DeVry's Cyber Program

DeVry大学致力于保护其资产, including people, processes, data technology and facilities. To this end, the University has designed, 构建并实施适合此目的的正式且文档化的网络安全计划. 请继续阅读,了解更多关于DeVry大学网络项目的信息.

DeVry University Cybersecurity Program

DeVry大学内部网络安全项目的使命是提供世界一流的网络安全和风险管理项目,使我们的学生能够安全及时地提供解决方案和服务, colleagues and customers. 大学通过与整个大学选区的伙伴关系来实现这一使命. All students, 同事和第三方负责维护DeVry的安全和弹性环境.

DeVry大学网络安全项目概述

DeVry大学的网络安全项目是由适当的安全控制驱动的. 这些控制存在于以下安全标准和框架中:

And others, as needed, for program support.

 

网络安全程序控制的实施得到DeVry大学信息安全政策及其相应标准的支持. 这些策略交付将在治理中进行更详细的讨论, 政策管理下的风险与合规(GRC)计划.

Annual Risk Assessment

除了全年定期进行的内部风险评估之外, 大学每年进行独立的第三方风险评估. 这项评估在审查方面撒下了一张广泛的网.  评估结果被纳入风险登记册,用于跟踪、处理和报告. 结果通过网络风险管理委员会报告, Executive Committee, Audit and Finance Committee and the Board.

Security Program Maturity Assessment

确保为网络安全计划实施的控制措施有效运行, 大学每年进行独立的第三方安全项目成熟度评估. The assessment reviews the control implementation itself to ensure there are no gaps or failures; in addition, 根据能力成熟度模型集成(CMMI)对控制功能进行评审,以进一步评估控制, and hence program, maturity. 评估结果被纳入风险登记册,用于治疗和跟踪. 报告与网络风险管理委员会共享, executive leadership, 审计及财务委员会及董事会.

Cybersecurity Program Reporting

在大学的上游和下游都进行了网络安全计划的报告. Throughout the academic year. Reporting venues include:

  • 每周向副总裁和首席信息安全官宣读.

  • 网络安全风险管理委员会会议的月度报告.

  • 每月向IT部门报告技术网络安全控制状况.

  • 向IT部门提交网络安全项目的季度报告, 包括技术控制的高级读数.

  • 向IT部门提交网络安全项目的季度报告, 包括技术控制的高级读数.

  • 每两年向审计及财务委员会提交报告.

  • Additional read-out upon request.

Cybersecurity Organization

DeVry大学有一个专门的网络安全组织, implements, 维护和监控大学环境中适当的安全控制. 该组织由多学科的技术和安全专业人员组成,他们在公共和私人场所都有丰富的经验, across security disciplines. 

Chris Campbell

Chief Information Officer

 

Fred Kwong,

Chief Information Security Officer

 

Bonnie Goins

Director, Information Security

 

Waseem  Mohammed

Senior Manager, IT Security Operations

 

Benny Jacob

IT Risk Manager

 

Nick Pasquantonio

IT Security Analyst

 

Regina McCary

Associate Solutions Analyst

 

Governance, Risk and Compliance

德锐大学认识到需要对其控制和资产保护的执行进行监督, including its people, processes, data, technology and facilities. The University maintains a robust Governance, 风险与合规(GRC)程序,以识别和处理风险, maintain compliance objectives, 运营一个安全且有弹性的技术环境,并就网络安全沟通管理层的期望.

Policy Management

DeVry大学实施了正式的文件化信息安全政策, 已获大学网络风险管理委员会批准,并已发表并得到大学同事的认可. 该政策至少每年由委员会审查、更新和批准.

In support of the Policy, 大学建立了一套全面的标准, reviewed, 由首席信息安全官办公室每年更新和批准, 为大学社区提供更详细的网络安全指导. 这些标准包括但不限于:

  • Access Management

  • Application Security

  • Asset Management

  • Business Continuity/Disaster Recovery

  • Incident Response

  • Change Management

  • Encryption

  • 信息分类、标注和处理

  • Vulnerability and Patch Management

  • Wireless Security

  • Operations Security

  • Risk Management

  • Logging and Monitoring

  • Mobile Device Management

  • Password Management

  • Physical Security

  • Remote access

  • Security Awareness

  • Third Party Risk Management

  • Technical Configuration Standards

  • Communications and Network Security

Risk Management

大学实施了严格的网络安全风险管理流程和实践, 因此成立了网络风险管理委员会, 负责执行级别的职能,如确定风险承受能力和监督网络安全风险管理计划. Program activities include:

  • Annual risk assessment.

  • 对项目及其目标确定的风险进行策略性评估.

  • 根据潜在风险的严重程度分配风险处理.

  • Prioritization of risk treatment.

  • 在正式的风险登记册和相应的可交付成果上跟踪风险处理.

  • 定期向管理层和受影响的利益相关者报告风险.

Third Party Risk Management

DeVry大学认识到第三方给大学带来的潜在风险. 因此,它创建了一个正式的和文件化的第三方风险管理程序和标准. 资讯科技保安部门与合约管理部门合作,执行风险管理程序.

  • 受影响的第三方将根据大学的标准进行分级,并提交正式评估. 

  • 第三方创建筛选问卷,并提交证据来支持他们的答案.  可能需要额外的后续工作来回答由于文件审查而产生的任何问题.

  • 风险评分是根据大学的风险管理标准进行的.  

  • Third parties that score within risk tolerance proceed through contracting; those outside of stated risk tolerance are forwarded to the Cyber Risk Management Committee for review and approval or rejection. 

  • 评估完成后,由法律和合同管理部门完成入职.

Exception Management

The University understands that, 不时由于商业理由或技术上的不可行性, 业务或IT请求者可以请求策略的例外, standard or control. 为此,已经实现了一个正式的异常流程.  

  • 可使用指定的例外申请表格提出例外申请, 提交给IT保安部进行审查和风险计算.

  • 计算出的风险分数等于或低于DeVry大学规定的风险承受能力的例外情况,在部门领导批准和纠正行动计划的情况下,可以批准长达三个月的时间.

  • 三个月后,该例外将被重新审查,并可能根据风险延长或拒绝. 

  • 对于确定风险超过大学规定的风险承受能力的例外情况, 例外请求将转发给网络风险管理委员会审核批准或拒绝例外请求.

Business Continuity/Disaster Recovery

DeVry大学承认需要弹性和可持续的业务流程和技术平台, 正如国际灾难恢复研究所(www.drii.org) and The Business Continuity Institute ( www.thebci.org), along with ISO 22301.  促进关键业务流程和系统的弹性, 已实施正式的业务连续性和灾难恢复计划,其中包括: 

  • 团队组成及通知同事的方法 

  • 文件化的业务影响分析(以及部门业务影响分析),由以下内容组成:

    • Contact information

    • 识别关键业务功能

    • 关键应用/硬件/技术的识别

    • Recovery Time Objectives (RTO)

    • Recovery Point Objectives (RPO)

    • Required employees/contractors

    • Manual process procedures, where possible

    • 识别大学内外的依赖关系

    • Departmental risks

    • Alternate work locations

    • 第三方和相关的服务水平/合同

    • Required facilities/supplies

  • 部门恢复程序(包括灾难恢复计划的技术恢复)

  • Results of testing procedures

Vulnerability Management Program

风险管理的一个重要部分是识别, treatment and tracking of vulnerabilities. 对于技术漏洞来说尤其如此, both in infrastructure and applications, 因为每个都可能提供进入组织环境的潜在路径. DeVry大学非常重视漏洞管理,并实施了正式的识别程序, analysis, 脆弱性的处理和持续管理, including the minimization of technical debt.

Application Security Program

The design, development and ongoing maintenance of robust, 安全代码是DeVry大学的首要任务. 这是通过安全软件开发生命周期的实现实现的, appropriate security training for developers, 采用适合用途的软件保证成熟度模型, 通过手动和自动化手段识别和处理潜在的和现有的漏洞,并持续监测健康和安全应用程序. 该大学致力于提供世界一流的课程, secure applications to its students, colleagues and third parties.

Cybersecurity Operations

网络安全运营功能实现, 维护和监控保护DeVry大学的技术控制和解决方案. 这些控制包括大学应对事件的过程和工具, 监控其技术环境中的异常行为, conducts testing to discover vulnerabilities, 便于扫描和监控DeVry大学的数据, in transit and for data classification, 访问控制和更改通知目的.

Incident Management

DeVry大学已经实施并维护了一个事件管理功能,该功能由SANS/Foundstone和US CERT模型提供信息,用于事件响应和管理. 大学有一份正式的事件应变计划,以及相应的流程和技术程序,旨在将计划付诸实施. 事件响应者是多种多样的,代表着业务, IT Security, 执行领导和第三方合作伙伴. 通过大学的危机沟通计划和事件管理标准促进沟通.

Technical Operations

DeVry大学在其环境中实施并维护了重要的技术控制. These controls are preventive, 侦查和纠正的性质和全面的人的保护, processes, data, technology and facilities. IT和安全是实现和维护这些控制的合作伙伴. 还聘请第三方提供专门知识,并加强或扩大技术控制环境的范围. 控制配置和定制由互联网安全中心通知, 美国国家标准与技术研究院, 支付卡行业数据安全标准, DeVry University approved standards, 第三方推荐和其他来源, as appropriate.

Logging and Monitoring

必须对在DeVry大学环境中实施和维护的控制进行监控,以确保它们得到正确实施并有效运行. In addition, 监测大学环境,确保异常行为不会被忽视,并有可能演变为对关键部门职能的破坏或对大学的攻击. 通过使用自动化(如Security Information和Event Management工具),在连续的和战术的基础上执行日志记录和监视, 网络和安全监控扫描工具和经验丰富的资源投入, both internal and third party.  

Vulnerability Assessment/Penetration Testing

DeVry大学专注于鉴定, 处理和管理可能影响服务的漏洞, or the security of, our students, colleagues and third parties. To that end, 大学对其环境进行战术评估和持续监测. 正式的漏洞评估和渗透测试由DeVry大学和第三方提供商在整个学年定期进行. 测试包括外部和内部扫描.  评估和渗透测试的结果被纳入风险登记册,以供处理和监测.  调查结果也通过IT领导层进行报告, the Cyber Risk Management Committee, the Executive Committee, 审计及财务委员会及董事会.

Physical Security

Protection of its physical assets, including its facilities, is a point of focus for DeVry University. 该大学在其设施内实施了外部和内部周界保护和监测. 进入DeVry设施内的敏感区域是基于最低特权的,并与工作职责相一致. 实施和监控适当的暖通空调、气候、灭火和生命安全控制.  

Emergency Management

DeVry大学实施并保持了正式的应急管理计划. 该计划由联邦紧急事务管理局(www.fema.gov)、疾病预防控制中心(www.cdc.gov) and other relevant sources. 十大赌博平台排行榜大学的应急管理项目涵盖了应急管理的四个阶段, 由美国卫生与公众服务部(HHS)定义:

  • 缓解包括减少或消除危险发生可能性的所有活动, 或消除或减少危害的影响,如果它应该发生.

  • 准备包括旨在建立组织弹性和/或组织能力和能力的行动,以应对灾害影响并从中恢复. It includes activities that establish, exercise, refine, 维护用于应急响应和恢复的系统.

  • 应对活动直接针对危害的影响, 包括预期即将发生的事件所采取的行动.g.(如飓风、龙卷风)以及在撞击发生期间和之后的行为.

  • 在重大事件发生后,恢复活动使社区恢复“正常”.