28 августа 2014 года UNM Financial Services объявила следующее:
В сентябре вступают в силу новые процедуры, касающиеся закупок, при которых продавец будет иметь доступ к личным данным UNM. Личные данные включают в себя такие элементы, как номера социального страхования, защищенная медицинская информация (HIPAA), оценки учащихся, имена и даты рождения студентов / сотрудников, информация о кредитной карте, платежная ведомость или другая финансовая информация, а также другие данные, которые считаются конфиденциальными или конфиденциальными.
Начиная с 9, новое обязательное поле во всех заявках LoboMart требует, чтобы запрашивающая сторона уведомляла отдел закупок всякий раз, когда поставщик получит доступ к личным данным UNM. Каждый раз, когда выбрано это поле, отдел закупок поручит отделу пользователей заполнить форму предварительной проверки безопасности и отправить ее соответствующему ответственному за данные (обычно UNM IT или HSC Information Security). Отдел закупок не сможет оформить заказ на покупку до тех пор, пока не получит одобрение от соответствующего распорядителя данных.
В ответ на это требование HSC объявляет о новом процессе стандартизации нашей проверки ИТ-безопасности при покупке программного обеспечения таким образом, чтобы сделать его более быстрым и понятным. Покупки программного обеспечения, которое, как считается, связано с конфиденциальными или частными данными UNM, помечаются отделом закупок как требующие проверки безопасности ИТ до утверждения покупки.
Чтобы начать проверку, мы просим вас заполнить один из наших стандартных контрольных списков и отправить запрос на проверку безопасности в HSC-ISO@salud.unm.edu почтовый ящик. Чтобы выбрать подходящий контрольный список в первую очередь, вам необходимо определить, является ли это локально установленным программным обеспечением или это веб-приложение с компонентами облачного хранилища (это установленное программное обеспечение или веб-хостинг / подключенное программное обеспечение). Простой способ определить, какой контрольный список относится к вам, - это выяснить, действительно ли вы загружаете программное обеспечение на свой локальный компьютер или входите на веб-сайт для доступа к программному обеспечению.
В зависимости от типа вашего приложения вам нужно будет заполнить один из двух контрольных списков ниже
Чтобы получить помощь в разработке процедуры безопасности местного департамента, обратитесь к руководству и образцу процедуры безопасности, представленным другим департаментом. Руководящий документ объяснит, что мы ищем, а примерный документ покажет вам пример того, как будет выглядеть ваша политика. Пожалуйста, не копируйте дословно, просто используйте пример процедуры в качестве справочника при составлении документации вашего собственного отдела. Обратите внимание, что ваша процедура не обязательно должна быть длинным, утомительно составленным документом; мы просто ищем авторитетный документ, в котором указывается одобренное / несанкционированное использование приложения (это может быть быстро составленный одностраничный документ).
При отправке запроса обязательно сообщите нам, есть ли у вас срочный график, связанный с этой проверкой безопасности, поскольку мы можем предоставить предварительное одобрение (для получения через покупку) с условием, что вы составите проект процедуры безопасности местного отдела и предоставите его нам. в течение двух недель. Если вы запрашиваете предварительное одобрение, обратите внимание, что нам все равно потребуется заполненный «Контрольный список облачных вычислений», прежде чем предоставлять это предварительное одобрение.
Если вы не знаете ответов на какие-либо вопросы в формах, обратитесь к нам за разъяснениями или просто оставьте их пустыми, и мы проведем небольшое исследование, чтобы найти соответствующий ответ.