助确保遵守本节.
- 云服务管理
- 数据所有者有责任确保云服务的使用符合世界杯官方app和UT系统的政策, 标准, 和程序, 以及与云服务提供商签订的合同的商业条款.
- 只有总裁授权的机构才能将世界杯官方app约束于合同. 术语“合同”具体包括基于网络的“点击接受”和“点击包装”的使用协议条款, 哪些是云服务提供商常用的. 未经授权、委托签名的世界杯官方app合同可能无效且不可执行. 商业合同办公室维护世界杯官方app的总统授权机构名单.
- 世界杯官方app记录不得存储在个人购买的第三方云服务(UTS 165标准11.2:保护数据 -非utsa第三方存储服务).
- 所有者必须确保云服务维护一种机制,允许OIS或信息安全管理员在云服务数据用户(或数据用户)不再与世界杯官方app关联的情况下检索世界杯官方app记录.
X. 实施的特别说明
没有一个
XI. 表单和工具/在线流程
没有一个
十二世. 附录
没有一个
十三世. 批准/日期修改
08-02-2022
10-31-2018