860数据管理和信息安全

理由是:提供关于每个奥克兰大学(大学)员工访问电子格式的数据和信息的责任指导方针，以提供数据的安全性。万博ManBetX登录未经授权访问这些信息可能会产生许多严重的负面后果，包括对大学的声誉产生不利影响。移动计算设备的使用、电子文件交换以及云服务提供商的日益使用增加了大学电子数据和信息资产的脆弱性。随着新技术的开发和实施，以及涉及数据安全的新法律的出现，围绕数据管理和安全的问题也越来越多。

政策:电子数据是大学的重要资产，必须受到适当的保障措施的保护，并在数据管理方面进行管理。本政策定义了所需的电子数据管理环境和数据分类，并分配了在每个访问和控制级别上确保数据和信息隐私和安全的责任。

范围和适用性:本政策适用于所有访问大学数据的大学人员和附属用户。

定义:

关联用户:与OU有关系并需要访问大学系统的供应商和来宾。

应用程序:为提供商业/学术/社交功能而在计算机上运行的计算机软件程序。

云:计算机系统资源的按需可用性，地理上分散的基础设施，特别是数据存储(云存储)和计算能力，不需要终端用户直接主动管理。云可能仅限于单个组织(私有云)，也可能可供许多组织使用(公共云)。云计算提供商根据三种标准模型提供“服务”:基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。

机密数据:法律明确限制向公众公开披露的数据被归类为机密数据。机密数据需要高度保护，防止未经授权的披露、修改、传输、销毁和使用。保密数据包括但不限于:

1. 受家庭教育权利和隐私法案(FERPA)保护的学生数据，包括个人身份数据，如社会保险号，学生号码，如灰熊身份证，以及其他不属于FERPA目录信息的数据;
   
   
2. 医疗数据，如受《健康保险可携带性和责任法案》(HIPAA)保护的电子受保护健康信息和数据;
   
   
3. 研究。只有以下大类中的研究数据和信息才被视为机密数据:
   a.分类研究
   b.完全执行的保密协议(NDA)所涵盖的活动;
   c.专有的或机密的信息、数据等(无论它属于OU调查员或外部合作者)，无论它是否受NDA约束;
   d.保荐人认为是保密的资料;
   e.州或联邦法律要求视为机密的信息或数据(例如，关于研究对象的个人身份信息、HIPAA或FERPA保护的信息等);而且
   f.与研究不端行为指控或调查有关的信息。
   
   所有其他研究数据和信息，包括拨款申请和提案、专利申请或研究出版物的草案和工作底稿，以及去标识的研究数据，都应被视为业务关键数据。
   
   OU的电子研究管理平台(Cayuse)传输或保存的所有研究和提案信息都使用2048位SSL和/或IPSEC隧道进行加密。Cayuse平台中的信息仅在需要知道的基础上可用，并且需要活动OU NetID和密码进行身份验证。
   
   
4. 信息访问安全，例如登录密码、个人识别号码(pin)、具有个人身份数据的日志、数字化签名和加密密钥;
   
   
5. 主账号、持卡人数据、信用卡号、支付卡信息、银行信息、雇主或纳税人识别号、活期存款账号、储蓄账号、金融交易设备账号、账户密码、股票或其他安全证书或账号(如受支付卡行业数据安全标准保护的数据);
   
   
6. 个人档案，包括社会安全号码;
   
   
7. 图书馆记录(如密歇根图书馆隐私法案455所涵盖的);而且
   
   
8. 驾驶执照号码、州个人身份证号码、社会安全号码、雇员身份证号码、政府护照号码以及受州和联邦身份盗窃法律法规保护不被披露的其他个人信息，包括但不限于《密歇根州身份盗窃保护法》(MCL 445.61 et. seq.)。

数据分类:本政策所涵盖的所有电子资料分为以下三类之一:

1. 保密
   
   
2. 操作至关重要
   
   
3. 不受限制的

数据保管:为信息系统提供运营支持并负责实施数据专员定义的数据维护和控制方法的人员或部门。

数据维护与控制方法:由数据管理员定义和批准的处理以下任务的过程:

1. 根据工作职能和需求，定义具有分配访问权限、权限启用和文件化管理批准的访问控制。
   
   
2. 有效数据源的识别
   
   
3. 从已识别的来源接收数据的可接受方法
   
   
4. 对接收的数据进行验证的过程
   
   
5. 输入新数据、更改现有数据或删除数据的规则、标准和指南
   
   
6. 有控制地存取资料的规则、标准和指引
   
   
7. 数据完整性验证流程
   
   
8. 用于分发、发布、共享、存储或传输数据的可接受方法
   
   
9. 可接受的数据位置
   
   
10. 为机密数据和关键操作数据提供安全保障
    
    
11. 确保数据的处理、处理、安全和灾难恢复的健全方法
    
    
12. 确保数据的收集、处理、共享和存储符合大学发布的隐私声明//www.zhongqiwg.com/policies-regulations/web-privacy/

数据管家:负责大学职能并确定数据维护和控制方法的人员是数据管理员。

电子数据/数据:不同的信息，有意或无意地提供给大学的各种行政，学术和业务流程。本政策涵盖存储在任何电子媒体上的所有数据，以及定义为大学信息技术资源的任何计算机系统内的所有数据OU AP&P #890利用大学信息技术资源．在本文档中，电子数据和数据可互换使用。这个定义不包括课程材料和知识产权。

移动计算设备:信息技术资源(定义于OU AP&P #890利用大学信息技术资源)，可能会留下校园的大致位置。此类设备的样本包括但不限于笔记本电脑、平板电脑、手机、智能手机和其他便携式设备、CD/DVD R/W盘、USB设备、闪存驱动器等。

操作关键数据:被确定为对整个大学的成功运作至关重要的数据，这些数据的丢失或损坏将对继续运作造成严重的不利影响。接收此分类的数据需要高水平的保护，以防止意外分发、暴露或破坏，并且必须采用高质量的灾难恢复和业务连续性措施。这类数据包括存储在企业系统(如Banner)上的数据和通过网络通信系统传递的数据。此类数据可根据明确的、具体的披露程序(如部门指南、文件化程序或政策)发布或共享。

大学提供的数据系统:中定义和描述的信息技术资源OU AP&P #890利用大学信息技术资源，由大学拥有，用以储存、保养及处理大学资料。

无限制的数据:根据需要可以发布或共享的信息。例如，类调度的数据文件或其他公开可用的数据(如目录)。

程序:

1.数据管理

数据管理员需要创建、交流和执行数据维护和控制方法。数据管理员还应了解其领域的功能以及用于支持这些功能的数据和信息。副校长在各自的职责范围内负责最终的数据管理和管理，并且是所有大学数据的默认数据管理员。中列出了公认的数据管理员附批准表．

2.数据维护与控制方法

数据管理员将为其指定的系统开发和维护数据维护和控制方法。

在授权和分配涉及机密数据和操作关键数据的数据维护和控制方法中定义的访问控制时，数据管理员将根据工作角色和职责将用户权限限制为执行工作功能所需的最低访问权限。

如果系统是大学提供的数据系统，大学技术服务部将根据要求，为数据维护和控制方法中确定的任务提供指导和服务。

如果系统由公共云提供，数据管理员仍然必须验证公共云提供商使用的数据维护和控制方法是否符合当前的大学技术标准。此外，服务合同中必须包括满足大学当前技术和安全标准的持续规定。

在最终解决方案选择和购买之前，公共云解决方案的审查必须包括大学技术服务和法律事务办公室。

我们个人设备开展大学业务必须遵守UTS提供的所有指导，以及所有大学政策。

3.数据保管工作

数据保管人将按照既定的数据维护和控制方法使用数据。未能按照系统的既定方法处理或处理数据将被视为违反OU AP&P #890利用大学信息技术资源，而该政策所界定的制裁可能适用。

4.数据使用

在所有情况下，提供给大学的数据将根据从大学主页访问的隐私声明使用www.www.zhongqiwg.com，并在向大学提供数据的人所提供的指导方针(由数据源提供的指导方针)内。

软件解决方案，包括SaaS解决方案，被选择来管理数据，并与大学有关软件(如软件)的政策一起采购、购买和安装OU ap&p# 870软件法规而且OU ap&p# 1000采购政策)．

资料将根据大学政策(例如OU AP&P #470学生教育记录的发布)．来自外部机构的信息请求(如《信息自由法》请求、传票、执法机构请求或来自外部来源的任何其他数据请求)必须直接提交给法律事务办公室，并根据现有政策处理，特别是授权使用OU AP&P #890利用大学信息技术资源．

当选择大学提供的数据系统以外的系统或使用公共云时，必须由大学技术服务部门评估安全文件传输或数据交换的标准。可能需要使用特定的合同语言。关于这种措词，必须同法律事务厅协商。

不接受未经加密的授权和数据传输。

用于教学、学习、研究和行政管理的数据必须妥善管理，以保持完整性和可信度。这是所有使用数据的人的责任。

禁止通过最终用户消息传递技术(即电子邮件、即时消息传递、聊天或其他通信方式)传递机密数据。UTS可以验证特定技术是否适合传输机密数据。

5.存储数据

没有数据管理员的事先许可和证明的合法需要，数据不能存储在大学提供的数据系统以外的系统上。

数据应尽可能以加密格式存储。机密数据必须以加密格式存储。加密策略应提前与大学技术服务部门进行审查，以避免意外的数据锁定。

数据不能存储在大学提供的计算设备上，除非该设备在没有数据管理员事先许可的情况下进行了加密，并证明有合法需求。

数据必须存储在设备上和数据管理员批准的位置。如信息技术资源(计算机、打印机等项目定义在OU AP&P #890利用大学信息技术资源)存储在校外的位置，该位置必须由数据管理员和UTS在使用这些资源存储大学数据之前批准。

新技术使数据能够存储在传真机、复印机、移动电话、销售点设备和其他电子设备上。数据管理员负责发现存储的数据，并在设备释放之前删除数据。

在批准移动计算设备使用时，数据管理员必须验证那些使用移动计算设备的人在设备丢失或被盗时能够提供有关设备上存储的数据(例如上次备份的副本)的信息。

在所有情况下，数据存储必须遵守大学的保留政策。公有云系统中的数据使用必须在服务合同中有明确的保留标准。关于这种措词，必须同法律事务厅协商。

当数据存储在公共云上时，合同终止时必须在合同中包括返回所有大学数据的规定。关于这种措词，必须同法律事务厅协商。当选择大学提供的数据系统以外的系统时，将评估当前的安全标准(如受控访问、个人防火墙、防病毒、完全更新和打补丁的操作系统等)，并且必须以合同语言涵盖。关于这种措词，必须同法律事务厅协商。

存储在移动计算设备上的数据必须受到当前安全标准方法的保护(如受控访问、防火墙、防病毒、完全更新和打补丁的操作系统等)。

大学保护机密数据和关键操作数据的标准程序必须平等且毫无例外地适用于大学提供的数据系统、移动计算设备和大学提供的数据系统以外的系统，如公共云解决方案。

6.系统和网络数据

系统和网络数据，通过系统或网络管理，日志或其他系统记录活动，不能使用，或捕获，收集，分析或传播，没有首席信息官，大学技术服务的事先许可。

7.数据价值

在所有通过公共云处理数据的情况下，必须进行以下评估:

• 数据的价值必须以某种有形的方式确定。
  
  
• 必须获得数据管理员的部门副总裁或有权授权数据价值级别活动的适当方的签字批准。

8.制裁

未能遵循本文件中包含的指导方针将被视为不当使用大学信息技术资源，因此违反了OU ap&p# 890使用大学信息技术资源。制裁将按照该政策中确定的步骤进行。

9.数据安全漏洞审查小组

政府将成立资料保安漏洞检讨小组(小组)，成员包括:

副总裁兼财务总监

首席信息官

警务处处长

校园传播主任

注册商

风险管理总监

法律事务办公室

如果发现对机密数据的未经授权访问，必须联系专家小组的一名成员，由其召集专家小组。与小组的联系必须在违规事件发生后尽快启动，以协助大学履行其法律义务，并且可以由数据管理员、数据用户、丢失或被盗的笔记本电脑或存储设备的所有者，或任何知道未经授权的数据访问的人发起。

需要通知的潜在数据安全漏洞的例子包括但不限于:

事务委员会将:

相关政策及表格:

OU ap&p# 212银行卡信息安全要求

OU ap&p# 360物业管理

OU AP&P #470学生教育记录的发布

OU ap&p# 870软件法规

OU AP&P #890利用大学信息技术资源

OU ap&p# 1000采购政策

OU AP&P #1050风险管理/保险政策和程序

数据管理员批准表

附录: