860数据管理与信息安全

理由是:  To provide guidelines with regard to the responsibility of every 韦德体育app官网 (University) employee who accesses Data 和 information in electronic formats to provide for the security of that Data. 未经授权访问这些信息可能会产生许多严重的负面后果, 包括对大学声誉的不利影响.  移动计算设备的使用, 电子文件交换, 和 the growing use of cloud service providers increase the vulnerability of University Electronic Data 和 information assets. 随着新技术的开发和实施, 随着涉及数据安全的新法律的出现, 围绕数据管理和安全的问题层出不穷.

政策:  Electronic Data are important University assets that must be protected by appropriate safeguards 和 managed with respect to Data stewardship. 该政策定义了所需的电子数据管理环境和数据分类, 并分配责任，确保每个访问和控制级别的数据和信息隐私和安全.

适用范围及适用性:  这一政策适用于所有大学人员和附属用户访问大学的数据.

定义:

关联用户:  与开放大学有关系并需要访问大学系统的供应商和客人.

应用程序:  为提供商业/学术/社交功能而在计算机上运行的计算机软件程序.
 

云:  按需提供, 地理上分散的计算机系统资源基础设施, 尤其是数据存储(云存储)和计算能力, 没有终端用户直接的主动管理.  云可能仅限于单个组织(私有云), 或可供许多组织使用(公共云).  云计算提供商根据三种标准模型提供他们的“服务”:基础设施即服务(IaaS), 平台即服务(PaaS), 软件即服务(SaaS). 

机密数据:  法律特别限制向公众公开披露的数据被归类为机密数据. 机密数据需要高度的保护，以防止未经授权的泄露, 修改, 传输, 破坏, 和使用. 机密数据包括但不限于: 

1. 受家庭教育权利和隐私法案(FERPA)保护的学生数据, 包括个人身份资料，如社会安全号码, 学生编号，如灰熊id, 以及其他未被FERPA归类为目录信息的数据.;
   
   
2. 医疗数据, such as Electronic Protected Health Information 和 Data protected by the Health Insurance Portability 和 Accountability Act (HIPAA);
   
   
3. 研究.  只有以下大类的研究数据和信息才被视为机密数据:  
   a. 分类研究
   b. 完全执行的保密协议(NDA)所涵盖的活动;
   c. 信息、数据等., 专有的或机密的(无论是属于公开大学研究者还是外部合作者), 不论是否受保密协议约束;
   d. 保荐人认为保密的资料; 
   e. 根据州或联邦法律要求被视为机密的信息或数据(例如.g., 研究对象的个人识别信息, HIPAA或FERPA保护的信息, 等.); 和
   f. 与研究不当行为的指控或调查有关的信息.  
   
   所有其他研究数据和信息, 包括拨款申请及建议, 专利申请或研究出版物的草稿和工作底稿, 和去识别的研究数据, 应被视为关键操作数据.  
   
   所有研究和提案信息被传送给/从, 或者坚持住, OU的电子研究管理平台(Cayuse)使用2048位SSL和/或IPSEC隧道进行加密.  Information within the Cayuse platform is only available on a need-to-know basis 和 requires an active OU NetID 和 password for authentication.
   
   
4. 信息访问安全, 例如登录密码, 个人识别号码(pin), 包含个人可识别数据的日志, 数字化签名, 和加密密钥;
   
   
5. 主帐号, 持卡人数据, 信用卡号, 支付卡信息, 银行信息, 雇主或纳税人识别号码, 活期存款账号, 储蓄账号, 金融交易设备账号, 帐户密码, stock or other security certificate or account number (such as Data protected by the Payment Card Industry Data Security St和ard);
   
   
6. 个人档案，包括社会安全号码;
   
   
7. 图书馆 records (such as covered by the Michigan 图书馆 Privacy Act 455); 和
   
   
8. 驾驶执照号码, 说明个人身份证号码, 社会安全号码, 员工识别码, 政府护照号码, 和 other personal information that is protected from disclosure by state 和 federal identity theft laws 和 regulations including without limitation the Michigan Identity Theft Protection Act (MCL 445.61 et. seq.).

数据分类:  本政策所涵盖的所有电子数据均分为以下三类:

1. 保密
   
   
2. 操作至关重要
   
   
3. 不受限制的

数据保管:  Persons or departments providing operational support for an information system 和 having responsibility for implementing the 数据维护和控制方法 defined by the Data Steward.

数据维护与控制方法:  由数据专员定义和批准的流程，以处理以下任务:

1. 定义具有指定访问权限的访问控制, 特权支持, 管理批准文件, 根据工作职能和要求.
   
   
2. 有效数据源的标识
   
   
3. 从已识别的来源接收数据的可接受方法
   
   
4. 接收数据的验证过程
   
   
5. 规则, 新数据录入的标准和指引, 更改现有资料或删除资料
   
   
6. 有控制地访问数据的规则、标准和指南
   
   
7. 数据完整性验证过程
   
   
8. 分发、发布、共享、存储或传输数据的可接受方法
   
   
9. 可接受的数据位置
   
   
10. 提供机密数据和关键操作数据的安全
    
    
11. 确保数据的处理、处理、安全性和灾难恢复的良好方法
    
    
12. 确保收集数据, 加工过的, 根据网站上公布的大学隐私声明共享和存储 http://nrlp.apipros.net/policies-regulations/web-privacy/ 

数据管家:  负责大学功能和确定数据维护和控制方法的人是数据管理员.

电子数据/数据: 不同的信息片段, 有意无意地提供给大学的各种行政管理, 学术和业务流程. 本政策适用于存储在任何电子媒体上的所有数据, 及在任何电脑系统内界定为大学资讯科技资源 OU美联社&大学信息技术资源的利用. 在本文档中，电子数据和数据可以互换使用. 这个定义不包括课程材料和知识产权.

移动计算设备:  信息技术资源(定义见 OU美联社&大学信息技术资源的利用)，可能会离开校园的一般位置. 这类装置的样本包括, 但不限于, 笔记本电脑, 平板电脑,  手机, 智能手机, 以及其他便携式设备, CD/DVD光盘, USB设备, 闪存, 等.

关键操作数据:  确定对大学整体成功运作至关重要和必不可少的数据, 其损失或损坏将对持续经营造成严重的不利影响. 接受这种分类的数据需要高水平的保护，以防止意外分布, 暴露或破坏, 并且必须包含高质量的灾难恢复和业务连续性措施. Data in this category include Data stored on Enterprise Systems such as 横幅 和 Data passed through networked communications systems. 此类数据可根据定义发布或共享, 披露的具体程序, 例如部门指导方针, 文件化的程序或政策.

大学提供的数据系统:  信息技术资源，定义和描述在 OU美联社&大学信息技术资源的利用，用于储存、维护及处理大学的资料.

无限制的数据:  根据需要可能发布或共享的信息. 例如用于类调度的数据文件或其他公开可用的数据(如目录). 

程序:

1.  数据管理

数据管理员需要创建、沟通和执行数据维护和控制方法. Data Stewards are also expected to have knowledge of functions in their areas 和 the data 和 information used in support of those functions. Vice Presidents are accountable for the ultimate data management 和 stewardship in their respective areas of responsibility, 并且是所有大学数据的默认数据管理员. 中列出了认可的数据管理员 附件审批表.

2.  数据维护和控制方法

数据管理员将为他们指定的系统开发和维护数据维护和控制方法.

When authorizing 和 assigning access controls defined in the 数据维护和控制方法s involving 保密 Data 和 操作至关重要 Data, Data Stewards will restrict user privileges to the least access necessary to perform job functions based on job role 和 responsibility.

如果系统是大学提供的数据系统, 大学技术服务将提供, 要求, 为《韦德体育官方网站》所指明的任务提供指引及服务.

如果系统由公有云提供, the Data Steward must still verify that the 数据维护和控制方法 used by the Public Cloud provider meets current University technology st和ards. 进一步, ongoing provisions for meeting current University technology 和 security st和ards must be included in the service contract.

Review of Public Cloud solutions must include 大学科技服务 和 法律事务厅 prior to final solution selection 和 purchase.

使用个人设备进行大学事务的人员必须遵守悉尼科技大学提供的所有指导, 以及所有大学政策.  

3.  数据保管工作

数据保管人将按照既定的数据维护和控制方法使用数据. 未能按照既定的系统方法处理或处理数据将被视为违反  OU美联社&大学信息技术资源的利用，该政策中规定的制裁可能适用.

4.  数据使用

在所有情况下, Data provided to the University will be used in accordance with the 隐私声明 accessed from the University home page www.奥克兰.edu, 并在向大学提供数据的人士提供的指引内(指引由数据来源提供).

软件解决方案, 包括SaaS解决方案, 被选中来管理数据并被采购, 购买和安装与大学政策相关的软件(如 OU美联社&p# 870软件规范 和 OU美联社&p# 1000采购政策).  

数据将根据大学政策(如 OU美联社&p# 470发布学生教育记录). 来自外部机构的信息请求(如信息自由法案请求), 传票, 执法机构要求, or any other request for Data from an external source) must be directed to the 法律事务厅 和 加工过的 in accordance with existing policies, 特别获授权使用于 OU美联社&大学信息技术资源的利用.

安全文件传输标准, 或数据交换, must be evaluated by 大学科技服务 when a system other than a University Provided Data System is selected or when a Public Cloud is utilized. 可能需要具体的合同语言. 必须就这种措词同法律事务厅协商.

不接受未加密的授权和数据传输.

用于教学的数据, 学习, 研究和管理必须保持诚信和信任. 这是所有使用数据的人的责任.

通过最终用户消息传递技术传送机密数据(1).e.(电子邮件、即时通讯、聊天或其他通讯方式).  UTS可以验证某一特定技术是否适合传输机密数据.  

5.  存储数据

Data cannot be stored on a system other than a University Provided Data System without the advance permission of the Data Steward 和 demonstrated legitimate need.

数据应尽可能以加密格式存储.  机密数据必须以加密格式存储.  加密策略应事先与大学技术服务部进行审查，以避免意外的数据锁定.  

Data cannot be stored on a University-provided Computing Device unless the device is encrypted without the advance permission of the Data Steward 和 demonstrated legitimate need.

数据必须存储在数据管理员批准的设备和位置上. 如果信息技术资源(计算机、打印机等项目定义在 OU美联社&大学信息技术资源的利用)存放在校外的地方, 在使用这些资源存储大学数据之前，该位置必须得到数据管理员和UTS的批准.

新技术可以在传真机上存储数据, 复印机, 手机, 销售点设备和其他电子设备. 数据管理员负责发现存储的数据，并在设备释放之前删除数据.

批准移动计算设备使用时, Data Stewards must verify that those using Mobile Computing Devices can provide information about what Data was stored on the device (such as a copy of the last backup) in the event the device is lost or stolen.

在任何情况下，数据存储必须符合大学保留政策. 公有云系统中的数据使用必须在服务合同中有明确的保留标准. 必须就这种措词同法律事务厅协商.

合同中必须包括在合同终止时归还所有大学数据的规定, 当数据存储在公有云上时. 必须就这种措词同法律事务厅协商. 当前的安全标准(如受控访问), 个人防火墙, 杀毒, 完全更新和修补的操作系统, 等.) will be evaluated when a system other than a University Provided Data System is selected 和 must be covered in contract language. 必须就这种措词同法律事务厅协商.

存储在移动计算设备上的数据必须通过当前的安全标准方法(例如控制访问)加以保护, 防火墙, 杀毒, 完全更新和修补的操作系统, 等.).

University st和ard procedures for the protection 和 safeguarding of 保密 Data 和 操作至关重要 Data must be applied equally 和 without exception to University Provided Data Systems, 移动计算设备和系统(大学提供的数据系统除外), 例如公共云解决方案.

6.  系统和网络数据

系统和网络数据, 通过系统或网络管理生成, 日志或其他系统记录活动, 不能使用, 或捕获, 聚集, 分析或传播, 未经首席信息官事先许可, 大学科技服务.

7.  数据值

在通过公共云处理数据的所有情况下, 必须进行以下评估:

• 数据的价值必须以某种有形的方式确定.
  
  
• Signature approval from the Data Steward’s division vice president or appropriate party with the ability to authorize activity at the level of the value of the Data must be obtained.

8.  制裁

Failure to follow the guidelines contained in this document will be considered inappropriate use of a University information technology resource 和 therefore a violation of OU美联社&大学信息技术资源的利用. 制裁将按照该政策确定的步骤进行.

9.  资料保安漏洞检讨小组

成立资料保安外泄检讨小组(小组)，由以下成员组成:

助理副总裁兼财务总监

首席信息官

警务处处长

校园传播总监

注册商

风险管理总监

法律事务厅

如果发现未经授权访问机密数据, 必须联系专家组的一名成员, 然后由谁召集小组. This contact with the Panel must be initiated as soon as possible after the breach in order to assist the University in meeting its legal obligations, 并可由数据管理员发起, 由资料使用者提供, 丢失或被盗的笔记本电脑或存储设备的主人, 或任何知悉未经授权的资料存取的人士.

需要通知的潜在数据安全漏洞示例包括, 但不限于:

小组将:

相关政策及表格:   

OU美联社&p# 212银行卡信息安全要求

OU美联社&360物业管理

OU美联社&p# 470发布学生教育记录

OU美联社&p# 870软件规范

OU美联社&大学信息技术资源的利用

OU美联社&p# 1000采购政策

OU美联社&风险管理/保险政策 & 程序 

数据管理员审批表

附录: