UNM Financial Services anunciou o seguinte em 28 de agosto de 2014:
Novos procedimentos entrarão em vigor em setembro envolvendo compras onde um vendedor terá acesso aos dados privados da UNM. Os dados privados incluem itens como Números de Seguro Social, Informações Protegidas de Saúde (HIPAA), notas dos alunos, nomes e datas de nascimento de alunos / funcionários, informações de cartão de crédito, folha de pagamento ou outras informações financeiras, ou outros dados considerados confidenciais ou privados.
A partir de 9/30/14, um novo campo obrigatório em todas as requisições do LoboMart exigirá que o solicitante alerte o departamento de Compras sempre que um fornecedor tiver acesso aos dados privados da UNM. Sempre que este campo for selecionado, o Departamento de Compras instruirá o departamento de usuários a preencher um Formulário de Revisão de Segurança Preliminar e enviá-lo ao administrador de dados apropriado (geralmente UNM IT ou HSC Information Security). O setor de compras não poderá emitir a OC até receber a aprovação do administrador de dados apropriado.
Em resposta a esse requisito, o HSC está anunciando um novo processo para padronizar nossa análise de segurança de TI das compras de software de uma maneira que a tornará mais rápida e fácil de entender. As compras de software que envolvem dados UNM confidenciais ou privados são marcadas pelo Comprador para exigir uma revisão de segurança de TI antes da aprovação do Comprador.
Para iniciar a revisão, pedimos que você preencha uma de nossas listas de verificação padrão e envie uma solicitação de revisão de segurança ao HSC-ISO@salud.unm.edu caixa de correio. Para escolher qual lista de verificação é apropriada, primeiro você precisa determinar se este é um software instalado localmente ou se é um aplicativo da web com componentes de armazenamento em nuvem (é um software instalado ou um software hospedado / conectado na web). Uma maneira fácil de determinar qual lista de verificação se aplica a você é descobrir se você realmente baixou o software em sua máquina local ou se fez login em um site para acessar o software.
Dependendo do seu tipo de aplicativo, você precisará preencher uma das duas listas de verificação abaixo
Para obter ajuda na elaboração do procedimento de segurança departamental local, consulte o documento de orientação e um exemplo de procedimento de segurança enviado por outro departamento. O documento de orientação explicará o que estamos procurando e o documento de exemplo mostrará um exemplo de como será sua política. Por favor, não copie literalmente, simplesmente use o procedimento de exemplo como uma referência para redigir a documentação do seu próprio departamento. Observe que seu procedimento não precisa ser um documento elaborado de maneira longa e tediosa; estamos simplesmente procurando um documento oficial que declare os usos aprovados / não aprovados do aplicativo (pode ser um documento de uma página redigido rapidamente).
Ao enviar sua solicitação, certifique-se de nos dizer se você tem um cronograma urgente associado a esta revisão de segurança, pois podemos fornecer uma aprovação provisória (para passar pela compra) com a condição de que você redigirá o procedimento de segurança departamental local e o fornecerá para nós dentro de duas semanas. Se você solicitar a aprovação provisória, observe que ainda precisaremos ter a “Lista de verificação da nuvem” preenchida antes de fornecer esta aprovação provisória.
Se você não souber as respostas a alguma dúvida nos formulários, solicite esclarecimentos ou apenas deixe-os em branco e faremos uma pesquisa para encontrar a resposta adequada.