数据分类策略
范围
所有涉及校园内社区成员的财务和行政政策, 包括志愿者在内,都在这项政策的范围内. 如果在部门期望和大学政策中描述的共同方法之间存在差异, 学院将依靠校园社区, 支持包括志愿者在内的大学政策的精神和目标. 除非学校政策里特别提到, 学院的董事会受其章程管辖.
政策
此政策的目的是保护学院的信息资源不受未经授权的访问或破坏. 保护信息资源的需求必须与支持追求合法学术和业务目标的需求相平衡. The value of data as an institutional resource increases through its widespread and appropriate 使用; its value diminishes through mis使用, 误解, 或者对其访问进行不必要的限制.
大学数据是由或为之产生的信息, 所拥有的, 或由赌博正规的十大网站拥有的与学院活动有关的物品. 大学资料可以以任何格式存在(例如.e. 数字/电子或纸质),包括, 但不限于, 所有学术, 行政, 研究数据, 以及支持学院业务的计算基础设施和程序代码.
所有的大学数据都被划分为Definitions的访问级别. 未经适当授权,不得访问数据. 根据合同或授权,某些数据可能受到特定保护要求的约束, 或者根据这里没有描述的法律或法规. 在这种情况下,应适用最严格的保护要求. 如有疑问,请联系信息安全办公室.
- 数据分类
所有的大学数据都被划分为不同的敏感级别,以便为理解和管理这些数据提供基础. 准确的分类为应用适当的安全级别提供了基础. 这些数据分类考虑了法律保护(通过法规), 监管, 或由资料当事人选择), 合同协议, 道德的考虑, 和/或战略或专有价值. 数据也可以归类为应用“谨慎管理”的结果,除了减少对个人和/或机构造成伤害或尴尬的可能性外,没有理由保护数据.
默认情况下,所有机构数据将被指定为“敏感”.“大学员工将有权访问这些数据,用于开展大学业务.
- 分类的水平
分配给数据的分类级别将指导数据管理员, 数据管理员业务和技术项目团队, 以及任何其他可能在安全保护和访问授权机制中获取或存储数据的人. 这种分类鼓励讨论和随后对所显示或操纵的数据的性质的充分理解. 数据被分类为以下其中一种:
- 公众(低敏感度)
公共机构数据的访问权可授予任何请求者. 公共数据不被视为机密. 公共数据的例子包括新闻稿, 已发布的目录信息, 以及学术课程描述. 必须保护公共数据的完整性,防止未经授权的修改, 意想不到的使用, 或无意/不当分发, 适当的数据管理器必须授权数据的复制. 即使数据被认为是公开的, 未经适当批准,不能发布(复制或复制). - 敏感(中度敏感)
访问“敏感”数据的请求必须来自, 并由, 负责数据的数据管理员. 作为工作职责的一部分,人员可以访问数据. 这些数据的完整性至关重要, 这些数据的机密性必须得到保护. 敏感数据的例子包括采购记录, 不包含受限制数据的金融交易, 保密协议所涵盖的信息, 图书馆事务. - 限制(最高敏感级别)
对“受限制”数据的访问必须从创建到销毁进行控制,并且只允许学院附属人员为履行其工作而需要访问这些数据或法律允许的个人访问这些数据. 数据的保密性是最重要的, 尽管数据的完整性也必须得到保证. 查阅受限制资料必须向以下人士提出申请, 并由, 负责数据的数据管理员. 受限制的数据包括受法律法规保护的信息,这些信息的不当使用或披露可能:- 对学院完成其使命的能力产生不利影响.
- 通过公布大学成员的个人身份信息导致身份盗窃的可能性.
- 将学院置于不遵守各种州和联邦法规的状态,如FERPA, HIPAA, 和GLBA.
- 使学院处于不遵守PCI-DSS等合同义务的状态.
限制数据的说明应包括对需要限制的法律或外部施加的约束的参考, 通常授予数据访问权限的用户类别, 通常在什么条件或限制下获得访问权.
受限制数据的例子包括社会安全号码, 学生注册, 成绩, 财政援助数据, 银行账号.
- 角色和职责
资讯保安办事处
信息安全办公室执行政策和程序,以遵守1996年《全球十大赌博靠谱平台》(HIPPA)。, 家庭教育权利和隐私法(FERPA), 以及其他管理个人身份信息处理的规定.
受托人的数据
数据受托人是对数据负有决策和规划责任的内阁成员或其高级指定人员. 资料受托人的责任包括:
- 指定数据管理员并为其单位分配数据管理角色.
- 在数据完整性和数据报告流程的维护方面发挥领导作用.
- 为学术或行政单位设定对外报告的优先顺序.
数据管家
数据管理员是对一种或多种机构数据负有直接操作责任的管理员. 个别单位或部门对数据的特定元素和/或方面负有管理责任. 数据管理员由各自的数据受托人指定, 他们的职责包括, 但不限于:
- 确定管理单元中的数据访问.
- 创建和管理流程以确保数据完整性.
- 认证进入学院存储系统的数据.
- 验证分析和发布的报告.
- 与校园利益相关者沟通管理单位对数据相关政策或实践的变化.
- 批准, 与数据受托人合作, 该股参与外部调查和监督所收集数据的完整性, 由单位管理和汇报.
- 编制和维护由本单位提交的外部调查清单.
- 与机构规划和效率办公室合作, 适当的, 确保适当Definitions机构数据元素,并确定公共共享数据标准和结构, 记录, 所有用户都可以使用.
- 熟悉并紧跟与他们所负责的数据相关的法规遵从性要求.
- 执行定期评估程序,以确保数据的完整性,并评估特定检查点的有效性.
- 向数据治理委员会提交关于遵守数据管理政策和程序的年度报告.
- 为数据保管人和数据用户建立适当的培训协议, Definitions, 以及机构数据和学术或行政单位数据政策的使用.
- 协调, 直接或通过指定人, 与行政系统咨询委员会(ASAC)合作,确保所有第三方供应商合同已经过审查,并符合必要的数据保护和合规要求.
- 确保所有数据保管人和数据用户都接受了适当的培训, Definitions, 以及机构数据的使用, 以及相关的学术或行政单位数据政策.
- 确保对数据保管人和数据使用者的所有培训都有适当的记录,并注意到任何缺陷.
- 监督属地数据政策的制定.
- 使用学院的数据分类系统对数据进行分类.
- 确定限制数据的保障措施.
在多个数据管理员收集和维护相同的受限数据元素的情况下, 数据管理员必须协同工作以实现一组通用的保护措施.
数据管理者
数据管理员是负责数据管理的学术或行政单位雇员. 数据保管人的职责包括:
- 管理活动,例如创建, 存储, 维护, 编目, 使用, 集成, 传播, 数据的处理, 以及数据管理员分配给他们的任何数据管理活动.
- 确保执行数据政策的程序到位,并符合学院批准的标准.
数据用户
数据用户是单位雇员或社区成员谁访问大学的数据,以履行其指定的职责. 因为数据可能跨越功能线, 任何一个数据使用者所使用的数据可能有不同的数据保管人和数据管理员. 资料使用者的责任包括:
- 遵守机构数据政策并遵循既定程序.
- 向信息安全办公室报告任何未经授权的访问或数据滥用, 适当的数据管理员, 或者学校的在线匿名举报系统进行补救.
教育
提高对数据分类重要性的认识是建立一种环境的重要组成部分,在这种环境中,每个人都感到有责任并有权为社区的最佳利益采取行动. 所有部门都将为个人提供机会,让他们了解自己在创建安全数据环境中的角色.
程序
没有一个
Definitions
FERPA:家庭教育权利 & 隐私法保护学生教育记录的隐私.
GLBA:格雷姆-里奇-比利利法案保护非公开的财务信息, 包括学生贷款信息.
HIPAA:健康保险可移植性 & 隐私法保护个人健康信息.
PCI DSS:支付卡行业数据安全标准保护信用卡和借记卡信息
PII:个人身份信息包括, 但不限于, 地址, 电话号码, 电子邮件地址, 社会安全号码, 财务和银行账号, 等.