UNM Financial Services gab am 28. August 2014 Folgendes bekannt:
Im September treten neue Verfahren in Kraft, die Käufe beinhalten, bei denen ein Verkäufer Zugriff auf private UNM-Daten hat. Private Daten umfassen Elemente wie Sozialversicherungsnummern, geschützte Gesundheitsinformationen (HIPAA), Schülernoten, Namen und Geburtsdaten von Schülern/Mitarbeitern, Kreditkarteninformationen, Gehaltsabrechnungen oder andere Finanzinformationen oder andere Daten, die als sensibel oder privat gelten.
Ab dem 9 verlangt ein neues Pflichtfeld in allen LoboMart-Anforderungen, dass der Anforderer die Einkaufsabteilung benachrichtigt, wenn ein Lieferant Zugriff auf private UNM-Daten hat. Wenn dieses Feld ausgewählt wird, weist der Einkauf die Fachabteilung an, ein vorläufiges Sicherheitsüberprüfungsformular auszufüllen und an den zuständigen Datenverwalter (normalerweise UNM IT oder HSC Information Security) zu senden. Der Einkauf kann die Bestellung erst ausstellen, wenn die Genehmigung des zuständigen Datenverwalters vorliegt.
Als Reaktion auf diese Anforderung kündigt HSC einen neuen Prozess an, um unsere IT-Sicherheitsprüfung von Softwarekäufen so zu standardisieren, dass sie schneller und verständlicher wird. Käufe von Software, von denen angenommen wird, dass sie sensible oder private UNM-Daten beinhalten, werden vom Einkauf so gekennzeichnet, dass er vor der Genehmigung durch den Einkauf eine IT-Sicherheitsüberprüfung erfordert.
Um die Überprüfung einzuleiten, bitten wir Sie, eine unserer Standard-Checklisten auszufüllen und eine Anfrage für eine Sicherheitsüberprüfung an die HSC-ISO@salud.unm.edu Briefkasten. Um die geeignete Checkliste auszuwählen, müssen Sie zunächst feststellen, ob es sich um eine lokal installierte Software oder um eine Webanwendung mit Cloud-Speicherkomponenten handelt (ist dies eine installierte Software oder eine im Web gehostete/verbundene Software). Eine einfache Möglichkeit, um festzustellen, welche Checkliste auf Sie zutrifft, besteht darin, herauszufinden, ob Sie die Software tatsächlich auf Ihren lokalen Computer herunterladen oder ob Sie sich bei einer Website anmelden, um auf die Software zuzugreifen.
Abhängig von Ihrem Bewerbungstyp müssen Sie eine der beiden folgenden Checklisten ausfüllen
Zur Unterstützung beim Entwurf des Sicherheitsverfahrens der lokalen Abteilungen verweisen Sie bitte auf das Leitliniendokument und ein Muster-Sicherheitsverfahren, das von einer anderen Abteilung eingereicht wurde. Der Leitfaden erklärt, wonach wir suchen, und das Beispieldokument zeigt Ihnen ein Beispiel dafür, wie Ihre Richtlinie aussehen wird. Bitte nicht wörtlich kopieren, sondern nur das Beispielverfahren als Referenz für die Erstellung der eigenen Abteilungsdokumentation verwenden. Beachten Sie, dass Ihr Verfahren kein langes, mühsam erstelltes Dokument sein muss; Wir suchen lediglich nach einem maßgeblichen Dokument, das die genehmigten/nicht genehmigten Verwendungen der App angibt (dies kann ein schnell erstelltes einseitiges Dokument sein).
Wenn Sie Ihre Anfrage einreichen, teilen Sie uns bitte mit, ob Sie einen dringenden Zeitplan für diese Sicherheitsüberprüfung haben, da wir eine vorläufige Genehmigung (um den Einkauf zu erledigen) unter der Bedingung erteilen können, dass Sie das lokale Sicherheitsverfahren der Abteilung entwerfen und uns zur Verfügung stellen innerhalb von zwei Wochen. Wenn Sie die vorläufige Genehmigung beantragen, beachten Sie bitte, dass wir vor der Erteilung dieser vorläufigen Genehmigung noch die ausgefüllte „Cloud-Checkliste“ benötigen.
Wenn Sie die Antworten auf Fragen in den Formularen nicht kennen, bitten Sie uns um Klärung oder lassen Sie sie einfach leer und wir werden einige Nachforschungen anstellen, um die richtige Antwort zu finden.