机构名称:
¥ 1.0
1. 根据 FCPS 数据分类政策选择捕获、处理和存储敏感数据的特定 IT 应用程序,并评估应用程序级别的访问控制的运行效果,2. 评估是否符合适用法律和法规,例如《家庭教育权利和隐私法案》(FERPA),重点关注 FCPS 的数据处理,3. 评估用户对 FCPS 系统和数据的访问控制,例如 (a) 物理访问控制,以保护物理 IT 资产(数据中心和服务器)和 (b) 逻辑访问控制,以正确 (i) 根据用户的角色和职责为其分配访问权限,(ii) 验证用户身份和 (iii) 管理访问权限的更改。系统访问是一种安全技术,用于规范谁和什么可以在计算环境中查看或使用。信息技术部 (DIT) 满足费尔法克斯县公立学校 (FCPS) 员工、学生和中央办公室团队的各种技术需求,管理信息资源并确保 FCPS 系统的安全性和完整性。 DIT 负责为其管辖范围内的 FCPS 信息技术基础设施的所有部分提供设计、安装、维护和支持服务。系统应用程序所有者负责适当执行信息技术基础设施。需要注意的是,FCPS 使用的并非所有技术系统都由 DIT 运营。有些是由部门内的业务 IT 团队开发和运营的。部门法律顾问办公室(自 2024 年 4 月 1 日起从通讯办公室迁出)内的公共记录办公室负责记录、跟踪、协调和响应收到的家庭教育权利和隐私法案 (FERPA) 请求。根据我们的风险评估,审计重点关注以下包含敏感数据的关键系统 (a) 学生信息系统 (SIS)、(b) 用于定位和报告成功的特殊教育管理系统 (SEA-STARS) 和 (c) Lawson,人力资源管理系统。根据弗吉尼亚州法典第 2.2-3705.2(14)(b) 条,“漏洞评估、有关特定网络安全威胁或漏洞的未依法向公众提供的信息,或实体、设施、建筑结构、信息技术系统或软件程序的安全计划和措施”不在本章的强制披露条款范围内,但保管人可自行决定披露,除非法律禁止此类披露。此外,根据弗吉尼亚州法典第 2.2-3711(A)(19) 条,公共机构可以举行闭门会议,“讨论与恐怖活动或特定网络安全威胁或漏洞有关的保护公共安全的计划,并听取工作人员、法律顾问、或执法或紧急服务官员就应对此类事件所采取的行动
FCPS 审计报告:24-1004 – IT 系统访问审计
主要关键词
相关文件推荐
