860数据管理和信息安全
主题: | 数据管理和信息安全 |
数量: | 860 |
授权机构: | 战略委员会/董事会 |
负责办公室: | 办公厅主任 |
发行日期: | 2005年3月 |
最后更新: | 2021年4月 |
理由是:提供关于每个奥克兰大学(大学)员工访问电子格式的数据和信息的责任指导方针,以提供数据的安全性。万博ManBetX登录未经授权访问这些信息可能会产生许多严重的负面后果,包括对大学的声誉产生不利影响。移动计算设备的使用、电子文件交换以及云服务提供商的日益使用增加了大学电子数据和信息资产的脆弱性。随着新技术的开发和实施,以及涉及数据安全的新法律的出现,围绕数据管理和安全的问题也越来越多。 |
|
政策:电子数据是大学的重要资产,必须受到适当的保障措施的保护,并在数据管理方面进行管理。本政策定义了所需的电子数据管理环境和数据分类,并分配了在每个访问和控制级别上确保数据和信息隐私和安全的责任。 |
|
范围和适用性:本政策适用于所有访问大学数据的大学人员和附属用户。 |
|
定义: 关联用户:与OU有关系并需要访问大学系统的供应商和来宾。 应用程序:为提供商业/学术/社交功能而在计算机上运行的计算机软件程序。 云:计算机系统资源的按需可用性,地理上分散的基础设施,特别是数据存储(云存储)和计算能力,不需要终端用户直接主动管理。云可能仅限于单个组织(私有云),也可能可供许多组织使用(公共云)。云计算提供商根据三种标准模型提供“服务”:基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。
数据分类:本政策所涵盖的所有电子资料分为以下三类之一:
数据保管:为信息系统提供运营支持并负责实施数据专员定义的数据维护和控制方法的人员或部门。 数据维护与控制方法:由数据管理员定义和批准的处理以下任务的过程:
数据管家:负责大学职能并确定数据维护和控制方法的人员是数据管理员。 电子数据/数据:不同的信息,有意或无意地提供给大学的各种行政,学术和业务流程。本政策涵盖存储在任何电子媒体上的所有数据,以及定义为大学信息技术资源的任何计算机系统内的所有数据OU AP&P #890利用大学信息技术资源.在本文档中,电子数据和数据可互换使用。这个定义不包括课程材料和知识产权。 移动计算设备:信息技术资源(定义于OU AP&P #890利用大学信息技术资源),可能会留下校园的大致位置。此类设备的样本包括但不限于笔记本电脑、平板电脑、手机、智能手机和其他便携式设备、CD/DVD R/W盘、USB设备、闪存驱动器等。 操作关键数据:被确定为对整个大学的成功运作至关重要的数据,这些数据的丢失或损坏将对继续运作造成严重的不利影响。接收此分类的数据需要高水平的保护,以防止意外分发、暴露或破坏,并且必须采用高质量的灾难恢复和业务连续性措施。这类数据包括存储在企业系统(如Banner)上的数据和通过网络通信系统传递的数据。此类数据可根据明确的、具体的披露程序(如部门指南、文件化程序或政策)发布或共享。 大学提供的数据系统:中定义和描述的信息技术资源OU AP&P #890利用大学信息技术资源,由大学拥有,用以储存、保养及处理大学资料。 无限制的数据:根据需要可以发布或共享的信息。例如,类调度的数据文件或其他公开可用的数据(如目录)。 使用/数据使用:使用(Usage)和数据使用(Data Use)可以互换使用,定义为收集、查看、存储、共享、传输、分发、修改、打印以及以其他方式提供数据维护环境。 |
|
程序: 数据管理员需要创建、交流和执行数据维护和控制方法。数据管理员还应了解其领域的功能以及用于支持这些功能的数据和信息。副校长在各自的职责范围内负责最终的数据管理和管理,并且是所有大学数据的默认数据管理员。中列出了公认的数据管理员附批准表. 2.数据维护与控制方法 数据管理员将为其指定的系统开发和维护数据维护和控制方法。 3.数据保管工作 数据保管人将按照既定的数据维护和控制方法使用数据。未能按照系统的既定方法处理或处理数据将被视为违反OU AP&P #890利用大学信息技术资源,而该政策所界定的制裁可能适用。 4.数据使用 在所有情况下,提供给大学的数据将根据从大学主页访问的隐私声明使用www.www.zhongqiwg.com,并在向大学提供数据的人所提供的指导方针(由数据源提供的指导方针)内。 资料将根据大学政策(例如OU AP&P #470学生教育记录的发布).来自外部机构的信息请求(如《信息自由法》请求、传票、执法机构请求或来自外部来源的任何其他数据请求)必须直接提交给法律事务办公室,并根据现有政策处理,特别是授权使用OU AP&P #890利用大学信息技术资源. 当选择大学提供的数据系统以外的系统或使用公共云时,必须由大学技术服务部门评估安全文件传输或数据交换的标准。可能需要使用特定的合同语言。关于这种措词,必须同法律事务厅协商。 不接受未经加密的授权和数据传输。 用于教学、学习、研究和行政管理的数据必须妥善管理,以保持完整性和可信度。这是所有使用数据的人的责任。 禁止通过最终用户消息传递技术(即电子邮件、即时消息传递、聊天或其他通信方式)传递机密数据。UTS可以验证特定技术是否适合传输机密数据。 5.存储数据 没有数据管理员的事先许可和证明的合法需要,数据不能存储在大学提供的数据系统以外的系统上。 数据不能存储在大学提供的计算设备上,除非该设备在没有数据管理员事先许可的情况下进行了加密,并证明有合法需求。 数据必须存储在设备上和数据管理员批准的位置。如信息技术资源(计算机、打印机等项目定义在OU AP&P #890利用大学信息技术资源)存储在校外的位置,该位置必须由数据管理员和UTS在使用这些资源存储大学数据之前批准。 新技术使数据能够存储在传真机、复印机、移动电话、销售点设备和其他电子设备上。数据管理员负责发现存储的数据,并在设备释放之前删除数据。 在批准移动计算设备使用时,数据管理员必须验证那些使用移动计算设备的人在设备丢失或被盗时能够提供有关设备上存储的数据(例如上次备份的副本)的信息。 在所有情况下,数据存储必须遵守大学的保留政策。公有云系统中的数据使用必须在服务合同中有明确的保留标准。关于这种措词,必须同法律事务厅协商。 当数据存储在公共云上时,合同终止时必须在合同中包括返回所有大学数据的规定。关于这种措词,必须同法律事务厅协商。当选择大学提供的数据系统以外的系统时,将评估当前的安全标准(如受控访问、个人防火墙、防病毒、完全更新和打补丁的操作系统等),并且必须以合同语言涵盖。关于这种措词,必须同法律事务厅协商。 存储在移动计算设备上的数据必须受到当前安全标准方法的保护(如受控访问、防火墙、防病毒、完全更新和打补丁的操作系统等)。 大学保护机密数据和关键操作数据的标准程序必须平等且毫无例外地适用于大学提供的数据系统、移动计算设备和大学提供的数据系统以外的系统,如公共云解决方案。 6.系统和网络数据 系统和网络数据,通过系统或网络管理,日志或其他系统记录活动,不能使用,或捕获,收集,分析或传播,没有首席信息官,大学技术服务的事先许可。
8.制裁 未能遵循本文件中包含的指导方针将被视为不当使用大学信息技术资源,因此违反了OU ap&p# 890使用大学信息技术资源。制裁将按照该政策中确定的步骤进行。 9.数据安全漏洞审查小组 政府将成立资料保安漏洞检讨小组(小组),成员包括: 副总裁兼财务总监 首席信息官 警务处处长 校园传播主任 注册商 风险管理总监 法律事务办公室 如果发现对机密数据的未经授权访问,必须联系专家小组的一名成员,由其召集专家小组。与小组的联系必须在违规事件发生后尽快启动,以协助大学履行其法律义务,并且可以由数据管理员、数据用户、丢失或被盗的笔记本电脑或存储设备的所有者,或任何知道未经授权的数据访问的人发起。
事务委员会将:
|
|
相关政策及表格: OU ap&p# 360物业管理 |
|
附录: |
|