综合资讯科技服务
数据安全与分类
按此下载:
政策:
范围:
政策原因:
定义:
保密: 必须防止未经授权生成的信息, 访问, 修改, 信息披露, 传输, 或者是由于所有权造成的破坏, 道德, 或者隐私方面的考虑. 这种分类还包括利记sbo需要保密的数据, 要么通过法律(e).g.(FERPA)或与第三方(如供应商)签订保密协议. 这些信息应受到保护,防止未经授权的披露或修改. 机密数据只应在商业目的需要时使用,并且在使用和存储或运输时都应受到保护. 在访问此数据时必须实现多因素身份验证.
机密资料的例子包括:
责任:
执行:
资源/问题:
利记sbo创建, 商店, 并维护对利记sbo和外部实体的绩效至关重要的数据. 大学社区的所有成员都有责任保护利记sbo的数据免受未经授权的数据生成, 访问, 修改, 信息披露, 传输, 或破坏.
所有合资格的大学雇员均可获准为合法的大学目的而查阅院校资料. 内部访问授权, 保密, 敏感的机构数据必须由适当的部门提供, 部门, 或学校. 它必须附有请求者的主管和/或数据管理人员的确认或授权.
访问内部, 保密, 敏感的机构数据已被授权, 该等资料的使用须限于准许查阅该等资料的目的.
范围:
此策略适用于所有已创建的数据, 收集, 购买, 租来的, 存储, 或由利记sbo处理. 此政策适用于员工, 学生, 退休人员, 校友, 志愿者, 供应商, 第三方, 以及所有其他的创造者, 修改, 传输, 并存储利记sbo的数据, 包括, 但不限于, 学术合作伙伴和辅助人员.
政策原因:
必须保护机构数据不受未经授权的修改, 破坏, 或披露. 本政策的目的是概述大学社区内的角色和责任,以创建和维护保护数据免受个人威胁的环境, 专业, 和机构利益,并根据适用法律建立全面的数据安全计划. This 政策 is also designed to document 过程es for ensuring the security of 保密 information; develop administrative, 技术, and physical safeguards to protect against unauthorized 访问 or use of this information; provide guidelines and support for all Utica faculty, 工作人员, 学生, 校友, 辅助员工, 临时员工, 第三方, 志愿者, and entities that have been granted an approved set of 访问 credentials; and establish the level of security that must be implemented to protect that data regardless of format (such as recorded, 电子, 纸张和其他物理格式)和形式(口语), 文本图形, 视频).
定义:
云: 外部存储,数据由第三方在线存储和托管. 示例包括Box.com、Engage、Google Drive、Microsoft OneDrive等.
数据管理器:负责确定谁有权访问数据管理人员职能范围内的信息资产的人员.
公共可以或必须向公众公开的信息. 但须遵守披露规则, 所有个人都可以获得公共数据,无论他们是否与利记sbo有联系.
公共数据的例子包括:
- 公开发布的信息(网站、广告、其他)
- 新闻稿
- 体育成绩
- 课程列表/描述
- 联邦政府要求提供的汇总学生数据. 这类数据的例子包括毕业率和辍学率、平均标准化考试成绩.
内部未被宣布为机密或限制性信息,但无意公开分享的信息. 未经创建数据的个人或组的许可,不得在大学社区外共享内部数据. 任何没有明确为公开发布而创建的信息都应被视为内部信息,除非另有更严格的分类.
内部数据的例子包括:
内部数据的例子包括:
- 部门会议记录(除非公开张贴)
- 内部通信(电子邮件、即时消息)
- 联系人列表
- 说明书或程序文件不打算供公众查阅
- 变焦录音
保密: 必须防止未经授权生成的信息, 访问, 修改, 信息披露, 传输, 或者是由于所有权造成的破坏, 道德, 或者隐私方面的考虑. 这种分类还包括利记sbo需要保密的数据, 要么通过法律(e).g.(FERPA)或与第三方(如供应商)签订保密协议. 这些信息应受到保护,防止未经授权的披露或修改. 机密数据只应在商业目的需要时使用,并且在使用和存储或运输时都应受到保护. 在访问此数据时必须实现多因素身份验证.
机密资料的例子包括:
- 学习成绩
- 健康记录
- 社会安全号码
- 加密的系统密码
- 学生和/或财务信息
- 法律保密信息.
- 受保密协议约束的信息.
适用法律法规的例子包括:
- 受保护的健康信息由健康保险可移植性和
- 责任法案(HIPAA)
- 《利记sbo》规定之学生教育记录
- (FERPA)根据Gramm Leach Bliley法案(GLBA)定义的学生财务记录
- 一般资料保护规例(GDPR)
限制使用高度机密的信息,可能包含研究, 执法, 政府, 或者其他数据. 只有那些直接参与这些过程的人才有机会获得这些信息.
- 支付卡行业数据安全标准(PCI-DSS)涵盖的金融账号, 谁控制信用卡信息如何被接受, 使用, 和存储.
- 受控的非机密信息需要符合NIST 800.171
- U控制数据.S. 出口管制法,如《利记sbo》或《利记sbo》. ITAR和EAR有额外的要求. 有关详细信息,请参阅出口管制网站.
- U.S. 政府机密数据
- 个人可识别的健康信息,不受HIPAA的约束,但用于研究, 比如人类受试者的数据.
- 用于验证或授权个人使用电子资源的未加密数据, 比如密码, 键, 以及其他电子代币.
- “犯罪背景资料”,可能作为申请表或背景调查的一部分收集.
多因素身份验证(MFA)是一种认证方法,需要用户提供两个或两个以上的验证因素才能访问资源.
擦/清洁:使物理设备(如硬盘驱动器)上的所有信息不可读的进程.
访问凭证:任意用户名, 身份证号码, 密码, 许可证或安全密钥, 安全令牌, 销, 或者其他安全码, 方法, 技术, 或者使用的设备, 单独或联合使用, 验证个人的身份和访问和使用服务的授权.
域控制的领域或知识的范围.
大学自有设备:由利记sbo管理和维护的任何利记sbo设备或系统.
擦/清洁:使物理设备(如硬盘驱动器)上的所有信息不可读的进程.
访问凭证:任意用户名, 身份证号码, 密码, 许可证或安全密钥, 安全令牌, 销, 或者其他安全码, 方法, 技术, 或者使用的设备, 单独或联合使用, 验证个人的身份和访问和使用服务的授权.
域控制的领域或知识的范围.
大学自有设备:由利记sbo管理和维护的任何利记sbo设备或系统.
- 笔记本电脑, 台式电脑, 或由利记sbo购买和维护的其他终端设备(应带有ITS标签)
- Utica大学远程桌面服务器
- Utica大学Engage/Canvas LMS系统
- 利记sbo的谷歌硬盘和Gmail
用户
用户应尊重他们访问的个人记录的保密性和隐私, 遵守适用于他们访问的信息的道德限制, 并遵守有关访问的适用法律和政策, 使用, 或者披露信息.
用户应尊重他们访问的个人记录的保密性和隐私, 遵守适用于他们访问的信息的道德限制, 并遵守有关访问的适用法律和政策, 使用, 或者披露信息.
数据管理员
数据管理人员决定谁有权访问数据管理人员职能范围内的信息资产. 数据管理人员可能决定单独审查和授权每个访问请求,或者定义一组规则,根据业务功能确定谁有资格访问, 支持的作用, 等. 访问权限的授予必须基于最小特权原则——只允许请求者访问他们完成工作所需的数据——以及职责分离. 这些规则必须简明扼要地记录下来. 数据管理人员还负责审查每年两次授予访问权限的人员,以确保准确性.
分歧, 部门, 学校必须确保所有关于收集和使用机构数据的决定都符合相关法律/法规和大学政策和程序. 分歧, 部门, 学校必须确保采用适当的安全措施来保护机构数据.
数据管理人员负责监督对其域下机密信息的访问. 数据管理器:
数据管理人员决定谁有权访问数据管理人员职能范围内的信息资产. 数据管理人员可能决定单独审查和授权每个访问请求,或者定义一组规则,根据业务功能确定谁有资格访问, 支持的作用, 等. 访问权限的授予必须基于最小特权原则——只允许请求者访问他们完成工作所需的数据——以及职责分离. 这些规则必须简明扼要地记录下来. 数据管理人员还负责审查每年两次授予访问权限的人员,以确保准确性.
分歧, 部门, 学校必须确保所有关于收集和使用机构数据的决定都符合相关法律/法规和大学政策和程序. 分歧, 部门, 学校必须确保采用适当的安全措施来保护机构数据.
数据管理人员负责监督对其域下机密信息的访问. 数据管理器:
- 方法批准所有访问请求 IITS票务数据库.
- 审查,半年一次,访问存储在利记sbo服务器,谷歌驱动器,盒子上的数据.com、微软OneDrive以及其他托管利记sbo数据的服务.
- 确保所有程序的执行.
- 向信息安全官报告潜在和已确认的未经授权访问事件.
保护数据
利记sbo使用各种媒体和供应商来创建、修改、传输和存储数据. Utica大学的数据管理员根据要分类的信息类型确定适当的数据分类. 内部, 保密, 由于联邦政府的隐私保护规定,限制使用的数据可能会受到额外的限制, 状态, 或者当地的法规和法律. 分配给数据的分类级别将指导数据管理人员和其他可能收集数据的人员, 过程, 或者存储数据.
应该根据最安全的分类级别对聚合数据进行分类. 如任何文件被视为机密文件. 非机密数据应被认为是机密的,只应适当地共享.
利记sbo使用各种媒体和供应商来创建、修改、传输和存储数据. Utica大学的数据管理员根据要分类的信息类型确定适当的数据分类. 内部, 保密, 由于联邦政府的隐私保护规定,限制使用的数据可能会受到额外的限制, 状态, 或者当地的法规和法律. 分配给数据的分类级别将指导数据管理人员和其他可能收集数据的人员, 过程, 或者存储数据.
应该根据最安全的分类级别对聚合数据进行分类. 如任何文件被视为机密文件. 非机密数据应被认为是机密的,只应适当地共享.
公共数据: 公共数据必须从创建到销毁进行控制,并适用于利记sbo已批准向公众发布的信息. 访问通常是可用的,可能保存在未解锁的存储设备或公开的网站上. 当数据不再每天使用时,应将其归档或处理. 记录保存和销毁指南见 记录保留 政策.
内部数据:内部数据从创建到销毁都必须受到控制, 只有受雇于利记sbo或隶属于利记sbo的人才能进入.
电子和硬拷贝必须按照 记录保留 政策和必须是:
- 以安全保护数据的方式存储.
- 不得以硬拷贝或电子格式张贴于任何公共场所.
- 摧毁了安全.
- 硬拷贝必须粉碎或使用另一种过程,使数据无法识别或重建.
- 电子存储在处理前必须进行适当的消毒. 参见大学的 记录保留 数据销毁程序的政策.
机密数据机密资料从产生到销毁都必须加以控制. 只有受雇于利记sbo或隶属于利记sbo的员工或法律允许的个人才有权访问机密数据. 电子和硬拷贝必须按照 记录保留 政策和必须
- 以安全保护数据的方式存储.
- 只向需要获取信息的人披露, 使用数据管理器授予的权限.
- 存储在锁定或密码保护的环境中.
- 密码必须符合 大学的电脑密码政策;
- 不得以硬拷贝或电子格式张贴于任何公共场所.
- 受多因素身份验证保护.
- 只能创建,下载,或从或转移到大学拥有的设备
- 以安全的方式销毁.
- 硬拷贝必须粉碎或使用另一种过程,使数据无法识别或重建.
- 电子存储在处理前必须进行适当的消毒. 参见大学的 记录保留 数据销毁程序的政策.
限制使用数据: 限制使用数据必须从创建到销毁进行控制. 只有那些与利记sbo有关联的人,他们需要这样的访问权限来执行他们的工作,或者法律允许的个人才能访问. 敏感数据必须满足机密数据的所有要求. 另外, 它还可能需要额外的保护措施,例如与其他电子或硬拷贝资源分割,以防止未经授权的人在不需要知道的情况下进行访问.
云: 利记sbo建议用户在使用不安全的云服务提供商存储信息时要谨慎. 在将数据存储在非利记sbo服务器上或与大学没有谈判合同的第三方之前, 用户考虑以下几点:
- 谁拥有一经发布的数据
- 隐私法规(如FERPA, HIPAA等).)
- 个人、非公开信息的安全,如ssn、信用卡信息等.
- 数据的知识产权对用户和用户所在部门的利记sbo
- 拨款对安全和知识产权的要求, 人类受试者隐私条例, 保密协议.
- 信息的批判性
如果使用了云提供商或服务, 在使用提供商或服务之前,提供商合同和服务条款必须涉及数据安全程序. 由于许多普通用户云提供商没有解决这些问题, 用户应联络资讯保安主任,以完成资料保安评估.
负责基础设施的副总裁 & 首席信息官, 资讯保安主任, 负责法律事务的副总裁和总法律顾问将确定现有的保护措施和合同语言是否足以保护所考虑的信息.
机密或限制性使用数据都不能放在个人设备或云服务提供商上,以保护Utica大学的信息.
禁止通过未加密的电子邮件发送受隐私规则和条例(如上所述)保护的信息. 机密和敏感数据不得使用未加密的电子邮件发送. 同样的, 无论是机密数据还是敏感数据都不应存储在网络服务器上,否则可能会被谷歌或必应等公共搜索引擎无意中访问或编入索引. 联系信息安全官,他可以帮助确定特定用途的安全选项.
大学自有和个人设备安全
员工对其移动设备的物理安全负责。, 只要有可能,设备就应该放在管理者的身边. 根据 数据泄露通知政策, 大学员工必须报告机构数据有被未经授权修改风险的情况, 信息披露, 或向信息安全官提交销毁文件. 这包括存储在利记sbo拥有和不拥有的设备中的数据,以及任何格式的数据, 包括但不限于硬拷贝, 桌面, 移动PC, 文件服务器, 云, 平板电脑, 移动设备, USB驱动器, CD / DVD, 等.
如果包含Utica大学数据或用于访问Utica大学数据的大学拥有的设备或个人设备丢失或被盗, 使用者必须立即通知校园安全及综合资讯科技服务办公室. 防止数据丢失或被盗, 强烈建议用户使用密码, 针, 锁模式, 或者在存储Utica信息的设备上安装指纹锁.
IITS管理大学拥有的设备. IITS已经实施并维护了远程擦除和锁定丢失或被盗的大学拥有的设备的功能. 建议只使用Utica大学设备完成所有与大学相关的任务,不要创建, 下载, 或者将利记sbo的数据转移到个人设备上. 在访问机密或限制性使用数据时,只能使用Utica大学设备,用户不得创建, 下载, 或将机密或限制性使用数据转移到个人设备上.
负责基础设施的副总裁 & 首席信息官, 资讯保安主任, 负责法律事务的副总裁和总法律顾问将确定现有的保护措施和合同语言是否足以保护所考虑的信息.
机密或限制性使用数据都不能放在个人设备或云服务提供商上,以保护Utica大学的信息.
禁止通过未加密的电子邮件发送受隐私规则和条例(如上所述)保护的信息. 机密和敏感数据不得使用未加密的电子邮件发送. 同样的, 无论是机密数据还是敏感数据都不应存储在网络服务器上,否则可能会被谷歌或必应等公共搜索引擎无意中访问或编入索引. 联系信息安全官,他可以帮助确定特定用途的安全选项.
大学自有和个人设备安全
员工对其移动设备的物理安全负责。, 只要有可能,设备就应该放在管理者的身边. 根据 数据泄露通知政策, 大学员工必须报告机构数据有被未经授权修改风险的情况, 信息披露, 或向信息安全官提交销毁文件. 这包括存储在利记sbo拥有和不拥有的设备中的数据,以及任何格式的数据, 包括但不限于硬拷贝, 桌面, 移动PC, 文件服务器, 云, 平板电脑, 移动设备, USB驱动器, CD / DVD, 等.
如果包含Utica大学数据或用于访问Utica大学数据的大学拥有的设备或个人设备丢失或被盗, 使用者必须立即通知校园安全及综合资讯科技服务办公室. 防止数据丢失或被盗, 强烈建议用户使用密码, 针, 锁模式, 或者在存储Utica信息的设备上安装指纹锁.
IITS管理大学拥有的设备. IITS已经实施并维护了远程擦除和锁定丢失或被盗的大学拥有的设备的功能. 建议只使用Utica大学设备完成所有与大学相关的任务,不要创建, 下载, 或者将利记sbo的数据转移到个人设备上. 在访问机密或限制性使用数据时,只能使用Utica大学设备,用户不得创建, 下载, 或将机密或限制性使用数据转移到个人设备上.
责任:
负责基础设施的副总裁 & 首席信息官和信息安全官全面负责评估数据安全风险,并协助用户减轻此类威胁.
法律事务副总裁和法律总顾问将与信息安全官合作,确定服务提供商是否有足够的保护措施来处理数据安全程序.
用户有责任保护其访问记录的个人的机密性和隐私, 遵守适用于他们访问的信息的道德限制, 并遵守有关访问的政策, 使用, 或者披露信息.
数据管理人员负责确定谁有权访问数据管理人员职能领域内的信息资产,并审查谁每年被授予两次访问权限,以确保准确性.
分歧, 部门, 学校有责任确保所有关于收集和使用机构数据的决定遵循相关法律/法规以及大学的政策和程序. 分歧, 部门, 学校也有责任确保适当的安全措施, 符合本政策的数据处理要求, 是否用于保护机构数据.
法律事务副总裁和法律总顾问将与信息安全官合作,确定服务提供商是否有足够的保护措施来处理数据安全程序.
用户有责任保护其访问记录的个人的机密性和隐私, 遵守适用于他们访问的信息的道德限制, 并遵守有关访问的政策, 使用, 或者披露信息.
数据管理人员负责确定谁有权访问数据管理人员职能领域内的信息资产,并审查谁每年被授予两次访问权限,以确保准确性.
分歧, 部门, 学校有责任确保所有关于收集和使用机构数据的决定遵循相关法律/法规以及大学的政策和程序. 分歧, 部门, 学校也有责任确保适当的安全措施, 符合本政策的数据处理要求, 是否用于保护机构数据.
执行:
执行Utica大学的政策是每个政策的“资源/问题”部分列出的办公室或办公室的责任. 负责办公室将联系有关教职员工的适当当局, 学生, 供应商, 或者违反政策的游客.
利记sbo承认,大学的政策可能无法预料到可能出现的每一个问题. 因此,大学保留就本政策的执行作出合理和相关决定的权利. 所有这些决定都必须得到大学官员的批准.e. 总统, 教务长兼学术事务高级副校长, 财务副总裁, 负责学生生活和招生管理的高级副总裁, 或法律事务副总裁兼总法律顾问).
利记sbo承认,大学的政策可能无法预料到可能出现的每一个问题. 因此,大学保留就本政策的执行作出合理和相关决定的权利. 所有这些决定都必须得到大学官员的批准.e. 总统, 教务长兼学术事务高级副校长, 财务副总裁, 负责学生生活和招生管理的高级副总裁, 或法律事务副总裁兼总法律顾问).
资源/问题:
请注意,其他利记sbo的政策可能适用或与此政策相关. 如果需要查询相关策略,请使用在线策略手册中的“关键字查询”功能.
| 有效日期: | 03/09/2019 |
| 发布日期: | 03/18/2019 |
| 最后修订日期: | 05/06/2022 |
| 修订发布日期: | 05/06/2022 |