信息安全控制目录
德州农工大学-金斯维尔
信息安全控制目录
概述
信息安全控制目录根据德克萨斯州行政法典 (TAC 1) 第 202 章第 202 章中的州高等教育机构信息安全标准制定了大学信息安全的最低标准和控制措施。
本控制目录旨在为德克萨斯 A&M 大学金斯维尔信息所有者和用户提供具体指导,以实施符合德克萨斯信息资源部 (DIR) 安全控制标准目录 1.3 版当前要求的安全控制标准的安全控制。 每个控制组按照其两个字母的组标识代码和标题进行组织,并采用编号格式 DIR 安全控制标准目录.
禁例
信息资源拥有者或指定者(如托管人、用户)负责确保安全控制目录中的保护措施得到实施。 基于风险管理考虑和业务功能,资源所有者可能会要求排除控制中提供的某些保护措施。 所有排除必须符合信息安全控制排除流程中强调的程序。
存取控制
- AC-1 访问控制政策和程序
- AC-2 账户管理
- AC-3 访问执行
- AC-5 职责分离
- AC-7 登录尝试失败
- AC-8 系统使用通知
- AC-14 无需身份验证或认证的许可操作
- AC-17 远程访问
- AC-18 无线接入
- AC-19 移动设备访问控制
- AC-20 外部信息系统的使用
- AC-22 可公开访问的内容
意识和培训控制
审计和问责控制
- AU-1 审计和问责政策和程序
- AU-2 审计事件
- AU-3 审计记录的内容
- AU-4 审计存储容量
- AU-5 对审计处理失败的响应
- AU-6 审计审查、分析和报告
- AU-8 时间戳
- AU-9 审计信息保护
- AU-11 审计记录保留
- AU-12 审计生成
安全评估和授权控制
- CA-1 安全评估和授权政策和程序
- CA-2 安全评估
- CA-3 系统互连
- CA-5 行动计划和里程碑
- CA-6 安全授权
- CA-7 连续监测
- CA-9 内部系统连接
配置管理控制
- CM-1 配置管理政策和程序
- CM-2 基线配置
- CM-4 安全影响分析
- CM-6 配置设置
- CM-7 功能最少
- CM-8 信息系统组件清单
- CM-10 软件使用限制
- CM-11 用户安装的软件
应急计划控制
识别和认证控制
- IA-1 识别和认证政策和程序
- IA-2 识别和认证(组织用户)
- IA-4 标识符管理
- IA-5 身份验证器管理
- IA-6 认证者反馈
- IA-7 加密模块认证
- IA-8 识别和认证(非组织用户)
事件响应控制
- IR-1 事件响应政策和程序
- IR-2 事件响应培训
- IR-4 事件处理
- IR-5 事件监控
- IR-6 事件报告
- IR-7 事件响应援助
- IR-8 事件响应计划
维护控制
媒体保护控制
物理和环境保护控制
- PE-1 物理和环境保护政策和程序
- PE-2 物理访问授权
- PE-3 物理访问控制
- PE-6 监控物理访问
- PE-8 访客访问记录
- PE-12 应急照明
- PE-13防火
- PE-14 温度和湿度控制
- PE-15 水损保护
- PE-16 交付和移除
规划控制
项目管理控制
- PM-1 信息安全计划计划
- PM-2 高级信息安全官
- PM-3 信息安全资源
- PM-4 行动计划和里程碑过程
- PM-5 信息系统清单
- >PM-6 信息安全绩效指标
- PM-7 企业架构
人员安全控制
- PS-1 人员安全政策和程序
- PS-2 头寸风险指定
- PS-3 人员筛选
- PS-4 人员终止
- PS-5 人员调动
- PS-6 访问协议
- PS-7 第三方人员安全
- PS-8 人员制裁
风险评估控制
系统和服务获取控制
- SA-1 系统和服务获取政策和程序
- SA-2 资源分配
- SA-3 系统开发生命周期
- SA-4 获取过程
- SA-5 信息系统文件
- SA-9 外部信息系统服务
- SA-10 开发人员配置管理
系统和通信保护控制
- SC-1 系统和通信保护政策和程序
- SC-5 拒绝服务保护
- SC-7 边界保护
- SC-8 传输保密和完整性
- SC-12 加密密钥的建立和管理
- SC-13 密码保护
- SC-15 协作计算设备
- SC-20 安全名称/地址解析服务(权威来源)
- SC-21 安全名称/地址解析服务(递归或缓存解析器)
- SC-22 名称/地址解析服务的架构和供应
- SC-39 过程隔离
系统和信息完整性控制
- SI-1 系统和信息完整性政策和程序
- SI-2 缺陷修复
- SI-3 恶意代码保护
- SI-4 信息系统监控
- SI-5 安全警报、建议和指令
- SI-12 信息输出处理和保留