A. le responsable de la sécurité de l`information de l`Université est l`autorité ultime pour l`interprétation et la mise en œuvre de cette politique, ainsi que pour coordonner les communications graves en matière de sécurité de l`information. Le Bureau du responsable de la sécurité de l`information de l`Université conservera les dossiers et les preuves pertinents concernant tous les incidents graves pendant une période de trois ans après la survenance de l`événement. Pour les incidents impliquant la divulgation non autorisée de PHI, les dossiers seront conservés pendant six ans. 1. les liaisons de l`unité de sécurité ou leurs personnes désignées doivent signaler les incidents graves suspectés (signalés ou identifiés par eux) dans le délai de 24 heures. Lorsqu`un incident concerne les types d`informations sensibles ci-dessous, les liaisons doivent également signaler l`incident aux parties suivantes: bien que les incidents de sécurité de l`information ne soient pas toujours évitables, des procédures appropriées pour la détection des incidents, la déclaration et la manutention, combinées à l`éducation et à la sensibilisation de la communauté U-M, peuvent minimiser leur fréquence, leur sévérité et leurs conséquences potentiellement négatives sur le plan personnel, opérationnel, juridique, de réputation et financière. Les objectifs de la mise en place d`une capacité de gestion des incidents réussie sont les suivants: il est particulièrement important que les incidents graves de sécurité de l`information qui peuvent entraîner des perturbations des processus opérationnels importants soient rapidement communiqués aux responsables de l`Université afin qu`ils soient impliqués tôt dans la prise de décision et les communications. En outre, le respect de diverses réglementations fédérales et étatiques exige une déclaration expéditive de certains types d`incidents. D. liaisons de l`unité de sécurité: la liaison de l`unité de sécurité est un fonctionnaire qui a été désigné par le doyen ou le directeur de l`unité pour assurer la supervision unitaire de la sécurité de l`information, communiquer et coordonner les activités connexes avec l`information et l`infrastructure L`assurance (AII), d`évaluer et de réagir aux incidents non graves, et de coordonner la réponse des unités aux évaluations des risques et aux demandes d`audit.

Les liaisons élaborent et mettent en œuvre des politiques, des procédures, des communications et des programmes de sensibilisation à l`échelle de l`unité conformément aux directives de l`Université. F. confidentialité et confidentialité des informations sensibles: C. protéger, préserver et rendre utilisable toutes les informations concernant l`incident ou la divulgation, selon les besoins, pour l`analyse et la notification médico-légales. E. l`agent de la protection de la vie privée de l`Université HIPAA, l`UMOR, et le Bureau du trésorier informeront l`IIA des incidents graves qui leur sont signalés. B. un incident grave est un incident qui peut constituer une menace substantielle pour les ressources universitaires, les intervenants et/ou les services.

Un incident est désigné comme grave s`il répond à un ou plusieurs des critères suivants: D. certains incidents de sécurité de l`information peuvent également être de nature criminelle (p. ex., menaces à la sécurité personnelle ou aux biens matériels) et doivent immédiatement être signalés à la Division U-M de sécurité publique et de sécurité en concomitance avec la notification d`incident décrite à la section VII de la présente politique.