UNM Financial Servicesは、28年2014月XNUMX日に次のことを発表しました。
ベンダーがUNMの個人データにアクセスできる購入を含む新しい手順がXNUMX月に発効します。 個人データには、社会保障番号、保護された健康情報(HIPAA)、学生の成績、学生/従業員の名前と生年月日、クレジットカード情報、給与またはその他の財務情報、または機密または非公開と見なされるその他のデータなどの項目が含まれます。
9年30月14日以降、すべてのLoboMart要求の新しい必須フィールドでは、ベンダーがUNMの個人データにアクセスできるようになるたびに、要求者が購買部門に警告する必要があります。 このフィールドが選択されると、Purchasingはユーザー部門に予備セキュリティレビューフォームに記入し、適切なデータスチュワード(通常はUNM ITまたはHSC情報セキュリティ)に送信するように指示します。 購入者は、適切なデータスチュワードから承認を受けるまでPOを発行できません。
この要件に応えて、HSCは、ソフトウェア購入のITセキュリティレビューを標準化して、より速く、より理解しやすくするための新しいプロセスを発表しています。 機密またはプライベートのUNMデータが含まれていると見なされるソフトウェアの購入は、購入の承認前にITセキュリティレビューを要求するように購入によってフラグが立てられます。
レビューを開始するには、標準のチェックリストのXNUMXつに記入し、セキュリティレビューのリクエストを HSC-ISO@salud.unm.edu メールボックス。 最初に適切なチェックリストを選択するには、これがローカルにインストールされたソフトウェアなのか、クラウドストレージコンポーネントを備えたWebアプリケーションなのか(これはインストールされたソフトウェアなのか、Webでホスト/接続されたソフトウェアなのか)を判断する必要があります。 どのチェックリストが自分に当てはまるかを判断する簡単な方法は、実際にソフトウェアをローカルマシンにダウンロードしたのか、それともWebサイトにログインしてソフトウェアにアクセスしたのかを確認することです。
アプリケーションの種類に応じて、以下のXNUMXつのチェックリストのいずれかを完了する必要があります。
地域の部門のセキュリティ手順の草案作成については、ガイダンス文書と別の部門から提出されたサンプルのセキュリティ手順を参照してください。 ガイダンスドキュメントは私たちが探しているものを説明し、サンプルドキュメントはあなたのポリシーがどのように見えるかの例を示します。 逐語的にコピーするのではなく、単にサンプル手順を自分の部門のドキュメントを作成するための参照として使用してください。 手順は、面倒なドラフトの長いドキュメントである必要はないことに注意してください。 アプリの承認済み/未承認の使用法を記載した信頼できるドキュメントを探しているだけです(これは、すぐに作成できるXNUMXページのドキュメントである可能性があります)。
リクエストを送信するときは、このセキュリティレビューに関連する緊急のタイムラインがあるかどうかを必ずお知らせください。地域の部門のセキュリティ手順を作成して提供することを条件に、暫定的な承認(購入を完了するため)を提供できます。 XNUMX週間以内に。 暫定承認をリクエストする場合は、この暫定承認を提供する前に、「クラウドチェックリスト」に記入する必要があることに注意してください。
フォームの質問に対する回答がわからない場合は、説明を求めるか、空白のままにしてください。適切な回答を見つけるために調査を行います。