91.003:可接受的用法

状态:

批准

有效:

2018年10月26日

由:

Craig Bantz |首席信息官 

认可:

Chaden Djalali |执行副校长兼教务长

批准:

M. 杜安·内利斯|总裁

档案副本上的签名和日期

  1. 目的

    newbb电子平台信息技术系统(“俄亥俄系统”)包含所有电子通信, 大学使用的信息系统和设备. 本可接受的使用政策(“AUP”)规定了所有用户使用共享校园网(“俄亥俄网络”)的标准。. 术语“用户”在策略91中定义.005年“信息安全”.

    俄亥俄系统的提供是为了支持大学及其主要的教育目标, 服务, 和研究. 禁止任何危害安全性、可用性或完整性的行为. 

    通过使用或访问俄亥俄系统, 用户, 同意遵守AUP, 以及所有其他适用的大学政策, 包括所有联邦政府, 状态, 以及当地的法律法规. 只有授权用户才能访问Ohio系统,以及与之相连的任何服务.

  2. 范围

    与俄亥俄系统交互的用户, data, 身份, 以及访问俄亥俄系统的账号, 俄亥俄网络, 任何大学数据.

  3. 政策

    1. 用户不得冒充他人, 组织, 或系统, 包括大学名称, 俄亥俄网络名称, 或俄亥俄网络地址空间.

    2. 用户不得尝试拦截, 监控, 打造, 更改或破坏其他用户的通信或信息. 

    3. 用户不得侵犯他人系统或数据的隐私.

    4. 用户可能无法阅读, 复制, 改变, 或未经其他用户事先明确许可,删除其他用户的数据或通信.

    5. 用户不得以下列方式使用Ohio系统:

      • Disrupts; impacts the security posture; or interferes with the legitimate use of any computer; 俄亥俄网络 or any network to which the university connects.
      • 干扰大学拥有或管理的任何系统的功能;或
      • 采取可能产生这种效果的行动. Such conduct includes: hacking or spamming; placing of unlawful information on any computer system; transmitting data; or programs likely to result in the loss of an individual’s work or result in system downtime; or any other use that causes congestion of any networks or interferes with the work of others.

    6. 用户不得散布或发送任何形式的非法通讯. 本规定适用于在俄亥俄网络内分发或发送的任何电子通信,或在使用俄亥俄网络时向其他网络发送的任何电子通信.

    7. 用户不得试图绕过网络安全机制, 包括俄亥俄电视台的节目, 未经该系统所有者的事先明确许可. 未经授权收集有关俄亥俄网络上的系统或设备的信息(i.e. 网络扫描)也被禁止. 在运行任何类型的网络扫描之前, 并获得授权, 用户应致电信息安全办公室(“ISO”)获取更多信息.

    8. 用户不得从事未经授权的复制, 分发, 修改或翻译受版权保护的材料, 软件, 未经版权持有人明确许可或法律允许的音乐或其他媒体.

    9. 用户不得超出信息技术办公室(“OIT”)和ISO相应配置的范围扩展或与公众或其他用户共享俄亥俄网络. 用户不允许连接或更改任何与网络相关的基础设施, 设备, 或者系统(e).g., 开关, 路由器, 无线接入点, vpn, 防火墙, 在没有事先通知OIT和ISO的情况下,虚拟或裸机)到俄亥俄州网络.

    10. 用户有责任维护和部署连接到俄亥俄网络的任何个人计算机设备的最低安全控制级别, 包括但不限于:杀毒软件(经常更新), 当前系统补丁, 以及使用NIST系列出版物中定义的强密码访问这些系统.

    11. 用户不得使用俄亥俄系统违反任何法律、法规或条例.

  4. 责任

    所有用户都应该:

    1. 任何时候都要对俄亥俄网络和其他用户表现出负责任的态度和尊重.
    2. 尊重俄亥俄系统的完整性和安全性.
    3. 考虑到其他用户的需求,尽一切合理的努力不妨碍他人使用俄亥俄系统,并对共享资源的消耗做出适当的判断.
    4. 尊重他人的权利和财产, 包括隐私, 保密, 知识产权.
    5. 与大学合作,调查潜在的未经授权和/或非法使用俄亥俄网络.
    6. 尊重俄亥俄系统和大学数据的安全性和完整性.

  5. 执行

    俄亥俄州的用户必须向ISO报告不遵守此政策的任何部分(security@俄亥俄州).edu).

    不遵守本政策或相关大学信息安全标准的用户可能会被拒绝访问信息技术(“IT”)资源, 同时也会受到纪律处分.

  6. 异常

    此政策的所有例外情况必须得到负责任的企业所有者的批准, 并且要有正式的文件. 政策例外将由ISO定期审查和更新.

    请求一个异常:

    1. 完成初始例外请求表单、策略例外模板和风险接受表单. (http: www.俄亥俄州.edu/oit/security)

  7. 治理

    该政策将由ISO和其他大学资产和数据安全的关键利益相关者审查, 确保持续遵守, 视技术形势的波动情况而定, 和/或对已建立的监管要求的变更.

  8. 权威

    91年政策.005“资讯保安”

评论家

本政策的修订建议应由以下人员进行检讨:

  1. 学术领导

  2. 财务副总裁 & 政府的领导

  3. 教师参议院

  4. 学生参议院

表格、参考资料和历史

  1. 形式

    以下表格适用于本保单:

    1. “例外申请表格”可从ISO或通过http://www在线获得.俄亥俄州.edu/oit/security
    2. “策略例外模板”可从ISO或通过http://www在线获取.俄亥俄州.edu/oit/security
    3. “风险接受表”可从ISO或通过http://www在线获取.俄亥俄州.edu/oit/security

  2. 参考文献

    下列事项与本政策有关:

    1. NIST 800系列出版物
    2. 91年政策.005“资讯保安”

  3. 历史

    本政策草案已分发以供审查, 他们的封面备忘录, 他们的表格和审稿人对他们的评论可以在 有密码保护的评论网站.