文摘:  JSU必须为JSU员工和第三方供应商访问大学关键信息建立规则和操作参数, 操作员的责任, 以及保护澳门皇冠体育的资产, data, PII和. 保单号码: 50000.003 有效日期: 5/29/2019 审查/修改日期: 4/13/2023  类别: 信息技术 政策的所有者: CIO /信息技术 政策联系: CISO /信息技术

政策声明

本政策的目的是为JSU员工和第三方供应商访问大学关键信息建立规则和操作参数, 操作员的责任, 以及保护澳门皇冠体育的资产, data, PII和.  此策略支持遵守联邦和州数据隐私法. 澳门皇冠体育(“JSU”或“大学”)信息技术部门(“DIT”)发布可接受使用政策的意图不是为了施加与JSU既定的开放文化相反的限制, 信任, 和完整性. DIT致力于保护JSU的教职员工, 工作人员, 学生(集体, “用户”), 以及合作伙伴免受个人非法或破坏性行为的侵害, 无论是有意还是无意.

Internet/Intranet/Extranet-related systems; 包括 但不限于 computer equipment, 软件, 操作系统, 存储介质, 提供电子邮件的网络帐户, 云集成, 万维网浏览, 网站, 和活动目录是JSU的属性.

有效的安全是一项团队工作，需要每个处理信息和/或信息系统的JSU用户和附属机构的参与和支持. 了解这些指导方针是每个计算机用户的责任, 并据此进行活动.

 

目的

本政策的目的是概述计算机系统的可接受使用, 打印机, 数字设备或系统, 网络, 电子邮件, 网站, 以及活动目录和远程访问服务. 这些规则是为了保护其用户和JSU. 不当使用会使JSU面临包括病毒攻击在内的风险, 网络系统和服务的危害, 以及法律问题.

 

定义

• • 垃圾邮件:未经授权和/或未经请求的大量电子邮件
  • 垃圾邮件:与大学业务无关的邮件
  • 用户:JSU员工(教师), 工作人员, 学生, 校友), 承包商, 兼职教授, 咨询顾问, 供应商, 第三方及第三方人员
  • FERPA:家庭教育权利和隐私法案
  • 个人身份:可以直接与个人联系在一起的信息
  • 格雷姆-里奇-比利利法案(保护银行信息)
  • 萨拉班斯-奥克斯利法案(财务报告完整性)

 

员工坚持

这项政策适用于教员, 工作人员, 学生, 校友, 承包商, 咨询顾问, 供应商, 以及JSU的其他员工, 包括所有与第三方有关的人员. 本政策适用于JSU拥有或租赁的所有设备

 

政策

一般用途及拥有权

而JSU的网络管理希望提供合理级别的完整性, 用户应该意识到，他们在大学系统上创建/接收的数据/电子邮件仍然是JSU的财产，并且在使用这些系统时没有隐私可言. 因为需要保护学校的网络, 管理层不能保证存储在属于JSU的任何网络设备上的信息的保密性. JSU有责任对个人使用的合理性进行良好的判断. DIT建议对用户认为敏感或易受攻击的任何信息进行加密和密码保护. 出于安全和网络维护的目的, DIT组内的授权人员可以随时分析网络使用情况, 与JSU系统/设备和网络相关的交通模式和流量. JSU的DIT集团保留定期审计网络和系统的权利，以确保遵守本政策

 

安全及专有资料

(个人识别，FERPA, GLBA, SOX，联邦/州监管. 参见本政策第3节中的定义.)

• 授权用户对其密码和帐户的安全负责.
• 所有授权用户应采取一切必要措施，通过以下方式防止未经授权访问包含此信息的系统:1)使用至少15个字符或更多的复杂密码, 2)不把密码写下来，贴在屏幕和桌子上，保证密码的安全, 3)不共享帐户访问权限;4)只使用 多因素/双因素认证 用安全的专有信息登录系统.
• 系统级密码应每半年(6个月)更换一次。. 以前使用的密码将不被允许.
• 用户级密码应每6个月更改两次).
• 所有的电脑, 笔记本电脑和工作站应该使用密码保护的屏幕保护程序，并将自动激活功能设置在10分钟或更短的时间内, 或者在系统无人操作时注销(Win用户使用Control+Alt+Delete) (Mac用户使用Control+Shift+弹出)(Retina Macbook Pro使用Control+Shift+电源). 因为便携式电脑上的信息特别容易受到攻击, 应特别注意保护这些数据.
• 所有员工通过JSU电子邮件地址发布到新闻组的帖子都应该包含免责声明，声明所表达的观点完全是他们自己的，而不一定是JSU的观点, 除非投递是在业务职责范围内. 员工在打开未知发件人发来的电子邮件附件时必须格外小心, 可能含有病毒, 电子邮件炸弹, 或特洛伊木马代码.

 

不可接受的使用

一般来说，下列活动是禁止的. 雇员在履行其合法工作职责期间(如.g., 如果主机正在中断生产服务，系统管理人员可能需要禁用主机的网络访问。. 在任何情况下，JSU的用户都无权从事任何当地法律规定的非法活动, 状态, 联邦, 或国际法，同时利用jsu拥有的资源. 下面的列表绝不是详尽的, 但试图为属于不可接受的使用类别的活动提供一个框架.

 

系统和网络活动

以下活动一律禁止，无一例外:

• 所有用户应采取一切必要措施，防止未经授权访问此信息. 请妥善保管密码，不要共用帐号.
• 侵犯任何受版权保护的个人或公司的权利, 商业秘密, 专利或其他知识产权, 或类似的法律法规, 包括, 但不限于, 安装或分发“盗版”或其他未经JSU适当许可使用的软件产品.
• 集合, 存储或分发色情或被认为是违反本政策的淫秽材料.
• 未经授权复制受版权保护的材料，包括, 但不限于, 杂志照片的数字化和分发, 书籍或其他受版权保护的资源, 受版权保护的音乐, 受版权保护的电影以及安装JSU或最终用户没有有效许可的任何受版权保护的软件是严格禁止的.
• 非法出口软件, 技术信息, 违反国际或地区出口管制法律的加密软件或技术.
• 将恶意程序引入网络或服务器.g.病毒、蠕虫、特洛伊木马、电子邮件炸弹等.)
• 向他人透露您的帐户密码或允许他人使用您的帐户. 这包括在家里工作的家庭成员和其他家庭成员.
• 使用JSU计算资产积极参与采购或传播违反用户当地管辖区内性骚扰或敌对工作场所法律的材料.
• 从任何JSU帐户提供欺诈性产品，项目或服务.
• 导致安全漏洞或网络通信中断. 安全漏洞包括, 但不限于, 访问用户不是预期接收者的数据，或登录用户未明确授权访问的服务器或帐户, 除非这些职责是在正常职责范围内. 就本节而言, “中断”包括, 但不限于, 网络嗅探, 点击洪水, 包欺骗, 拒绝服务, 伪造路由信息.
• 明确禁止端口扫描或安全扫描，除非事先通知DIT和/或这些过程在正常职责范围内.
• 执行任何形式的网络监控，将拦截非雇员主机的数据, 除非该活动是员工正常工作/职责的一部分.
• 规避任何主机、网络或帐户的用户身份验证或安全.
• 干扰或拒绝向员工主机以外的任何用户提供服务(例如, 拒绝服务攻击).
• 使用任何程序/脚本/命令, 或者发送任何形式的信息, 意图干扰或禁用用户的终端会话, 无论如何, 本地或通过Internet/Intranet/Extranet.
• 未经学校管理部门书面许可，向校外提供JSU受保护用户的信息(或名单)或非目录信息.
• 任何被发现违反本政策的人将被立即通知停止. 用户将被给予一个时间框架，要么遵守，要么断开与JSU网络的连接，直到他们能够证明问题已经得到解决.

 

电子邮件

• 侵犯任何受版权保护的个人或公司的权利, 商业秘密, 专利或其他知识产权, 或类似的法律法规, 包括, 但不限于, 安装或分发“盗版”或其他未经JSU适当许可使用的软件产品.
• 集合, 存储或分发色情或被认为是违反本政策的淫秽材料.

注意:请参考电子邮件政策了解更多信息.

 网站

• 未经JSU DIT部门的明确或书面同意，以任何形式使用亵渎，包括研究目的.
• 使用任何以任何方式表达破坏性或攻击性信息的语言, 包括关于种族的攻击性言论, 性别, 头发的颜色, 残疾的人, 年龄, 性取向, 色情, 宗教信仰和习俗, 政治信仰, 或者国籍.
• 间谍软件的使用, 病毒, 蠕虫, 以及其他危害和关闭大学系统的恶意软件或有害文件.
• 未经IT部门的明示或书面同意，链接到显示仇恨或色情图像的网站，包括研究目的.
• 列出任何用户的私人个人信息(PPI). 根据FERPA法律，没有学生的个人资料可以公开.
• 未经DIT部门书面同意，通过表格收集学生的个人资料.
• 任何使用大学网站违反任何适用的本地, 状态, 联邦, 或国家法律法规.
• 任何非法或欺诈使用大学网站的行为, 或具有任何非法或欺诈性的目的或效果.
• 发送或促成发送任何未经请求或未经授权的广告或宣传材料或任何其他形式的类似索取(垃圾邮件).
• 发送和接收, 上传, 下载, 使用或重复使用任何不符合大学内容标准的材料.
• 故意传送任何资料, 发送或上传任何含有病毒的材料, 特洛伊木马, 蠕虫, 定时炸弹, 击键记录者, 间谍软件, 广告软件或任何其他有害程序或类似的计算机代码，旨在对任何计算机软件或硬件的操作产生不利影响

 

远程接入和VPN:

特别禁止以下行为:

• 与未授权的JSU员工或非JSU员工共享VPN登录凭据
• 在没有合法业务需要的情况下远程访问具有敏感数据的系统
• 使用未经JSU IT部门提供或批准的VPN客户端远程访问JSU网络

 

活跃的 目录:身份验证

• JSU用户总是通过横幅自动添加，不应该临时输入.
• 供应商应根据需要通过DIT的请求和许可输入.
• 任何附加到域的系统必须是JSU属性，可以通过e -number识别，或者以某种方式与JSU相关联.g.，服务利用率，CBORD).
• 使用此域的服务(例如.e.,一个.apipros.net)必须维护与AD交互的记录/日志以及附加到域的系统配置.

活跃的 目录:密码

• 侵犯任何受版权保护的个人或公司的权利, 商业秘密, 专利或其他知识产权, 或类似的法律法规, 包括, 但不限于, 安装或分发“盗版”或其他未经JSU适当许可使用的软件产品.
• 集合, 存储或分发色情或被认为是违反本政策的淫秽材料.
• 所有密码都应该合理复杂，难以让未经授权的人猜到. 用户必须 请选择至少15个字符的密码 并且包含大写和小写字母的组合, 数字, 以及标点符号和其他特殊字符.
• 用户必须避免容易被破解的基本组合. 例如, 比如“密码”,“password1″”和“Pa$$w0rd”从安全角度来看是弱的.
• 所有密码必须定期修改，频率为90天(3个月)。.
• 默认密码必须在24小时内更改，例如为新用户启动时创建的密码或在初始设置时保护新系统的密码.
• 用户可能永远不会与其他人分享他们的密码, 包括同事, 经理, 行政助理, 资讯科技人员, 等. 每个需要访问系统的人都将获得自己唯一的密码.
• 用户可能永远不会与任何外部方共享他们的密码, 包括那些声称是业务合作伙伴的代表，有访问系统的合法需要的人.
• 用户应采取措施，避免网络钓鱼诈骗和黑客窃取密码和其他敏感信息的其他企图. 所有用户都将接受如何识别这些攻击的培训.
• 用户必须避免将密码写下来并保存在自己的工作站上.
• 未经DIT许可，用户不得使用密码管理器或其他工具来帮助存储和记忆密码.

 

政策合规

教职员工，学生

任何教师, 工作人员, 或学生发现违反了这一政策可能受到纪律处分, 直至并包括停职, 根据JSU管理政策规定的程序开除和/或终止雇佣关系.

外部 实体

任何外部实体, 承包商, 顾问, 或临时工被发现违反本政策可能会被视为违约, 因此, 可能会受到这种合同所允许的申诉或处罚.

 

相关标准、政策和流程

• 可接受的使用邮件策略，50000.004