大学政策3509

弗吉尼亚法典第23条.第1-1301条，经修正，授予访问委员会制定有关该机构的规则和政策的权力. 第六节.第01(a)(6)条 访客委员会章程 授权校长执行董事会与大学运作有关的政策及程序.

弗吉尼亚法典第23条.1-1000-1028，经修正《网上十大网赌娱乐大全》

数据所有者 -负责监督与捕获相关的数据管理职能的大学雇员(通常为注册主任或单位主任级别), 维护, 以及特定操作区域的数据传播. 他们负责决定在其职权范围内使用机构数据.

项目管理办公室(PMO) -信息技术服务办公室(ITS)内的一个战略职能单位，促进和推进项目管理原则和服务的信息技术(IT)项目在最靠谱的网赌软件.

软件技术、应用和服务 -计算机程序或一组计算机程序及相关数据，在大学系统和信息技术资源上运行或与之交互. 这些包括, 但不限于, 系统软件, 应用软件, 编程软件, 软件即服务交付模型, 服务器和实用程序.

本政策适用于所有通过大学获得报酬的学术和行政单位的雇员和附属机构的雇员，他们采购软件技术. 员工包括所有员工, 管理员, 教师, 全职或兼职, 以及由大学支付报酬的机密或非机密人员. 附属组织是通过运营协议为大学利益而存在的独立实体，包括基金会, 社区发展公司, 及校友会.

此策略适用于所有软件技术, 应用程序和服务, 包括单次数量, 开源, 商业上可用或独立开发的软件, 确定符合以下一个或多个审查标准的文件, 无论是谁发起收购或资金来源:

• 要求使用大学的资讯科技系统和资源，但在ITS指引中有例外;
• 需要ITS持续维修;
• 收集, 商店, 显示, 或导出个人识别数据, 非公开的个人或财务信息, 受保护的健康信息, 或者学生档案, 或将存储或管理受法律控制的数据(例如. FERPA, HIPAA);
• 与现有企业系统应用程序的接口, 比如MIDAS, 横幅, 课程管理系统, 等.; or
• 对人身安全有影响吗.

软件技术, 应用程序和服务的实施方式应有助于院校的效益和效率，并促进遵守大学的标准. 在采购任何新的软件技术之前, 本策略范围内定义的应用程序或服务, 系统拥有人将与资讯科技服务部(ITS)展开一项评估，以评估与大学现有服务的整合需求, 制度和标准, 以及运营支持要求. 主要目标是确定集成挑战或协调需求, 为启动IT项目收集信息, 协助评估可以利用的冗余服务, 协助维修和成本分析, 促进各利益相关者和运营单位之间的适当对话, 资源规划. 其他好处包括所涉及的特定数据的文档, 获得数据所有者对数据使用的批准, 为共享数据提供适当的合同附录, 并根据ODU IT安全标准支持身份和访问考虑.

部门和行政单位对软件技术的部署作出贡献并分担责任, 应用程序和服务. 具体来说，他们负责:

• 收集有关软件技术、应用程序和服务的资料;
• 在采购前与it项目管理办公室进行软件决策分析;
• 理解信息安全的角色和责任;
• 支持大学的标准和合规;
• conducting ongoing 维护; and
• 管理拥有成本.

it项目管理办公室负责(i)接受和跟踪评审要求，以及(ii)协调及时向部门或行政单位作出回应.

资讯科技服务处负责检讨提交的资料，并与有关部门和行政单位分享调查结果. 检讨将包括:

• 对联邦和州法规以及大学政策的遵守情况进行分析;
• a technical review, including a 安全 review and an integration review when appropriate; and
• 在适当的情况下，进行维护和成本审查.

资讯科技署及提出要求的部门会使用下列标准及指引进行检讨及提出建议:

• 与大学的电脑及网络环境兼容;
• 遵守大学的资讯科技标准 软件决策分析和系统风险分析指南;
• 基于需求评估的适宜性;
• 软件购买的许可合规性;
• hardware and software that can be efficiently supported; and
• 是否有足够的大学资源(包括初始和经常性费用).

审查的结果将是对该技术在大学IT环境中兼容和成功的能力的分析. 如果适用，将提出预防或减轻风险的建议. 不符合ITS建议的软件采购将不得到请求部门副总裁的批准.

​​​​​​

1. 考虑计划收购或开发软件技术的部门, 申请或服务受此政策约束，并应联系ITS.

2. 请求部门收集有关软件的信息并提交一份 ITS软件决策分析要求 以协助收集资料. 所需的其他信息包括技术文件, 硬件需求, 供应商的做法, 安全, 咨询, 等. ITS工作人员将根据要求提供咨询. 为了避免不必要的延误，强烈鼓励尽早规划.

3. ITS与技术支持人员和/或供应商一起评估信息，根据需要进一步澄清审查文件中的具体项目. 完成审查所需的时间可能会根据系统的复杂性以及大学学术和预算周期的时间而有所不同.

4. 评估之后, ITS提供了调查结果摘要, 包括是否需要使用附录表来保护合同, 是否需要进一步的架构审查, 是否需要一个资讯科技项目, 数据所有权和责任.

5. 被请求系统的部门系统所有者将在ITS调查结果上签字, 承认作为系统所有者的安全责任, 当涉及ODU数据时, 资料拥有人须签署批准使用该等资料.

软件决策分析过程, 与请求部门合作, 采购及资讯科技服务, 是否有一种方法在扩大采用信息安全审查时应用应有的谨慎. 在完成软件安全审查或系统风险评估之前购买系统的情况下, 在审查完成之前，还有其他控制措施可以降低风险. 提出请求的部门仍有责任发起并完成适当的审查, 按照这个政策的要求.

有关此政策的问题应直接向ITS的项目管理办公室提出，电话757.683.3189或电邮 pmo@thecmcteam.com.

适用的记录必须保留，然后按照 联邦记录保留时间表.

信息技术服务副总裁兼首席信息官

信息技术应用程序的部署必须遵守以下所有适用的大学政策. 有关与大学政策相关的标准，请参见 http://o2t.thecmcteam.com/about/policiesandprocedures/computing

• 大学政策3500 -电脑资源使用政策
• 大学政策3502 -信息技术基础设施, 体系结构, 持续经营政策
• 大学政策3504 -数据管理政策
• 大学政策3505 -信息安全政策
• 大学政策3508 -信息技术项目管理
• 信息技术服务标准08.1.0 -风险评估标准
• 采购事务部采购手册