对特定控制的豁免必须正式记录，通过风险评估证明其合理性，并根据 TAMUK 的信息安全标准和程序由 TAMUK 的信息安全官 (ISO) 批准。

该目录还与德克萨斯 A&M 大学系统 (TAMUS) 安全控制目录保持一致，该目录为所有 TAMUS 成员机构提供了详细的实施指导和全系统期望。

门禁控制 (AC)

控制用户如何访问系统和数据的控制，包括身份验证方法、基于角色的权限、会话限制和远程访问协议。

意识与培训 (AT)

确保所有用户都接受有关安全责任、可接受使用政策以及识别网络钓鱼或恶意软件等网络安全威胁的适当培训。

审计与问责（AU）

提供有关记录系统活动、审查审计记录以及确保对 IT 系统内执行的操作负责的指导。

安全评估与授权（CA）

涵盖评估、授权和监控信息系统的过程，以确保它们在运行之前和运行期间满足安全要求。

配置管理（CM）

专注于建立系统的安全配置、控制变化以及记录硬件/软件库存以减少漏洞。

应急计划（CP）

定义中断期间和中断后维护和恢复操作的策略，包括数据备份、恢复和连续性计划。

身份识别与认证 (IA)

描述个人和设备在被授予访问信息系统的权限之前如何被识别和验证。

事件响应 (IR)

建立检测、响应和恢复安全事件的程序，包括角色、职责和通信协议。

维护（MA）

涵盖现场和远程系统维护活动的安全执行，以确保操作完整性而不引入风险。

媒体保护 (MP)

概述了如何在物理或数字媒体的整个生命周期（从创建到处置）中保护存储在物理或数字媒体上的敏感信息。

物理和环境保护（PE）

采取物理保护措施，保护 IT 资产和设施免受未经授权的访问、环境危害和物理损坏。

规划（PL）

涉及制定安全相关计划，包括战略和系统特定文档，以指导和支持 IT 治理。

人员安全（PS）

提供与筛选、培训和管理访问系统的人员相关的控制，以防止内部威胁和未经授权的活动。

风险评估（RA）

专注于识别、分析和管理 IT 系统和数据的风险，以根据影响确定缓解策略的优先顺序。

系统和服务采购 (SA)

确保安全要求融入系统和服务（包括第三方合同）的规划、开发和采购中。

系统和通信保护 (SC)

涵盖网络安全、数据加密和安全通信，以保护传输中或静止信息的机密性和完整性。

系统和信息完整性 (SI)

描述如何通过监控和防病毒控制来检测、报告和纠正系统缺陷或漏洞并确保数据完整性。

德克萨斯农工大学金斯维尔分校 (TAMUK) 鼓励负责任地披露安全漏洞，以增强其信息系统的安全性。根据德克萨斯农工大学系统的公共漏洞披露计划，TAMUK 邀请个人报告通过善意研究发现的潜在安全问题。

• 负责任的披露：私下提交调查结果，确保在 TAMUK 有机会审查和解决问题之前不会公开细节。
• 详细报告：提供漏洞的清晰描述、重现步骤以及任何相关信息，以协助安全团队进行验证和补救。
• 避免漏洞利用：请勿利用漏洞或未经授权访问数据。这样做的目的是提高系统安全性，而不是造成危害。
• 尊重隐私：如果漏洞涉及敏感数据，请勿在未经适当授权的情况下访问或披露该数据