高校数据泄露的全系统事件响应程序

文章编写目的

任何信息安全事件都会给学校造成损失，无论是数据、声誉、信任（员工、学生、同行和公众）、财务还是宝贵时间等间接成本。有些事件还可能对大学服务、资源、资金和外部关系构成重大风险。任何事件，无论最初看起来多么微不足道，在彻底调查证明影响的重要性之前，都有可能对大学造成伤害。事件的影响程度可能会有所不同；有些事件可能代表的风险很小，而其他事件（例如严重的数据泄露）会使人们面临身份盗用、经济损失或其他有害后果的风险。

事实证明，清晰且定义明确的流程在最大限度地减少安全事件的影响方面非常有效。本文件的主要目的是定义发生数据泄露时的沟通和响应渠道，并向大学“外部世界”提供单一、一致和通用的信息。本文件的一个重要目标是确保在发生数据泄露的情况下，资源可用，满足监管要求，并满足法律报告要求。

事件定义

信息安全事件：信息安全事件是指任何对科罗拉多大学 (CU) 信息资源的全部或部分造成损害或构成严重威胁的事件，可能导致数据丢失、服务缺失或功能受限系统，包括但不限于：

• 窃取

• 入侵

• 滥用数据

• 基于计算机和电子通信的违规行为

• 未经授权更改硬件、固件、软件和/或数据

• 未经授权公开、更改或删除（信息资产）大学记录

• 违反 CU 政策的行为

高度机密信息：个人可以合理预期的有关个人的个人信息将不会向公众公开。此类信息包括个人身份信息（联邦法律规定的一类个人信息），以及如果使用或披露不当会对个人产生不利影响的其他非公开个人信息。高度机密信息的示例包括社会安全号码、银行账户信息、出生日期、受保护的健康信息和教育记录。此外，对高度机密信息的不当处理可能会通过经济和法律制裁、公众信心的丧失以及大学声誉的损害而影响大学。

可报告事件：涉及任何属于本文档定义的“高度机密”类型信息类别的数据的信息安全数据泄露事件是可报告事件。对于 HIPAA 定义的 CU 涵盖实体，如果该实体拥有的受保护健康信息的泄露符合2013年 2 月 25 日发布的综合规则、违规通知规定的媒体通知标准，则将按照此程序进行报告。

角色和职责

信息安全办公室 (OIS)：OIS 负责开发和维护针对数据泄露的全系统事件响应流程。OIS 至少一名且不超过两名成员将成为全系统数据泄露分析小组 (SDBAT) 的永久成员。如果发生数据泄露，OIS 将充当中央联络点和第一联络点。OIS 将牵头协调 SDBAT 的工作。在与 SDBAT 和受影响的校园指定人员协商后，OIS 可能会在必要时与总统办公室、科罗拉多高等教育部 (CDHE) 和董事会进行沟通。OIS 的主要责任是在必要时向 CDHE 提交最终事件报告。OIS 还将向内部审计部门通报 SDBAT 响应活动。

系统大学关系 (UR)：来自系统 UR 的至少一个且不超过两个人将成为 SDBAT 永久成员的一部分。在与 SDBAT 和校园实体协商后，系统 UR 是唯一获准与媒体交谈的实体。在与 SDBAT 和受影响的校园指定人员协商后，系统 UR 将与总统办公室和校董会就此事件进行沟通。系统 UR 的主要责任是在必要时向总统和董事会提交最终事件报告。

系统法律顾问：系统法律顾问中至少一名且不超过两名人员将构成 SDBAT 常任成员的一部分。法律顾问是最初需要的联系人，可在调查期间提供建议，并就法律（例如 HIPAA、州法律等）要求的披露范围和时间提供建议。

大学风险管理 (URM)：来自大学风险管理的至少一名且不超过两名人员将构成 SDBAT 永久成员的一部分。URM 应包含在初始对话中，以帮助确定是否调用网络责任保险。

全系统数据泄露分析小组 (SDBAT)：SDBAT 将由永久和临时成员组成。永久成员将由以下部门的个人组成：

• OIS

• 系统UR

• 系统法律顾问

• URM

• 适当的校园 ISO，包括系统 ISO

临时成员的组成将取决于事件类型（PCI、HIPAA 等）和受影响的校园。相关业务领域的数据所有者将被包括在内。潜在的与会者可能来自内部审计、注册办公室、财务办公室（PCI 合规官）、UR、法律、人力资源、监管合规办公室等。系统法律顾问将是 SDBAT 决定的批准人。

在决定未来的行动方案之前，SDBAT 将评估事件的范围和后果。SDBAT 还将审查起草的事件警报文件和任何通知信的草稿。SDBAT 将提供语言输入，系统法律顾问将批准最终文件，之后，它们将适当地传达给必要的实体和个人。在获得 SDBAT 的批准之前，不得与包括媒体在内的任何外部实体进行交流。

指定校园实体：指定校园实体将是校园信息安全官。指定的校园实体将作为永久成员成为 SDBAT 的一部分。此人将负责根据本文档的指南将数据泄露事件传达给 OIS。提交给 OIS 的第一信息报告 (FIR) 需要以下内容：

•  事件概要

1. 检测到的日期和时间

2. 涉及的校园、物理位置、系统和大学服务

3. 负责系统/服务的部门

4. 数据泄露的类型和范围

5. 被利用的弱点简要概述

• 对个人、校园运营/资源等的潜在影响。

• 应对活动现状

如果确定信息安全事件需要通知校长、董事会、CDHE、媒体或受影响的个人，则指定人员将与适当的校园部门（例如，法律顾问、通讯主管等）合作起草事件提醒并将其转发给 SDBAT 进行审查和编辑。

响应过程

以下是对数据泄露流程的全系统事件响应：

发生潜在的“可报告事件”校园 ISO 确定事件是否确实是“可报告事件”。如果是这样，则事件被“宣布”，校园根据校园事件响应计划对事件做出初步响应
校园 ISO 在声明后 72 小时内或由外部实体（校园 SP 以外的任何人）包括学生、媒体或其他机构向 OIS 报告的事件。如果事件是由外部实体（校园指定人员除外）报告的，OIS 将联系校园 ISO，并且流程从上述“潜在可报告事件发生”步骤开始。
提交给 OIS 的“第一信息报告”(FIR) 文件
校园 ISO 和/或 CISO 以 FIR 作为主要文件召开 SDBAT 会议。
要为 SDBAT 会议确定法定人数，OIS、系统 UR、法律顾问和受影响的校园 ISO 中至少有一名成员必须出席。此外，如果发生支付卡数据泄露，财务主管办公室的 PCI 合规代表必须在场。此次会议还应包括受影响数据的相应数据所有者。
如有必要，OIS 将向员工信息系统副总裁提供初始更新，校园 ISO 或 IT 资源监督机构将向校园领导提供初始更新。

OIS 团队负责更新校园事件的系统领导。

• DBAT 与受影响的校园密切合作，以收集更多信息并了解问题。

• 在 30 天结束时，如有必要，OIS 将向员工信息系统副总裁提供更多详细信息。Campus ISO 或首席信息官/首席技术官将向 Campus 领导层提供最新信息。

• 如果确定信息安全事件需要通知校长、董事会、CDHE、媒体或受影响的个人，OIS 将与适当的校园部门（例如，律师、通讯主管等）合作起草事件提醒并将其转发给 SDBAT 进行审查和编辑。

• 如果事件需要，SDBAT 中代表的各个部门将开始联系外部实体。例如。在支付卡信息泄露的情况下，财务主管办公室联系金融机构。

• 在评估来自校园的其他信息后，SDBAT 将确定是否需要向受影响的个人发送通知以及是否需要发布新闻稿。OIS 将与相应的校园/业务部门合作起草通知函。

• 如果是新闻稿，通知将由 System UR 审核并由校园批准。系统 UR 将在释放它们之前通知 BOR。

• System UR将与校区合作发出通知，并在必要时通知媒体。

• 必要时，OIS 将向 CDHE 提交报告。

• 如果认为与事件和调查有关，执法机构将参与并更新。

校园将准备并向 OIS 提交详细的事件报告，包括但不限于原因、补救措施和未来的控制措施。

报告行动和责任

报告收件人	提交的报告	负责人/部门
NHS.	EHR.	ISO or Designee ISO 或指定人员
RBZZT.	跟进报告、媒体警报和最终事件报告	ISO or Designee ISO 或指定人员
校长	必要时 - 初始警报、跟进报告、媒体警报和最终事件报告	System UR 系统UR
董事会	必要时——事故报告	System UR 系统UR
BCGE.	必要时——事故报告	NHS.
内部审计	必要时——事故报告	NHS.

测试全系统事件响应计划以应对数据泄露

如果没有经过适当的测试，任何计划，无论经过深思熟虑或编写得多么有效，都可能成功。在数据泄露的情况下，出现焦虑时刻和压力情况的可能性非常高。在这种情况下，顺利执行响应计划并且所有相关成员都确切地知道必须做什么以及何时做是至关重要的。良好的测试机制可确保在事件发生时，会有一致、连贯和有效的响应。测试还提供了一个很好的机会来观察和纠正计划中任何被忽视的缺陷或模棱两可的地方。

为确保科罗拉多大学对数据泄露的全系统事件响应迅速而顺畅，将采取以下测试步骤：

• 应定期测试事件响应计划，并应向安全咨询委员会 (SAC) 提供测试摘要。

• OIS 将每年测试和审查该计划作为目标。但是，如果不可行，应向 SAC 发出通知。

• 校园和 SDBAT 将通过“真实生活”事件进行测试，这基本上是模拟真实生活场景。

• 第一次测试计划时，日期、时间、事件类型和校园将提前获知。所有相关方都应被告知。此类计划应称为“计划测试”

• 如果校园面临实际事件并且遵循了系统范围的事件响应计划，那么该事件将被视为对校园的突击测试。

• 以下计划的测试将在常规测试周期之外进行：

• 当校园任命新的校园信息安全官 (ISO) 时，或

• 当由 SDBAT 常任成员组成的部门（例如，法务部、OIS）更换不止一名代表时。

• 每次测试后，SDBAT 成员应评估计划的有效性，并在必要时向 SAC 提出更改建议。

• 信息安全办公室将负责启动测试、记录测试结果并更改事件响应计划。

测试机制

突击测试和计划测试都将遵循结构化的演练机制。这种方法将向校园呈现一个虚构的场景，之后校园 ISO 将遵循系统范围的事件响应程序。SDBAT 将召开，成员将口头讨论响应计划的要素。将以响应实际事件的强度来响应虚构事件。不会向总统办公厅主任、董事会或科罗拉多高等教育部正式报告这些测试，而是这些测试将作为学习工具，以确保该计划始终有效成员受过充分培训。

原文始发于微信公众号（军机故阁）：高校数据泄露的全系统事件响应程序