资讯科技安全政策

一、简介

本文档提供了所有 International Schoolings IT 政策的列表。国际学校教师、家长、学生和工作人员应了解并遵守这些政策。

1.1 目的

本文件概述了国际学校教育对保护信息和信息资源的机密性、完整性和可用性的承诺。本文件反映了国际学校对信息和信息资源安全的承诺，以应对信息安全面临的诸多威胁以及保护国际学校内容和代表国际学校行事的任何第三方内容的隐私的重要性。

1.2 范围

本文件适用于国际学校、我们的学习平台以及所有利益相关者，包括教师、员工、学生、家长和其他有权访问国际学校内容和资源的用户。本文档的范围适用于资产，包括但不限于数据、计算机、文本、图像和/或软件，无论是存储在硬件或任何其他存储介质上。国际学校的 IT 安全政策和程序中规定的标准和程序涉及所有信息系统以及连接到国际学校网络及其学习平台的资源。

International Schooling 的 IT 安全政策和程序定义了信息安全标准和程序，以确保 International Schooling 控制下的所有信息系统和资源的完整性、机密性和可用性。

1.3 角色和职责

这些是国际学校系统中的特定个人或团体，以及他们在国际学校信息安全标准和程序方面的职责。

IT部门 – 以保护国际学校的整体计算基础设施为主要目标，IT 部门负责快速响应识别数据基础设施的威胁和风险，评估风险水平，并迅速采取行动减轻被认为有害和重大的风险国际学校信息系统资源的完整性。 IT 部门成员将有关其部门资源的任何事件通知相关部门。他们参与有关产品和服务交付的开发和测试活动，以确保教育环境的顺利运行。 IT部门由IT负责人、IT人员和国际学校安全和网络管理人员的一些主要成员组成。

IT主管 – IT 主管可以访问所有 IT 资源。 IT Head 负责全校范围内与数据和信息系统安全相关的工作，包括制定国际学校数据安全政策、协调和评估与安全相关的软件的站点许可证、培训、同步工作以加强数据安全控制，和安全相关事件和信息的分发，这可能会影响国际学校计算资源的可访问性和可靠性。 IT 主管维护和监督 IT 经理和 IT 员工之间的所有沟通，定期更新他们必须解决的任何与信息安全相关的问题。 IT Head 还负责提供与信息产品和服务交付相关的 IT 规划、管理、采购、开发和实施活动，以确保教育环境的顺利运行。

产品经理 – 负责国际学校学习平台的产品规划和实施，通过收集需求，定义产品生命周期，并与部门负责人密切合作，确保实施的产品达到用户（学生、教师）的满意度、父母等）。产品经理可以访问所有生产服务器、数据库、应用程序代码、测试服务器、问题管理工具等。

解决方案架构师 – 负责协助有技术困难的开发人员，同时实现新功能。解决方案架构师还负责规划需求的技术实现。他们确保学习平台使用最新技术进行升级并免受最新安全攻击。

项目负责人 – 负责完整实施在国际学校学习平台上提供的功能。 Project Lead 可以访问测试和开发服务器和数据库、应用程序代码和问题管理工具。

系统管理员 (SA) – 在某些情况下，SA 可能负责 IT 资源的管理。鉴于信息安全，他们的职责可能包括：

向 IT 主管推荐有关安全陷阱的信息
确保国际学校和学习平台的所有用户了解并遵守所有国际学校系统安全标准和政策
确保资源满足信息安全要求，包括在发生技术故障时执行持续的风险规划和分析
在国际学校及其学习平台中认可安全意识

数据库管理员 (DA) – 数据库管理员有权访问国际学校数据库。 DA 负责所有数据库资源的管理、数据库的备份和恢复，以防系统受到攻击。

业务分析师 – 负责记录国际学校的业务需求和功能流程。业务分析师还负责分析技术的新趋势并建议学习平台的新改进。

质量分析师 – 负责测试学习平台的功能和特性，并确保实现的所有特性符合业务需求。质量分析师可以访问测试服务器和数据库以及问题管理工具。

开发商 – 负责根据业务需求在学习平台上开发新功能。开发人员可以访问测试和开发服务器和数据库、应用程序代码和问题管理工具。

用户界面/用户体验开发人员 – 负责根据业务需求设计学习平台的用户界面。 UI/UX 开发人员可以访问测试和开发服务器和数据库、应用程序代码、设计工具和问题管理工具。

非学术人员– 国际学校包括处理国际学校学习平台日常运营的人员。这包括行政、人力资源、营销和销售、财务、法律、IT、公共关系部门的所有部门主管和员工。他们负责与国际学校平台上的学生、教师互动。

2. 国际学校的 IT 安全政策和程序

2.1 负责任地使用信息技术资源

2.1.1 政策声明

包括学生、教师、家长和工作人员在内的所有 International Schooling 社区成员都有责任维护学习平台创建、接收、存储、共享或以其他方式使用的数据的机密性、完整性和可用性。各部门负责根据所有国际学校隐私和安全政策以及指南对数据的访问、使用、共享和丢弃实施操作和技术限制。 International Schooling 希望其成员，包括但不限于教师、家长、员工和学生，负责任地使用所有 International Schooling 信息技术资源。

2.1.1 原则

International Schooling 的 IT 资源和数据的可接受用途包括：

尊重系统安全机制，不采取旨在破坏这些机制的措施。
了解并遵守国际学校信息技术和数据的安全政策和指导方针。
协助解决检测到的系统漏洞、攻击或威胁。

国际学校 IT 资源和数据的不可接受用途包括：

未经授权访问或未经授权使用国际学校的 IT 资源
任何可能干扰他人使用信息技术资源和数据的活动
故意安装有害软件（间谍软件、病毒、恶意软件等）
有意或无意的安全漏洞，包括对服务器的疏忽管理导致其未经授权的使用或对服务器的攻击。
共享密码

2.2 数据分类政策

2.2.1 政策声明

所有与国际学校教育相关的数据必须归类为 机密、受限或公开.国际学校经理和部门负责人负责这一分类。根据分类，所有国际学校员工都可以访问这些数据。

2.2.2 政策目的

数据分类取决于与之相关的可访问性和机密性级别。

2.2.3 原则

机密的-这包括如果披露不当可能会对国际学校声誉产生重大影响的数据。

就个人而言，可识别信息是可用于识别个人身份的任何有关个人的信息，例如姓名、日期和出生地、电子邮件、有关教育、财务和就业的信息。
财务数据，包括银行详细信息、交易证明和收据。
就业记录，包括工资、合同和其他员工记录
学生记录，与学生在学习平台上的进度有关。
可以访问包含机密数据的系统或应用程序的帐户或系统密码。

受限制的 – 这包括不会造成实质性损害，但如果披露不当会对 International Schooling 的安全或运营造成中等风险的信息。必须保护受限制的数据免遭未经授权的使用、披露、修改和破坏。

与 International Schooling 的运营、财务或其他不打算公开披露的敏感性质活动相关的数据。
信息安全数据、系统配置文件、基础设施或网络图，以及国际学校发生的事故报告。
任何其他内部 International Schooling 数据——其分发受作者、所有者或管理员的意图或判断力的限制，包括与业务相关的文件、申请代码。
国际学校的知识产权

上市 – 这包括可以向 International Schooling 内部或外部的任何个人或组织发布的数据，且对 International Schooling 的保护、财务或运营风险最小。

公共国际学校网站上的数据，例如办公室电子邮件地址、办公室电话号码、办公室位置等。
在 International Schooling 网站上发布的、公开可用的或非知识产权的数据。
新闻，博客。

2.3 事件响应计划

2.3.1 政策声明

学习平台上发生的所有问题，无论大小，都必须尽快报告给信息技术（IT）部门。

2.3.2 政策目的

学习平台上的问题可能随时发生，严重程度各不相同。系统地检测和解决问题是我们组织的重要组成部分。该政策概述了问题的报告、审查、解决以及相关的纠正策略。所有发生的事故都必须立即报告。

2.3.3 政策目的

必须报告、审查和解决学习平台问题并提出建议。所有问题都通过平台上的问题管理工具进行监控。

报告问题：有许多不同类型的问题可以报告给 IT 部门。问题示例包括：

学习平台上阻碍学生、家长和教师体验的问题。
用户使用他/她自己以外的凭据访问系统或应用程序。
访问未经适当人员授权的系统、应用程序或文档
信息系统感染了病毒、恶意软件或勒索软件

审查问题：每个报告的问题都必须由 IT 人员审查。其中一些包括：

学习平台上阻碍学生、家长和教师体验的问题。
International Schooling 网络上的未经授权或可疑活动，包括系统或应用程序
International Schooling 数据丢失、被盗、被误导或以其他方式与未经授权的一方共享。
International Schooling 网络上的一个系统感染了恶意软件。

解决问题：一旦问题得到报告和审查，就必须解决问题以防止进一步的伤害。例如，应采取以下步骤：

对于学习平台问题，IT 部门必须立即努力尽快解决问题。
如果某个系统在 International Schooling 网络上受到感染，则应将其隔离，但仍应继续运行以进行进一步解决。
关闭问题表示问题已完全解决。因此，应努力防止此类问题再次发生。

2.4 沟通政策

2.4.1 政策声明

国际学校通过电子邮件、即时通讯、票务系统等多种沟通方式为其学生、教师、家长和工作人员在学习平台上开展一般机构业务。在我们的学习平台上为教师、学生、家长和工作人员提供了官方帐户。帐户持有人有责任在与 International Schooling 的其他成员交流时遵守某些准则。通过任何传输源（例如电子邮件、即时消息等）收到的任何数据都受到国际学校工作人员的监视。

2.4.2 政策目的

International Schooling 负责保护在 International Schooling 网络上创建、接收、存储、传输的信息，包括包含在电子邮件中的信息。

2.4.3 原则

教师、学生、家长或工作人员的记录等个人身份信息必须非常小心地处理，以避免不当披露，这可能会给国际学校及其利益相关者带来潜在风险。通过任何传输源（例如电子邮件、即时消息等）收到的任何数据都受到国际学校工作人员的监视。

访问 International Schooling 的帐户需要帐户持有人承担某些责任，包括但不限于以下内容：

不要与任何人共享您的帐户密码，包括 IT 部门（IT 部门绝不会要求您提供密码）。
请勿使用您的帐户骚扰他人。
不要用电子邮件向人们发送垃圾邮件
未经适当授权，请勿向任何个人发送机密数据

2.5 数据安全

2.5.1 政策声明

国际学校社区的所有成员，包括教师、学生、家长和工作人员，都有责任保护机构创建、接收、存储、传输或以其他方式使用的数据的机密性、完整性和可用性。 International Schooling 保留限制使用信息技术 (IT) 资源以保护数据安全的权利。

2.5.2 政策目的

必须极其谨慎地处理个人信息或学生记录等机密信息，以避免任何无意或不适当的披露，从而使 International Schooling 及其利益相关者处于危险之中。

2.5.3 原则

未经授权或不当的数据传输 – 学生信息、员工数据或财务文件等信息属于机密信息，必须极其谨慎地处理以防止不当披露。通过任何通信来源（例如电子邮件、消息等）收到的任何数据都受到国际学校管理部门的监督。任何故意或意外向外部人员传输数据都可能导致帐户被撤销，以根据事件响应计划政策进行进一步审查。国际学校积极跟踪国际学校平台上的电子邮件和用户消息。

访问和授权操作数据 – 机构创建、接收、存储、传输或以其他方式使用的数据不会从学习平台中删除。所有学生、教师、教职员工的数据，包括但不限于学生记录、教师合同、电子邮件、文件等，均在用户与国际学校的联系结束后存档。结业、退学、教师终止国际学校合同的记录在结业一年后存档。任何用户都无法进一步操作存档数据。各自的部门负责人有权访问存档数据，并可以批准哪些人员可以访问该数据。

数据的备份、恢复和处理 – 数据库管理员和信息系统管理人员必须有文件化的程序来创建可检索的、准确的数据副本，并且必须定期测试数据和系统恢复；每年至少一次。备份数据库和系统的要求包括不限于：

数据库和系统必须按预定义的、定期的方式进行备份（至少每周一次），使用耐用介质，其中应包括在异地存储中保存备份或备份副本的规定。
备份媒体必须保持安全并防止任何未经授权的访问。
必须做出合理的努力来保持存储数据的备份介质受密码保护，并且位于备份系统的外部。
信息系统或数据的管理人员和管理员必须具有用于恢复这些系统或数据的书面程序。
必须以确保无法检索或恢复数据的方式处理数据库和系统。

2.6 隐私政策

2.6.1 政策声明

International Schooling 尊重并理解在线隐私和安全的重要性，因此我们制定了基于 2012 年个人数据保护法 (PDPA) 的政策。本隐私政策披露了我们为我们的主网站收集、使用和传播信息的做法， www.internationalschooling.org，以及与我们相关的任何子网站通过使用我们的网站，您同意我们的隐私政策的条款。隐私政策可随时由 International Schooling 自行决定更改。为了保持更新，请用户访问该网站。

2.6.2 原则

网络浏览器信息使用

International Schooling 可能会使用您的网络浏览器传递的数据，例如您的 IP 地址、浏览器名称和版本、计算机操作系统、您正在访问的资源和上次访问的资源。这些项目记录在服务器的日志文件中，这是所有网站的常见做法。通常会分析收集到的信息，以便从技术角度更好地了解我们的客户想要和需要什么。
因此收集的信息被归类为非个人身份信息，这意味着收集的信息不会导致您的身份识别。牢记这一点，我们保留使用和与第三方共享的权利。请注意，无论何时合并非个人身份信息和个人身份信息，只要它们保持合并，我们都会将其视为个人身份信息。

数据采集;使用和披露

国际学校网站包含收集用户自愿提供的个人身份信息的区域。在线向 International Schooling 提供其联系信息的人员可能会收到我们的直接邮件、电子邮件或电话联系信息，其中包含有关我们客户可能感兴趣的特别促销、新产品发布、即将举行的活动和服务的信息。但是，这些信息将被保密处理。
我们保留与某些服务提供商和我们的关联公司共享个人身份信息的权利。他们可以利用这些信息来处理用户请求的任何交易。服务提供商可以包括为国际学校开展营销服务的供应商、顾问或公司。但是，您可以放心，因为我们敦促我们的服务提供商确保个人身份信息的安全和受到保护，并且仅将其披露或用于以国际学校名义开展的项目，或在法律允许的情况下。
International Schooling 平台包含由第三方（内容合作伙伴、服务提供商或供应商）保存并可供第三方使用的个人身份信息。这些方可以访问最少量的必要信息，以帮助他们执行他们所从事的任务。这些第三方已批准保护信息的机密性，并且仅将信息用于为国际学校开展的项目，或在法律允许的情况下使用。
国际学校包含“学生教育记录”。这些记录受国际学校教育根据相关教育权利和 PDPA 的保护。
如果我们认为根据当地法律（包括传票和法院命令）我们有义务这样做，我们可能会将您的个人身份信息发布给第三方；执行我们的使用条款；保护 International Schooling、我们的员工、附属学校的安全、隐私、权利或财产，或/和授权我们采取补救措施或限制我们可能承受的赔偿。
如果所有或大部分 International Schooling 资产被转让或出售给任何其他方，则所有信息，无论是否可以识别个人身份，也可能会转让给收购方。

在新加坡境外转移个人信息

某些第三方服务提供商可能在新加坡境外运营。通过网站或其他方式提供有关国际教育的信息，用户同意传输非个人身份信息和个人身份信息，以按照本隐私政策中规定的条款使用和处理。

讨论主题和留言板

讨论主题和/或留言板可通过 LMS 或任何其他教育管理系统获得。这些也可能是虚拟教室环境中实时课程的一部分。讨论线程和/或留言板上的帖子，或用户在实时课程会话中的存在，可以被任何参与其中的人阅读。此外，共享到讨论线程和/或留言板、口头或聊天窗格评论的任何信息都可以包含在实时课程会话中，然后它可能可供该特定讨论线程和/或留言板的所有用户使用和披露，或实时会话。我们不保证用户在上述公共论坛上披露的任何信息的安全性。因此，用户发布的任何帖子均需自行承担风险。

11 岁以下儿童

儿童的在线隐私和安全是国际学校关注的首要问题。
未经父母事先同意或通知，儿童不得提供个人身份信息，其中包括让父母有机会阻止使用信息和参与活动。国际学校从不寻求 11 岁以下儿童的任何信息。
未经父母事先同意，儿童不得公开发布或以其他方式分发个人身份信息。
如果任何信息因过失、欺骗或欺诈而发布，请立即通过以下方式与我们联系，通知 International Schooling [email protected].
11 岁以下儿童的监护人可以通过向以下地址发送申请来要求审查、编辑或禁止 International Schooling 使用有关儿童的个人身份信息 [email protected].
请注意，如果要求将信息排除在 International Schooling 使用之外，则孩子在 International Schooling 的注册可能无法继续，这也可能会终止他/她对 International Schooling 计划的参与。

其他网站的链接

我们的网站可能包含指向其他网站的链接。 International Schooling 不对此类网站的隐私惯例或内容负责。

选择退出

International Schooling 为用户提供了选择不接收未来通信的机会。选择退出请求必须发送至 [email protected]。也可以通过 +65 3159 3949 联系我们，以将其从国际学校的所有联系人列表中删除。

如何联系我们

如果您对本网站隐私政策或本网站的信息惯例有任何问题、意见或疑虑，请通过以下方式与我们联系：

国际教育

111 Somerset Road, Level 13, TripleOne Somerset,

新加坡 – 238164

电子邮件： [email protected]

电话：+65 3159 3949

安全

国际学校采取稳健的措施来保护用户信息。与安全措施一样有效，没有任何安全系统是完全可靠的；因此，无法保证我们系统或数据库的完全安全。

网络浏览器信息使用

International Schooling 可能会使用您的网络浏览器传递的数据，例如您的 IP 地址、浏览器名称和版本、计算机操作系统、您正在访问的资源和上次访问的资源。这些项目记录在服务器的日志文件中，这是所有网站的常见做法。通常会分析收集到的信息，以便从技术角度更好地了解我们的客户想要和需要什么。
因此收集的信息被归类为非个人身份信息，这意味着收集的信息不会导致您的身份识别。牢记这一点，我们保留使用和与第三方共享的权利。请注意，无论何时合并非个人身份信息和个人身份信息，只要它们保持合并，我们都会将其视为个人身份信息。

数据采集;使用和披露

国际学校网站包含收集用户自愿提供的个人身份信息的区域。在线向 International Schooling 提供其联系信息的人员可能会收到我们的直接邮件、电子邮件或电话联系信息，其中包含有关我们客户可能感兴趣的特别促销、新产品发布、即将举行的活动和服务的信息。但是，这些信息将被保密处理。
我们保留与某些服务提供商和我们的关联公司共享个人身份信息的权利。他们可以利用这些信息来处理用户请求的任何交易。服务提供商可以包括为国际学校开展营销服务的供应商、顾问或公司。但是，您可以放心，因为我们敦促我们的服务提供商确保个人身份信息的安全和受到保护，并且仅将其披露或用于以国际学校名义开展的项目，或在法律允许的情况下。
International Schooling 平台包含由第三方（内容合作伙伴、服务提供商或供应商）保存并可供第三方使用的个人身份信息。这些方可以访问最少量的必要信息，以帮助他们执行他们所从事的任务。这些第三方已批准保护信息的机密性，并且仅将信息用于为国际学校开展的项目，或在法律允许的情况下使用。
国际学校包含“学生教育记录”。这些记录受国际学校教育根据相关教育权利和 PDPA 的保护。
如果我们认为根据当地法律（包括传票和法院命令）我们有义务这样做，我们可能会将您的个人身份信息发布给第三方；执行我们的使用条款；保护 International Schooling、我们的员工、附属学校的安全、隐私、权利或财产，或/和授权我们采取补救措施或限制我们可能承受的赔偿。
如果所有或大部分 International Schooling 资产被转让或出售给任何其他方，则所有信息，无论是否可以识别个人身份，也可能会转让给收购方。

在新加坡境外转移个人信息

讨论主题和留言板

11 岁以下儿童

儿童的在线隐私和安全是国际学校关注的首要问题。
未经父母事先同意或通知，儿童不得提供个人身份信息，其中包括让父母有机会阻止使用信息和参与活动。国际学校从不寻求 11 岁以下儿童的任何信息。
未经父母事先同意，儿童不得公开发布或以其他方式分发个人身份信息。
如果任何信息因过失、欺骗或欺诈而发布，请立即通过以下方式与我们联系，通知 International Schooling [email protected].
11 岁以下儿童的监护人可以通过向以下地址发送申请来要求审查、编辑或禁止 International Schooling 使用有关儿童的个人身份信息 [email protected].
请注意，如果要求将信息排除在 International Schooling 使用之外，则孩子在 International Schooling 的注册可能无法继续，这也可能会终止他/她对 International Schooling 计划的参与。

其他网站的链接

我们的网站可能包含指向其他网站的链接。 International Schooling 不对此类网站的隐私惯例或内容负责。

选择退出

如何联系我们

如果您对本网站隐私政策或本网站的信息惯例有任何问题、意见或疑虑，请通过以下方式与我们联系：

国际教育

111 Somerset Road, Level 13, TripleOne Somerset,

新加坡 – 238164

电子邮件： [email protected]

电话：+65 3159 3949

安全

国际学校采取稳健的措施来保护用户信息。与安全措施一样有效，没有任何安全系统是完全可靠的；因此，无法保证我们系统或数据库的完全安全。

2.7 使用条款

适用于所有用户

接受条款

通过使用我们的学习管理系统（“LMS”），您（以下简称“用户”或“用户”）同意这些使用条款（“条款”）中指定或引用的所有条款、条件和通知。这些条款适用于您对 LMS 以及由 International Schooling (“IS”) 许可或拥有并通过 LMS 提供或包含在 LMS 中的所有信息、材料、内容、产品、服务和软件（“International Schooling Content”）的使用。 ) 除了由第三方内容提供商许可或拥有的、可通过该第三方许可获得或包含在 LMS 中的任何内容（“第三方内容”）（国际学校内容和第三方内容统称为“内容”）。如果用户是未成年人，则其父母/监护人有责任确保用户遵守条款
第三方上传或以任何其他方式提供的任何第三方内容是第三方或其许可人的专有财产，并且仍然是第三方的专有财产。通过上传或以其他方式提供任何第三方内容，您自动保证和/或授予所有者已授予 International Schooling 永久、唯一且免版税的许可和使用、发布、复制、展示、传输和分发的权利通过您上传第三方内容或授权 International Schooling 上传第三方内容的媒体上传第三方内容。您还授权 LMS 的任何用户访问该媒体，根据您的限制，在此处允许的相同范围内访问、分析、存储和复制第三方内容。对于第三方之间的管理协议的特定条款中规定的范围，第三方内容和 International Schooling 可能会被第三方删除、隐藏、更改或定制，以此处规定的条款和条件为条件LMS 的使用。 International Schooling 有权随时修改这些条款，在 LMS 登录页面上发布重组条款后生效。单击 LMS 登录页面底部的使用条款链接，始终可以获得最新版本。

允许使用

LMS 将用于访问由用户许可或为用户提供帮助的教育计划。 International Schooling 授予用户访问、访问、查看、使用和打印内容的唯一的、不可转让的、有限的许可，专门供用户个人非商业使用，与此类教育计划相对应，前提是用户保留所有版权和其他所有权声明完好无损。禁止将内容或其他材料用于这些条款中未明确允许的任何目的。

用户不应：

以任何方式更改、掩盖或删除内容，除非国际学校书面建议
以任何可能损害、停止、损害或过载任何国际学校服务器或连接到任何国际学校服务器的网络（或多个网络）或干扰任何其他方使用 LMS 的方式使用 LMS
通过密码挖掘、黑客攻击或任何其他方式获得或努力获得对连接到任何 International Schooling 服务器的任何计算机系统、帐户或网络的未经授权的访问
通过并非通过 LMS 特意提供的任何方法获得或试图获得任何信息或材料

严禁以任何方式将 LMS 用于以下目的。在使用 LMS 时，您同意您不会：

发送、接收或展示淫秽、色情、色情材料或任何其他对未成年人有害的材料
冒充任何实体或个人（通过使用他们的密码或任何其他方式），包括国际学校的任何代表或员工
未经所有者许可，复制和/或分发 LMS 中提供的内容（包括 WebMail 消息、留言板上的帖子或学习材料和答案键）
征求或收集有关本网站用户和/或成员的信息，特别是为了传输或促进分发大量或未经请求的电子邮件或其他电子通信
使用学校提供的与调查、计划、竞赛、垃圾邮件、连锁信、垃圾邮件或任何多余或重复的消息（商业或非商业）相关的通信服务
上传包含病毒、蠕虫、取消机器人、定时炸弹、特洛伊木马、损坏文件或其他相关程序或软件的文件，这些程序或软件可能会损坏任何财产或计算机的运行
未经父母确认同意，向任何未满 18 岁的个人索取或收集个人信息（包括姓名、电话号码和地址）
展示攻击性或威胁性材料，包括使用脏话、侮辱性、粗俗、淫秽或令人反感的语言
展示种族主义、有偏见或歧视性的图片或信息
违反任何相关法律
未经他人同意或父母同意，向他人披露任何其他用户或未成年人的个人信息，包括地址、电话号码或相关信息
未经所有者许可，侵犯任何商标、版权、商业秘密、专利或任何其他知识产权法或使用任何其他实体或个人的知识产权 - 这包括共享指向第三方的其他商标或受版权保护的材料的链接，并包含来自第三方的其他商标或受版权保护的材料未经同意在 LMS 中（包括在 WebMail 消息或留言板上张贴）以及未经所有者许可在任何网站或社交媒体上使用任何服务标志、商标或其标志
侵入其他人的文件、文件夹或工作
支持商业活动，除非国际学校书面指定
推广产品或服务或参与政治游说
骚扰、诽谤、虐待、侮辱、威胁、跟踪、攻击或以其他方式侵犯他人的合法权利（如宣传和隐私）或妨碍他人的工作，包括发送不必要的电子邮件或 WebMail 消息

每个用户都将被分配一个用户名和密码（“登录信息”）以访问 LMS 和内容。用户需要对所有登录信息严格保密，登录信息只能由指定的用户使用。用户有责任维护所有登录信息的机密性和安全性，并防止任何未经授权的个人使用任何其他用户的登录信息访问 LMS 和/或内容。用户应对通过其帐户进行的任何活动负责。用户必须立即通知 International Schooling 任何违反安全或未经授权使用其帐户的情况。尽管如此，国际学校的一些员工在征得上司批准并接受特定培训后，可能会被允许以其他人的身份“登录”。

专有权利

用户承认并同意，LMS 中提供的某些信息受不同商标、服务标记、专利、版权、商业秘密或任何其他知识产权和法律的保护，只能在法律允许和授权的情况下使用所有者的。除非国际学校明确授权，否则用户不得出售、出租、许可、复制、修改、分发、转让、编辑、复制、改编、公开展示或发布，或从 LMS 中的内容或功能创建衍生作品或以其他方式使用 LMS 中的内容或功能以任何媒介或形式。用户对其个人使用负全部责任，并确保此类使用不会侵犯国际学校或第三方的权利。除了可能的法律诉讼之外，任何未经许可的使用，包括抄袭或转载国际教育或第三方知识产权，都可能导致以下一种或多种情况：终止使用 LMS 的权利、基于学校的纪律处分和/或开除学校、学习计划或提供的计划。

版权侵权

内容由国际学校或作为内容提供者的第三方拥有或控制，未经国际学校明确书面同意，不得以任何方式复制、传播、复制或定制其内容。如果您对任何人在 LMS 上发布的材料有任何版权问题，请通知我们。您可以通过[email protected]与我们的指定代理人联系，发送书面通知（“通知”）。

为了提供帮助，通知必须包括以下内容：

所有者（物理或电子）或获准代表所有者行事的任何个人（“投诉方”）的签名
据称被侵权的材料的详细信息
足够的信息授权国际学校联系投诉方，例如地址、电话号码和电子邮件地址（如果有）
识别 LMS 上涉嫌侵权的材料（“侵权材料”），以及合理充足的信息以授权 International Schooling 在 LMS 上查找材料
标识涉嫌被侵权的受版权保护的材料（“被侵权的材料”），或者如果单个通知中提到了 LMS 上的多部受版权保护的作品，则提供涉嫌被侵权的每个受版权保护作品的列表（请详细说明哪些侵权材料应该侵犯哪些侵权材料）；
投诉方有理由相信以被投诉的方式使用侵权材料未经法律、版权所有者或其代理人认可的声明
声明通知中提供的信息是正确的，并且投诉方是据称被侵权的材料的所有者或被允许代表所有者行事，并受到伪证处罚

商标

LMS 包含国际学校和第三方的商标和服务标志。这些标志只能根据公共网站上的网站使用条款中包含的“国际学校”商标使用指南使用。如需获得在商标使用指南之外使用 International Schooling 徽标或名称或任何 International Schooling 标志的许可，请联系 [email protected]。严禁使用任何不符合商标使用指南的 International Schooling 标志。

链接

LMS 可能包含为方便用户而提供的其他网站或资源的链接。除非另有说明，否则这些链接网站不受国际学校的控制，国际学校不对第三方链接网站上提供的内容负责。对于可从 LMS 访问、引用或链接到 LMS 的任何第三方网站或第三方资源，International Schooling 不作任何保证、陈述或任何其他承诺。指向某个网站的链接并不意味着 International Schooling 认可该网站上的内容、该网站的所有者或此类网站的使用。此外，即使用户通过 LMS 了解此类第三方（或找到此类第三方的链接），International Schooling 也不了解或负责用户可能与第三方进行的任何交易。因此，用户承认并同意 International Schooling 不对此类外部资源或网站的可用性负责，除非明确约定，并且不对任何内容、产品、服务或其他材料负责。或来自这些资源或网站。

隐私

您同意您对 LMS 的使用也取决于隐私政策，这是这些条款的一部分。

出口管制

International Schooling 在其美国总部控制和运营 LMS，并且不声明内容在其他地方可用或适合在其他地方使用。如果在其他地点使用 LMS，您有责任遵守相关法律。

保修和其他免责声明

International Schooling 决心确保通过 LMS 和在 LMS 中提供的所有信息的准确性，条件是以下限制：

International Schooling 将尽合理努力使信息保持最新，并确保通过 LMS 获得的材料的完整性或准确性。但是，不能保证或承诺通过 LMS 提供的材料是最新的、正确的或完整的，并且可能包含印刷错误或不准确之处
用户接受 International Schooling 不对任何一方使用 LMS 的行为或 LMS 或任何通信服务中显示的任何冒犯性、贬损性、侵权或非法材料负责，并且 International Schooling 保留纠正任何错误或纠正任何错误的权利。自行决定遗漏并从 LMS 中删除任何材料，无需承担任何责任

免责声明

使用 LMS 或任何通信服务的风险由用户自行承担。所有信息、材料、软件、程序、产品和服务均“按原样”提供，不提供任何保证或保证。国际教育在法律允许的最大范围内明确否认所有默示、法定、明示和其他保证、保证或陈述，包括但不限于适用于特定目的、适销性和不侵犯知识产权的保证和所有权。但不限于，国际学校不保证或保证 LMS 的安全、及时、无错误或不间断。用户承认并同意，如果用户下载或以其他方式获取信息、材料、软件、程序、产品或服务，则用户自行承担风险和酌情决定权，并且用户将对可能发生的任何损害承担全部责任，包括用户计算机系统损坏或数据丢失。某些司法管辖区可能不允许排除担保；因此，上述排除将不适用于用户。

责任限制

对于因使用或未能使用 LMS 或任何其他通信服务而导致的任何直接、间接、附带、惩罚性、特殊或后果性损害，国际学校概不负责。无论所声称的责任是基于合同、疏忽、严格责任、侵权或任何其他理由，这一限制都适用，即使国际学校已被告知此类损害的可能性。由于某些司法管辖区不允许排除或限制间接或附带损害，因此此类司法管辖区的国际教育责任可能仅限于法律允许的范围。

释放

用户在此免除并永久免除国际学校、其附属学校、员工、管理人员、董事、承包商、代理人、继任者和受让人（“免责方”）的所有诉因、诉讼、索赔、损害、伤害、费用，或因用户或未成年子女使用 LMS 或任何通信服务而产生或与之相关的任何类型的费用。用户承认，这是在法律允许的最大范围内对用户或用户的未成年子女因使用 LMS 而可能遭受的所有索赔和损害的完整和完全免除，无论其确切原因。

保障

应国际学校的要求，用户同意保护、赔偿并使国际学校及其附属学校、承包商、员工、管理人员、董事、许可方和第三方内容提供商免受所有索赔、责任和费用，包括律师的可能因用户使用或滥用 LMS、内容或其他通信服务而产生的费用。 International Schooling 有权自费对任何依赖于用户赔偿的问题进行独家辩护和控制，在这种情况下，用户将与 International Schooling 合作提出任何可用的抗辩。

可分割性和集成

除用户与国际学校签署的其他协议外，这些条款构成国际学校与用户之间关于使用 LMS 的完整协议。如果这些条款的任何部分被认定为不可执行或无效，则该部分应以符合适用法律的方式解释，以尽可能反映双方的原始目标，其余部分应保持完全有效。

终止使用

如果用户违反了这些条款，用户可能会被禁止在未来使用 LMS 和/或可能会受到法律诉讼。此类终止、暂停和/或删除的理由应包括但不限于：

违反或违反条款或其中包含的其他准则或协议
政府机构或执法部门的要求
USER 的请求（自发起帐户删除）
LMS（或其任何组件）的材料修改或停产
意外的安全或技术问题或问题
长时间不活动，和/或
用户从事非法或欺诈活动。用户帐户的终止可能包括：
- 删除所有 LMS 产品的访问权限
- 删除您的用户帐户、密码和相关信息，例如与帐户（或其任何部分）链接或在其中找到的内容和文件
- 禁止进一步使用 LMS
- 除此之外，您同意所有因故终止将由 Connection 自行决定，并且 International Schooling 不对您或任何第三方对 LMS 或您帐户的访问权的终止负责。

适用于国际学校教育社区的附加条款，包括所有 Nexus 学校、仅 WebMail、留言板和其他通信服务

International Schooling 通过 LMS 向某些用户提供内部电子邮件系统 International Schooling WebMail，作为与提供网络邮件服务的那些教育计划相关的服务。 Webmail 允许此类用户与其他 Webmail 用户联网。 International Schooling 无法保证此类用户在 WebMail 消息中透露的任何信息的安全性，用户自行决定这样做。已发送的 WebMail 消息仅供作者和收件人以及其他授权人员使用，以确保和维护系统完整性，并确保用户按照这些条款的建议合法和负责任地行事。此外，不能保证 WebMail 消息是私密的，它们可能会受到监控。有关或支持淫秽或非法活动或以其他方式违反条款的消息可能会通知有关当局，并可能导致用户特权的丧失、用户各自的教育计划被排除在外和/或采取法律行动。

International Schooling 还在 LMS 中运行学术留言板，以帮助其各自的教育计划提供对留言板的访问权限的用户之间顺利交换信息、想法和意见。这些用户只能将留言板用于结构化活动、俱乐部或其他教育用途，按照学校部门的建议和每个留言板上的说明。留言板所包含的贡献仅代表其各自作者的观点，不代表国际学校的观点。留言板的使用受管理留言板使用的规则的约束，这些规则在用户访问它们时提供（另见下面的链接部分）。

除了 WebMail 系统和留言板之外，International Schooling 可能会时不时地提供聊天区和/或其他通信或消息功能，旨在使用户能够与他人通信（每个都是“通信服务”和共同的“通信服务”）。用户同意仅在同意这些条款的情况下使用通信服务，并按照每个通信服务中的规定发送、接收和发布适当的消息和材料，并在相关时与特定的通信服务相关。

用户可能提供以发布到留言板或任何其他通信服务的任何信息都将被披露并提供给该通信服务的所有用户，因此，不再是私密的。我们无法确保您在公共区域在线共享或披露的此类信息的安全性，您可以自行决定这样做。 International Schooling 不认可或控制任何通信服务中的消息、信息或内容；因此，International Schooling 明确不承担与通信服务有关的任何责任以及因用户参与任何通信服务而导致的任何行为。所有参与者都同意，对此类内容的任何依赖将由如此依赖的个人自行承担风险。

尽管国际学校没有责任这样做，但国际学校保留以下权利：

监督张贴到留言板或任何其他通信服务或通过国际学校网络邮件发送的任何内容
删除任何被 International Schooling 视为具有攻击性或违反这些条款或出于 International Schooling 自行决定认为必要的任何其他原因的任何内容

在任何时候，国际学校保留根据任何适用法律、纪律调查、法律程序、法规或政府要求披露国际学校认为需要的任何信息，或修改、拒绝发布或删除任何信息或材料的权利全部或部分由 International Schooling 自行决定。

2.8 保护信息系统的要求

2.8.1 政策声明

为防止未经授权访问 International Schooling 的数据，必须根据一套标准和原则保护信息系统。

2.8.2 政策目的

必须实施某些安全措施以防止或减轻安全漏洞或攻击的风险。在此政策中，International Schooling 为安全配置驻留在 International Schooling 网络上的信息系统设定了标准，以确保在所有信息系统中使用经过强化和测试的安全配置。

2.8.3 原则

International Schooling 的信息系统是包含、存储或提供对 International Schooling 数据的访问的服务器或应用程序。国际学校确保其信息系统的安全和加固。安全配置将根据初始系统风险评估实施，以达到 IT 主管的适当安全级别。

服务器的定期更新 – 除非另有说明，所有服务器都必须安装与用于在生产中运行学习平台的技术的兼容版本。除非 IT 部门发布了特定的例外情况，否则不得使用过时的软件。必须使用新的安全补丁定期修补服务器。在系统得到充分保护之前，在实施新系统期间（在迁移到新服务器的情况下）不得将系统置于公共网络上。在部署到生产系统之前，所有补丁都必须经过测试，因为未经测试部署的补丁可能会导致系统无法访问或系统数据无法恢复。
服务器的加固和配置 – 系统管理员负责以安全的方式配置服务器操作系统。为了最大限度地减少系统上可能出现的威胁和潜在漏洞或风险的数量，所有信息系统都必须配置为向系统提供尽可能少的功能。除了已经建立的系统强化控制之外，还必须实施额外的保护措施。在适用的情况下，为或面向用户的应用程序使用 Web 应用程序防火墙。
应用程序日志的存储 – 收集详细应用程序日志的能力对于故障排除以及系统和软件支持至关重要。可能需要为事件响应计划或其他诊断和故障排除目的检索日志。
服务器和数据库备份程序 – 必须根据系统的机密级别和执行备份的资源可用性来备份信息系统。备份必须按照现有备份策略存在。机密系统的备份应存储在安全的外部位置。
安全编码和开发实践 – 所有开发人员都接受过在编写和审查代码时识别和分析安全问题的培训。对代码库的每次更改都会进行代码审查，以检测和纠正任何错误、安全缺陷和任何其他代码缺陷。在代码被批准并提交到代码库之前，必须审查对代码的更改。
维护测试服务器 – 为了限制更新和其他系统更改的影响，必须为面向用户的系统维护一个测试服务器。测试服务器必须具有与生产服务器相同的硬件和软件配置。部署到生产环境后，必须在测试服务器上检查所有配置更新、修复和其他升级。

2.9 密码政策

2.9.1 政策声明

所有学生、教师、家长、工作人员和任何其他有权访问 International Schooling 数据的个人都有责任保护其帐户的用户名和密码，并且必须遵守本政策中的密码指南。密码必须符合策略中设置的复杂性规则，并且不得以任何不遵守此策略的方式与他人共享或访问。

2.9.2 政策目的

为用户分配需要密码保护的个人帐户是用于限制访问 International Schooling 数据的关键方法之一。如果帐户被盗用，未经授权的个人可能会无意或恶意地访问信息系统。拥有这些帐户的个人有责任防止未经授权访问其帐户，并确保密码保密且难以破解。

2.9.3 原则

账户持有人的责任 – 账户持有人有责任保证其密码的安全和保密。国际学校允许学生和教师在平台上注册，用户可以在其中决定他们的凭据（电子邮件和密码）并自行注册。使用的电子邮件是学生和教师的唯一标识符。

初始密码必须在发布后立即更改。
不得以任何理由与其他用户共享 International Schooling 帐户的密码。
International Schooling 的教师、学生、家长和工作人员不得向他人索要密码。如果其他人要求您提供密码，您必须向 IT 部门报告。绝不能写下国际学校密码并将其留在易于访问或以其他方式可见的位置。
帐户持有人不得让自己登录到其他人可以有意或无意地使用其帐户的应用程序或系统。
要在忘记凭据的情况下恢复您的帐户，用户可以按照学习平台上提供的步骤联系管理员或恢复其密码。
如果发生硬件故障，需要第三方供应商维修的设备中的数据将备份在安全的外部存储中。在将设备移交给外部技术人员之前，将对其进行擦拭。 IT 部门负责创建安全备份并从设备中擦除数据。不得与外部技术人员共享密码。
建议密码满足本政策中提到的复杂性要求。
密码必须定期更改

系统处理密码的职责 – 所有 International Schooling 信息系统，包括由 International Schooling 托管或为 International Schooling 托管的服务器、应用程序、数据库和网站，必须设计为接受用户名和密码，并以适当的安全方式传输它们。

登录任何信息系统或国际学校学习平台时输入密码不得显示。
密码绝不能以可读格式存储在信息系统中。所有密码在存储在国际学校信息系统中时都必须加密。
存储或提供数据访问或远程访问内部网络的系统应通过多因素身份验证进行保护。
只有经过授权的个人才能被授予访问加密密码哈希的权限。

密码建议

将包含至少五 (5) 个字符
不是基于其他人可能会使用与个人相关的详细信息（例如姓名、地址、电子邮件、电话号码、出生日期等）猜测的内容
由以下每种类型的一个或多个字符组成：
- 大写英文字母 (AZ),
- 小写英文字母 (az)
- 数字 (0-9)
- 不同的字符（` ~ ! @ # $ % ^ & * ( ) + – = { } | \ : ” ; ' < > ? , . / , space)

密码重置选项 – 通过使用学习平台上的忘记密码机制，用户可以重置忘记密码的首选和最快方法。或者，用户可以联系帮助台寻求指导。

帐户锁定 – International Schooling 实施了一项锁定政策，以防止尝试猜测密码或盗用帐户。账户锁定标准如下.x

在十五 (15) 分钟内尝试五 (5) 次无效密码后，该帐户将被锁定。
必须联系 International Schooling 的 IT 服务台以尽快解锁帐户。在解锁帐户之前，必须验证用户的身份。
访问用户帐户时 IP 的任何突然更改都将锁定帐户，并且只能由 IT 帮助台恢复。

2.10 访问管理政策

2.10.1 政策声明

国际学校雇佣了几名员工来处理日常运营。国际学校社区的所有成员都应遵守这些标准，以便在个人在国际学校的整个任期内提供、修改和终止其访问权限

2.10.2 政策目的

本政策确立了支持国际学校信息资产的安全和管理以及数据隐私的原则和规定。

2.10.3 原则

访问层次结构 – International Schooling 使用多重批准系统来授予员工访问权限。每个部门由一个部门负责人组成，负责批准所有访问请求。根据访问请求，一些低级请求可能会被直接主管批准。每个访问请求都必须通过电子邮件传达给直接主管和部门负责人。员工必须包括对系统访问级别的详细说明，并指定员工要访问的部件、功能和特性。对系统的访问分为3个级别： 高、中、低

高水平 访问包括但不限于数据库访问、生产服务器访问、学生记录、教师记录、财务记录、机密数据等。高级访问权限授予部门负责人、经理等。
缓和——等级访问权限包括但不限于应用程序代码访问权限、测试服务器访问权限、停用未使用的帐户、访问营销相关功能、受限数据等。中等级别的访问权限授予项目负责人、高管、开发人员、质量分析师、设计师、等等。
低级访问权限包括在国际学校平台上创建帐户，访问公共数据、博客、视频等。低级访问权限授予视频博主、平面设计师等。

所有员工都被分配了官方账号，以共享与国际学校有关的数据和资源。
终止时更改帐户凭据 – 如果个人已知帐户密码（服务器凭据、数据库凭据等）或保持活动状态的信息，则必须在个人终止时更改这些密码。终止后，员工的官方账号将被停用。
电子设备 – 分配给被终止个人或由其使用的信息系统必须进行清点和保留。信息系统包括笔记本电脑、台式机、智能手机、服务器、外部或便携式硬盘、电子邮件等。
当用户被终止或不再有合法理由访问系统时，必须立即禁用或删除访问权限。
IT 主管、帮助台或授权人员将在发布新密码之前对用户的身份进行验证。
为了检测休眠帐户和具有过多权限的帐户，必须至少每年审查现有用户帐户和访问权限。超特权账户的例子包括：

不再为机构工作的员工帐户。
具有用户功能和职责不需要的访问权限的活动帐户。例如，不应该允许没有权限或责任授权费用的用户访问具有审批权限的财务系统。
授予非管理员用户的系统管理权限或权限（包括更改系统安全设置的权限）。
未知的活动帐户

2.11 诚信政策

2.11.1 政策声明

根据国际学校数据分类政策，所有创建、接收、存储或传输数据的信息系统都必须遵守本文件的原则。

2.11.2 政策目的

该政策涉及保护信息系统数据的最佳实践。

2.11.3 原则

创建、接收、存储或传输数据的信息系统或应用程序必须毫无例外地遵守以下内容：

禁用不必要的服务- 所有信息系统（应用服务器等）都必须禁用实现系统业务目的不需要的服务。所需资源的示例包括 SMTP、Web 服务等.

恶意软件保护—— 所有信息系统必须包括但不限于个人防火墙软件和自动安全补丁安装。用户应做出合理的努力，以使用最新的安全补丁和防病毒软件来更新系统。所有用户均可通过 IT 部门获取防病毒软件.

补丁管理- 信息系统经理和管理员有责任确定要部署哪些补丁（例如应用程序补丁）。在 IT 部门推荐补丁的情况下，信息系统经理和管理员必须及时部署该补丁。

入侵检测和漏洞扫描– 入侵检测和防御技术必须跟踪有助于收集、存储或传输数据以进行入侵和破坏的网络。必须根据国际学校事件响应政策记录、登记和报告入侵事件。必须扫描信息系统的漏洞。

服务器安全 – 信息系统上的服务器管理功能只能由获得授权的人员（例如服务器管理员）执行。

2.12 认证和授权策略

2.12.1 政策声明

根据国际学校数据分类政策，所有创建、接收、存储或传输数据的信息系统必须遵守本文件的认证和授权原则。

2.12.2 政策目的

本政策提出了最佳实践，以确保对在国际教育网络上创建、接收、存储、传输的数据进行适当的身份验证和授权

2.12.2 原则

确保适当访问信息系统的程序必须包括：

授权方法（例如使用学习平台凭证、官方国际学校账户），包括授权管理访问的方式和类型。
身份验证方法（例如需要密码），包括身份验证的方式和类型
记录每位员工对信息系统的访问权限
经理和管理员应仅向员工提供有限的访问权限。它必须基于需要在系统上执行的功能。

2.13 管理政策

2.13.1 政策声明

根据国际学校数据分类政策，所有创建、接收、存储或传输数据的信息系统都必须遵守本文件的管理安全原则。

2.13.2 政策目的

本政策涉及最佳实践，以确保在 International Schooling 网络上创建、接收、存储和传输的数据的适当管理安全。

2.13.3 原则

风险管理 – 国际教育通过识别、评估、控制和减轻可能对我们控制的信息和数据系统构成威胁的弱点来管理网络威胁。除了联邦和州政策和法规的变化之外，我们不断执行我们定义的风险管理流程，偶尔评估风险并实施与我们信息系统变化相对应的控制措施。

对新系统和/或在加入网络之前经历了重大变化的系统进行风险评估，并采取适当措施来处理与如此识别的漏洞相关的风险。
每年都会对活跃的信息系统进行风险评估，并采取适当的措施来解决相关风险和已识别的弱点。
来自学习平台和其他第三方来源的威胁或漏洞通知会针对与任何国际学校信息系统连接的所有应用程序和系统进行评估和监控。
必要时，从 IT 主管那里获得国际学校信息系统的安全授权，以应对经评估并确定为可容忍的安全风险。

安全意识和培训 – 国际学校在员工入职时为员工提供安全意识培训。国际学校的安全意识培训包括与学习平台功能相关的指导。让员工了解 International Schooling 的安全和其他政策，并了解常见的威胁或攻击（例如网络钓鱼）。

安全审计 – 国际学校确保每年对国际学校信息资源和系统进行内部安全审计。这

安全审计的目的是验证是否符合国际学校教育 IT 安全政策和程序中规定的标准和程序，并确保特定信息系统具有足够和适当的控制措施来保护国际学校资产，保持数据可靠性，并有效且有能力地运作以达到国际学校教育的目标。

应急计划 - 学习平台的 IT 主管负责创建、实施和测试（至少每年一次）系统的灾难恢复计划。所有计划都必须解决并记录以下内容：

数据关键性分析，考虑相对于学校使命的重要性、系统上数据的敏感性以及系统上的数据量。
数据备份政策和程序。
用于恢复操作容量或数据的恢复程序。
紧急计划，详细说明在紧急模式下运行时维护业务运营和保护数据的过程。

2.14 例外

对国际学校 IT 安全政策和程序的任何例外请求：

必须提交给 IT 主管。
未经书面批准，不接受例外请求。
任何例外请求都将视具体情况而定。
经批准的例外情况可能会根据需要每年进行审查和撤销。

2.15 IS 安全系统架构

国际学校建立并运营了一个强大的信息安全计划，其中包括实施预防和检测安全机制，包括：

International Schooling 在 AWS（亚马逊网络服务）基础设施上托管所有面向用户的 Web 应用程序。 AWS 基础设施高度稳定、容错且安全。为了保护全球 AWS 数据中心的安全，AWS 引入了物理安全和环境保护措施。 International Schooling 的所有服务器（生产服务器、测试服务器）都托管在 AWS 上。
国际学校为避免可能发生的安全攻击而采取的应用、网络、数据安全措施包括但不限于：

使用 Web 应用程序防火墙 – 使用 Web 应用程序防火墙将应用程序潜在威胁的风险降至最低。 Web 应用程序防火墙通过过滤和监控 Web 应用程序和 Internet 之间的 HTTP 流量来帮助保护 Web 应用程序。通常，它保护 Web 应用程序免受跨站点伪造、跨站点脚本 (XSS)、文件包含和暴力攻击、SQL 注入等威胁。

分布式拒绝服务攻击缓解-分布式拒绝服务攻击 (DDoS) 是故意破坏目标服务器、系统或网络的正常流量，通过互联网流量激增淹没目标或相关网络。 DDoS 攻击通过使用各种受感染的计算机系统作为流量攻击源来获得有效性。使用 Web 应用程序防火墙 (WAF) 可以帮助缓解 DDoS 攻击。通过在 Internet 和 International Schooling 站点之间放置 Web 应用程序防火墙，防火墙将充当反向代理，从而保护 International Schooling 服务器免受恶意流量的攻击。
域名系统 – 所有 International Schooling 的 IP 地址都通过使用 DNS 得到保护。用户只能通过域名访问学习平台。这些 IP 地址会不时更改，以避免对应用程序的攻击。
负载均衡 – 负载平衡在两个或更多服务器之间分配流量。即使在请求被原始服务器淹没并停止之前，该服务器的大量流量仍然会导致严重的延迟问题。负载平衡系统可以将流量分布到多个位置，确保没有一个位置处理过多会导致延迟的请求。

SSL/TLS 加密和 CDN – International Schooling 使用安全套接字层来确保所有用户和服务器请求和响应都以 256 位格式加密。传输层安全 (TLS) 是一种通过 Internet 发送的数据加密协议。内容分发网络 (CDN) 是指地理上分散的一组服务器，它们协同工作以提供快速的 Internet 内容。 CDN 支持快速传输 Internet 内容加载所需的资产，包括 HTML 页面、javascript 文件、样式表、图像和视频。此外，正确配置的 CDN 可以帮助保护网站免受一些常见的恶意攻击，例如分布式拒绝服务 (DDOS)。 CDN 可以承受和减轻大量传入的攻击流量，这些流量通过拥有足够的数据中心位置和可观的带宽能力很容易压倒国际学校服务器。

- 文件上传下载安全 – 用户上传的文件以唯一名称存储在 Amazon S3 存储桶中。为了防止会话劫持用户上传的文件并保持系统的完整性，International Schooling 会阻止用户访问不在活动会话中且没有访问文档的适当授权的文档。
- 访问和身份验证 – 只有 IT 主管、系统管理员和数据库管理员可以访问生产服务器和数据库。访问这些服务器必须得到 IT 主管的批准。
- 服务器和数据库备份 – 所有生产数据库每天备份两次，一个在本地服务器上，两个在远程位置上。服务器每 15 天手动备份一次。
- 事件通知 – 所有技术问题和事件均由非学术人员报告给 IT 主管。除此之外，如果发生任何技术事故，还会向 IT 主管发送包含应用程序日志的电子邮件通知。所有事件都使用问题跟踪工具进行跟踪。
1. 编码和测试实践 – International Schooling 代码库通过代码版本控制软件进行管理。根据需要由 IT 人员执行的冲刺来授予对代码存储库的访问权限。对存储库的所有访问权限仅授予 IT 主管和产品经理，并且只有在 IT 主管批准后，IT 员工才能访问。国际学校新功能的问题跟踪和实施通过问题跟踪工具进行管理。新功能的测试在测试服务器上进行，只有在 IT 主管批准后才能在生产中发布。

2.16 国际学校灾难恢复计划

本节介绍 International Schooling 为从影响其生产运营的灾难中恢复而制定的计划和程序。我们描述了如何从灾难场景中恢复、宣布灾难时要采取的步骤、有关灾难期间人员通知的政策。

2.16.1 灾害的定义

灾难被描述为可能对国际教育服务产生长期不利影响的任何破坏性事件。一般来说，在国际学校，可能发生的灾难必须得到最高优先级处理：

自然灾害- 龙卷风、地震、飓风等。
人造-病毒和黑客攻击、网络钓鱼诈骗、SQL 注入、暴力攻击、恶意软件等.

2.16.2 灾害通知

在发生灾难时，如果生产服务器关闭或受到攻击，AWS 会向 IT 主管发送一封电子邮件，该电子邮件将通知 IT 主管有关攻击的信息。

IT 负责人有责任将攻击通知国际学校的所有关键人员（所有部门负责人），其中包括事件描述、对服务的影响以及对数据的任何潜在影响。
恢复完成且服务可用后，通知将包括有关恢复步骤的一般信息以及可能受到影响的任何数据。

2.16.3 恢复步骤

与进行康复所需的个人建立联系。如果发生攻击，必须联系 IT 主管、系统管理员和数据库管理员。
确定从灾难中完全恢复所需的步骤。必须采取以下步骤进行系统恢复：
- 分析恢复时间 - 服务器应在攻击发生后的一个工作日内恢复。
- 备用服务器的配置 – 在有效备用服务器上进行配置，该服务器将充当国际学校的备用操作服务器。操作平台所需的功能应该在备用服务器上可用。
- 应用程序和数据库的恢复——应用程序软件和数据的当前备份必须在远程位置可用。应用程序和数据库必须在备用服务器上恢复。
执行恢复步骤
验证恢复是否完成
将有关恢复应用程序和可能受到影响的任何数据的步骤的一般信息通知所有关键部门负责人。