860年的数据管理和信息安全

理由是:提供指导方针对于每一个奥克兰大学的责任(大学)员工访问数据和信息以电子格式提供数据的安全。万博ManBetX登录未经授权的访问此类信息可能会有很多严重的消极后果,包括对大学的声誉产生不利影响。移动计算设备的使用,电子文件交流,和日益增长的使用云服务提供商增加大学的电子数据和信息资产的脆弱性。随着新技术的发展和实施,新法律覆盖数据安全出现,用在数据管理和安全问题。

政策:电子数据是重要的大学资产,必须通过适当的安全措施来保护和管理对数据管理。该策略定义了所需的电子数据管理环境和分类的数据,和分配责任,确保数据和信息隐私和安全在每个级别的访问和控制。

范围和适用性:本政策适用于所有大学附属人员和用户访问数据。

定义:

关联用户:供应商和客人有关系你和需要访问大学系统。

应用程序:计算机软件程序运行在计算机上的目的提供了一个业务/学术/社会功能。

云:一个随需应变的可用性,地理上分散的计算机系统资源的基础设施,特别是数据存储(云存储)和计算能力,没有直接由最终用户主动管理。云可能局限于单一组织(私有云)或可用许多组织(公共云)。云计算提供商提供“服务”三个标准模型:基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。

机密数据:数据特别受法律限制公开向公众披露被列为机密数据。机密数据需要一个高水平的防止未经授权的披露、修改、传播,破坏,和使用。机密数据包括,但不限于:

1. 学生家庭教育权利和隐私法案保护的数据(FERPA),包括个人身份数据如社会安全号码,学生人数,如灰熊id,和其他数据不列为FERPA。下目录信息;
   
   
2. 医疗数据,如电子受保护的健康信息和数据的保护健康保险流通与责任法案(HIPAA);
   
   
3. 研究。只有研究数据和信息在以下大类是被视为机密数据:
   一个分类的研究。
   b。活动是由一个完全执行保密协议(NDA);
   c。信息、数据等,专有或机密(是否属于一个OU调查员或外部合作者),不管它是否受NDA;
   d。赞助商认为是机密的信息;
   e。所需信息或数据被视为机密的州或联邦法律(例如,个人识别信息研究对象,HIPAA或FERPA保护信息,等等);和
   f。相关信息这一指控或不当行为的调查研究。
   
   所有其他的研究数据和信息,包括授予应用程序和建议,起草和专利工作文件应用程序或研究出版物,并去除了识别信息的研究数据,应考虑操作关键数据。
   
   所有研究和建议信息传播/,或举行,欧电子研究管理平台(小马)使用2048位加密的SSL和/或IPSEC隧道。小马平台中的信息只能在这个基础上去,需要一个活跃的OU NetID和密码进行身份验证。
   
   
4. 访问安全信息,如登录密码、个人识别号码(pin),日志与个人身份数据、数字签名、加密密钥;
   
   
5. 主账号,持卡人数据、信用卡号码、支付卡信息,银行信息,雇主或纳税人识别号码,活期存款帐号,储蓄账户号码,金融交易设备帐号,帐号密码,股票或其他安全证书或帐号(如数据保护的支付卡行业数据安全标准);
   
   
6. 人事档案,包括社会安全号码;
   
   
7. 库记录(如由密歇根大学图书馆隐私法455);和
   
   
8. 驾照号码、个人身份证号码,社会安全号码,员工身份证号码,护照号码,政府和其他个人信息保护从披露的州和联邦身份盗窃法律法规包括但不限于密歇根身份盗窃保护法案(制程445.61等seq)。

数据分类:这一政策所涵盖的所有电子数据分配三种分类:

1. 保密
   
   
2. 操作至关重要
   
   
3. 不受限制的

数据保管:人或部门提供业务支持的信息系统,并负责实现数据维护和数据管理员定义的控制方法。

数据维护和控制方法:批准的流程定义和数据管理员来处理以下任务:

1. 定义访问控制与分配访问权限授权、批准和记录管理,根据工作职能和要求。
   
   
2. 识别有效的数据源
   
   
3. 可接受的方法来接收数据确定的来源
   
   
4. 接收的数据的验证过程
   
   
5. 规则、标准和指导方针的新数据,改变现有的数据或删除数据
   
   
6. 规则、标准和指导方针,对数据的访问控制
   
   
7. 过程数据完整性验证
   
   
8. 可接受的方法分配、释放、分享、存储或传输数据
   
   
9. 可接受的数据位置
   
   
10. 提供机密数据和操作关键数据的安全
    
    
11. 保证良好的处理方法、处理安全与灾难恢复的数据
    
    
12. 保证数据收集、处理、共享和存储按照隐私权声明发布在大学//www.zhongqiwg.com/policies-regulations/web-privacy/

数据管家:人负责大学功能和确定数据维护和控制方法是数据管家。

电子数据/数据:不同的信息,有意无意向大学提供各种行政、学术和业务流程。这一政策涵盖所有数据存储在任何电子媒体,和在任何计算机系统定义为一个大学信息技术资源OU AP&P # 890大学信息技术资源的使用。在这个文档、电子数据和数据是可以互换的。这个定义不包括课程材料和知识产权。

移动计算设备:信息技术资源(如中定义OU AP&P # 890大学信息技术资源的使用),可能会让一般的校园的位置。这种设备的样本包括,但不限于,笔记本电脑、平板电脑、手机、智能手机和其他移动设备,CD / DVD R / W磁盘,USB设备,闪存等。

操作关键数据:数据决心是至关重要的和必不可少的成功操作作为一个整体,大学,其损失或腐败会导致严重的有害影响继续操作。数据接收这种分类需要一个高水平的保护意外分布、接触或破坏,必须由高质量的灾难恢复和业务连续性措施。这类数据包括数据存储在企业系统如旗帜和数据通过网络通信系统。这些数据可能被释放或共享下定义,具体的披露程序,如部门指导方针,记录程序或政策。

大学提供的数据系统:信息技术资源、定义和描述OU AP&P # 890大学信息技术资源的使用,所有的大学和用于存储、维护和处理的数据。

无限制的数据:可以根据需要发布或共享的信息。示例数据文件类的安排或其他公开的数据,如一个目录。

程序:

1。数据管理

数据管理员将创建、沟通和执行数据维护和控制方法。数据管家也将有知识的功能区域和使用的数据和信息支持这些功能。副总统是负责最终的数据管理和管理在各自领域的责任,并且所有大学的默认数据管家的数据。公认的数据管家中列出附批准表。

2。数据维护和控制方法

数据管家将开发和维护数据维护和分配系统的控制方法。

当授权和分配中定义访问控制数据维护和控制方法涉及机密数据和操作关键数据,数据管理员将用户权限限制在最小的访问必须基于工作职责履行工作职能。

如果数据系统提供的系统是一个大学,大学将提供技术服务,根据客户要求,指导和服务的任务中标识数据维护和控制方法。

如果系统是由一个公共云,数据管理员必须验证数据维护和公共云提供商使用的控制方法符合当前大学技术标准。此外,当前正在进行的会议规定大学技术和安全标准必须包括在服务合同。

审查的公共云解决方案必须包括大学技术服务和法律事务办公室之前最后方案选择和购买。

美国的个人设备进行大学业务必须遵守所有指导生产提供的,和所有大学的政策。

3所示。数据保管工作

托管人将使用数据符合既定的数据维护和控制方法。故障处理或处理数据符合系统的建立方法将被认为是违反了OU AP&P # 890大学信息技术资源的使用中定义和制裁,政策可能适用。

4所示。数据使用

在所有情况下,大学提供的数据将用于根据隐私权声明访问大学主页www.www.zhongqiwg.com,在大学指南提供这些数据给(数据源)提供的指导方针。

软件解决方案,包括SaaS解决方案,选择管理数据和采购,购买和安装与相关软件(比如大学政策OU AP&P # 870软件条例和OU AP&P # 1000采购政策)。

公布的数据将按照大学政策(如OU AP&P # 470释放学生的教育记录)。请求信息从外部机构(如《信息自由法》请求,传票,执法机构请求,或任何其他请求数据从外部源)必须针对法律事务办公室和加工按照现有政策,特别授权使用OU AP&P # 890大学信息技术资源的使用。

标准安全文件传输或数据交换,必须由大学评价技术服务系统其他比大学时选择系统提供数据或利用公共云时。语言可能需要特定的合同。法律事务办公室必须咨询关于这样的语言。

未加密的授权和数据传输是不能接受的。

数据用于追求教学、学习、研究和管理必须设法保持完整性和信任。这是所有那些使用数据的责任。

通信的机密数据(即通过终端用户的通讯技术。、电子邮件、即时消息、聊天或其他通信方法)是被禁止的。UTS可以验证如果一个特定的技术适用于机密数据交流。

5。存储数据

数据不能存储在系统之外的其他大学提供数据系统没有数据管家的事先许可,并演示了合法的需要。

数据应该存储在加密格式尽可能。机密数据必须存储在加密的格式。应当检查加密策略与大学技术服务提前避免意外数据停工。

数据不能存储在University-provided计算设备,除非设备加密没有事先许可的数据管家,并演示了合法的需要。

数据必须存储在设备和位置通过数据管家。如果信息技术资源(电脑、打印机和其他项目中定义OU AP&P # 890大学信息技术资源的使用)存储在一个校外的位置,位置必须通过数据管家和ut,之前大学使用这些资源存储数据。

新技术使数据的存储传真机、复印机、手机、销售点设备和其他电子设备。数据由专人负责发现存储数据和删除数据发布前的设备。

当批准移动计算设备的使用,数据管理员必须确认这些使用移动计算设备可以提供哪些数据信息存储在设备上(比如上次备份的副本)如果设备丢失或被盗。

在所有情况下,数据存储必须符合大学保留政策。数据使用公共云系统中必须有特定的保留标准写在服务合同。法律事务办公室必须咨询关于这样的语言。

返回所有大学的数据规定在合同终止的事件必须包括在合同中,当数据是存储在一个公共云。法律事务办公室必须咨询关于这样的语言。当前安全标准(如访问控制,个人防火墙、杀毒软件、全面更新和修补操作系统,等等)将评估当系统除了选择一所大学提供的数据系统,必须在合同语言。法律事务办公室必须咨询关于这样的语言。

数据存储在移动计算设备必须由目前的安全保护标准方法(如访问控制、防火墙、防病毒、全面更新和修补操作系统,等等)。

大学标准程序的保护和维护机密数据和操作关键数据必须应用同样没有例外大学提供的数据系统,移动计算设备和系统以外的大学提供的数据系统,如公共云解决方案。

6。系统和网络数据

通过系统或网络系统和网络数据,生成管理、日志或其他系统记录活动,不能使用,或被俘,收集、分析和传播,没有首席信息官的事先许可,大学技术服务。

7所示。值的数据

在所有情况下,通过公共云数据处理,必须完成以下评估:

• 数据的值必须以某种有形的方式决定的。
  
  
• 签名数据主管部门副总裁的批准或适当的政党能够授权活动的价值层面的数据必须获得。

8。制裁

未能遵守指导方针包含在本文档将被认为是大学信息技术资源的不当使用,因此违反或者AP&P # 890大学信息技术资源的使用。制裁将遵循这一政策确定的步骤。

9。数据安全违反审查小组

数据安全漏洞审查小组(小组)将成立由以下成员:

助理副总裁和控制器

首席信息官

警察局长

校园通讯主任

注册商

风险管理负责人

法律事务办公室

如果发现未经授权的用户访问机密数据,必须联系小组的一员,他将召集面板。这与面板接触必须尽快启动后违反为了帮助大学履行其法律义务,可能是由数据管理员,由用户的数据,丢失或被盗笔记本电脑的所有者或存储设备,或未经授权的人都意识到数据访问。

潜在的数据安全隐患,需要通知的例子包括,但不限于:

小组将:

相关政策和形式:

OU AP&P # 212银行卡信息安全需求

OU AP&P # 360物业管理

OU AP&P # 470释放学生的教育记录

OU AP&P # 870软件条例

OU AP&P # 890大学信息技术资源的使用

OU AP&P # 1000采购政策

OU AP&P # 1050 /保险等风险管理政策和程序

数据管理员批准表

附录: