1. 目的

   信息安全风险管理程序(“ISRMP”)是管理newbb电子平台(“俄亥俄”)信息安全风险以确保机密性的正式流程, 大学数据和信息系统(“俄亥俄系统”)的完整性和可用性, 如政策所述.001“数据分类”. ISRMP通过将我们的信息技术实践与大学的风险承受能力相结合，在应对不断发展的信息安全威胁方面发挥着战略作用.

2. 范围

   此策略适用于所有已创建的数据, 收集, 存储, 由大学和俄亥俄系统处理或传输. 

3. 政策

   1. 将对俄亥俄系统的完整性进行任何风险或威胁评估, 在俄亥俄州系统发生重大变化之前，数据的可用性和保密性, 根据政策93中概述的大学信息安全官角色.001“数据分类”.

   2. 评估将定期执行俄亥俄州的系统，存储, 处理或传输敏感数据.

   3. 从评估中确定的风险将得到缓解, 如保单93所述，由负责任的企业主转让或接受.001“数据分类”.

   4. 剩余风险仅由具有适当权限级别的人员接受, 根据信息安全办公室(“ISO”)确定的风险级别. 如果有书面文件，可以授予批准权, 但接受风险的最终责任是不能委托的.

      风险水平	风险承担责任
      高	总裁或代表
      媒介	院长 & 行政官员
      低	企业主

   5. 每个关键任务俄亥俄系统将有一个系统安全计划, 根据风险输入进行准备, 安全性和脆弱性评估, 由负责任的企业所有者负责.

4. 责任

   1. ISO将提供风险评估和建议，以纠正根据行业特定框架发现的差异, 方法, 或者商业最佳实践.
   2. 企业所有者将负责确保由他们维护的关键任务俄亥俄系统得到充分的风险评估, 任何确定的风险都可以接受, 减轻, 或转让.

5. 执行

   用户，在策略91中定义.005“信息安全”将向ISO (security@俄亥俄州)报告任何不遵守本政策任何部分的情况.edu).

   不遵守本政策或相关信息安全标准的用户可能会被拒绝访问信息技术(“IT”)资源, 同时也会受到纪律处分, 直至并包括终止.

6. 异常

   如政策91所定义.005“资讯保安”

7. 权威

   91年政策.005“资讯保安”

评论家

本政策的修订建议应由以下人员进行检讨:

1. 学术领导

2. 财务副总裁 & 政府的领导

3. 教师参议院

4. 学生参议院

表格、参考资料和历史

1. 形式

   以下表格适用于本保单:

   1. “例外申请表格”可从ISO或通过http://www在线获得.俄亥俄州.edu/oit/security
   2. “策略例外模板”可从ISO或通过http://www在线获取.俄亥俄州.edu/oit/security
   3. “风险接受表”可从ISO或通过http://www在线获取.俄亥俄州.edu/oit/security

2. 参考文献

   下列事项与本政策有关:

   1. 93年政策.001“数据分类”
   2. 91年政策.005“资讯保安”
   3. NIST 800系列出版物
   4. HIPAA安全规则 
   5. OU‑RM‐XXXXX:信息安全风险评估标准
   6. OU‑SS‑XXXXX:系统安全计划标准
   7. OU‑VM-XXXXX:第三方供应商管理标准

3. 历史

   本政策草案已分发以供审查, 他们的封面备忘录, 它们的表单和审稿人对它们的评论可以在有密码保护的审稿人网站上获得, 在http://www.OHIO.edu/policy2/91 - 006.