UNM Financial Services a annoncé ce qui suit le 28 août 2014 :
De nouvelles procédures entreront en vigueur en septembre concernant des achats où un fournisseur aura accès aux données privées de l'UNM. Les données privées comprennent des éléments tels que les numéros de sécurité sociale, les informations de santé protégées (HIPAA), les notes des étudiants, les noms et dates de naissance des étudiants/employés, les informations de carte de crédit, la paie ou d'autres informations financières, ou d'autres données jugées sensibles ou privées.
À partir du 9/30/14, un nouveau champ obligatoire dans toutes les demandes LoboMart obligera le demandeur à alerter le service des achats chaque fois qu'un fournisseur aura accès aux données privées UNM. Chaque fois que ce champ est sélectionné, les Achats demandent au service utilisateur de remplir un formulaire d'examen de sécurité préliminaire et de le soumettre au responsable des données approprié (généralement UNM IT ou HSC Information Security). Les achats ne seront pas en mesure d'émettre le bon de commande avant d'avoir reçu l'approbation du responsable des données approprié.
En réponse à cette exigence, HSC annonce un nouveau processus pour normaliser notre examen de la sécurité informatique des achats de logiciels d'une manière qui le rendra plus rapide et plus facile à comprendre. Les achats de logiciels considérés comme impliquant des données UNM sensibles ou privées sont signalés par les Achats pour nécessiter un examen de la sécurité informatique avant l'approbation des Achats.
Pour lancer l'examen, nous vous demandons de remplir l'une de nos listes de contrôle standard et de soumettre une demande d'examen de sécurité au HSC-ISO@salud.unm.edu boites aux lettres. Afin de choisir la liste de contrôle appropriée, vous devez d'abord déterminer s'il s'agit d'un logiciel installé localement ou s'il s'agit d'une application Web avec des composants de stockage en nuage (s'agit-il d'un logiciel installé ou d'un logiciel hébergé/connecté sur le Web). Un moyen simple de déterminer quelle liste de contrôle s'applique à vous est de savoir si vous téléchargez réellement le logiciel sur votre ordinateur local ou si vous vous connectez à un site Web pour accéder au logiciel.
Selon votre type de demande, vous devrez remplir l'une des deux listes de contrôle ci-dessous
Pour obtenir de l'aide sur la rédaction de la procédure de sécurité départementale locale, veuillez vous référer au document d'orientation et à un exemple de procédure de sécurité soumis par un autre département. Le document d'orientation expliquera ce que nous recherchons et l'exemple de document vous montrera à quoi ressemblera votre police. Veuillez ne pas copier textuellement, utilisez simplement l'exemple de procédure comme référence pour rédiger la documentation de votre propre service. Notez que votre procédure n'a pas besoin d'être un document long et fastidieux ; nous recherchons simplement un document faisant autorité qui indique les utilisations approuvées/non approuvées de l'application (cela peut être un document d'une page rédigé rapidement).
Lorsque vous soumettez votre demande, assurez-vous de nous indiquer si vous avez un calendrier urgent associé à cet examen de sécurité, car nous pouvons fournir une approbation provisoire (pour passer par l'achat) à la condition que vous rédigiez la procédure de sécurité départementale locale et que vous nous la fournissiez. dans deux semaines. Si vous demandez l'approbation provisoire, veuillez noter que nous aurons toujours besoin de la « liste de contrôle du cloud » dûment remplie avant de fournir cette approbation provisoire.
Si vous ne connaissez pas les réponses à des questions sur les formulaires, veuillez nous demander des éclaircissements ou laissez-les simplement vides et nous ferons des recherches pour trouver la réponse appropriée.