Maintenance
Overview
这个更新的标准是为了帮助信息技术办公室(OIT)围绕维护控制的现有实践与NIST 800-171 (MA | 3)中的要求保持一致.7.X)以及行业最佳实践. 这个文件没有完全覆盖3.7.由于现有的限制和特定于CUI的其他需求,171中的x控件.
本文件内容:
- Patching requirements
- 用于远程维护的访问控制连接
- 第三方维修的安全要求
本文件中不包含的内容:
- 补丁程序或方法
- 远程维护的步骤或方法
- 经批准的第三方维修供应商
Policy Reference
Purpose
此标识和身份验证标准支持 APM 30.11高校数据分类与标准,以及其他有关的大学政策.
Scope
这些标准是所有访问的托管和非托管系统的最低基线, store, 或处理bet365亚洲官网的数据(见 APM 30.14 C-6)或使用bet365亚洲官网的技术资源(参见 APM 30.12 C-1)在低、中、高风险水平(见 APM 30.11)不包括在经批准的系统保安计划内.
Standards
仅运行当前支持和修补的操作系统. 针对系统和应用程序存在的缺陷,自动或在10天内打安全补丁.
- 补丁可以在OIT安全办公室和所有受影响的数据和系统所有者批准的基于风险的漏洞评估流程批准的时间范围内应用.
适用于:低/中/高
远程维护的鉴权必须通过符合接入控制和身份认证标准的认证通道.
适用于:低/中/高
- 在将设备送回供应商或第三方进行内部无法完成的维修之前, 必须使用介质保护中描述的标准对系统进行消毒
Applies to: High
- 在将设备送回供应商或第三方进行内部无法完成的维修之前, 必须使用oit管理的加密对系统进行加密,或者使用媒体保护中描述的标准对系统进行消毒.
Applies to: Moderate
- Keys, 访问学校技术资源的密码或其他认证秘密不得与第三方共享, as required by APM 30.15.
适用于:低/中/高
- 如果执行或验证维修需要访问,则必须使用仅分配给供应商的临时凭据.
- 任何由第三方在现场进行的维护都必须在监督下进行,除非根据批准的合同进行操作.
适用于:中等/高
Other References
1. NIST SP800-171r2 (February 2020)
2. NIST SP800-53r5 (September 2020)
3. 媒体保护标准
Definitions
1. Security patches
供应商为解决安全漏洞而发布的更新或修复程序.
2. Remote maintenance
通过网络连接访问系统,以便对系统本身进行操作.
3. Third party
系统内非所有者、用户或其他授权个人的任何实体. 这可能包括未授权使用特定系统的大学附属机构.
Standard Owner
OIT Security负责这些标准的内容和管理.
Contact: oit-security@226101.com
Revision History
3/1/2024 -小更新
- 小的格式/措辞/参考变化.
2023年6月23日-原始标准
- 完全重写以符合NIST 800-171r2