30.大学数据分类和标准
老板:
- 位置: 信息技术副总裁兼首席信息官
- 电子邮件: support@levitrastrips.com
最后更新: 2023年2月28日
序言. 数据和信息是大学的重要资产,必须保护其完整性, 保密, 或符合大学政策和标准的可用性, 校董会政策, 适用的合同, 以及州和联邦的法律法规. 这规定了用户对大学数据和存储或处理数据的系统进行分类和应用适当保护的责任.
A. 定义.
A-1. 数据所有者: 直接负责所有指定类型数据的访问和使用的大学/学院/部门高级行政人员. 这个词的用法, 与此政策相关的是,不影响大学对数据所有权的要求或权利,也不影响大学对第三方数据的所有权. 例如, 根据现行政策,大学产生的研究数据归大学所有, FSH 5700, 但根据本政策条款,负责研究和经济发展的副总裁将被视为数据所有者, APM 30.11.
A-2. 数据管家: 在数据领域具有专业知识的文档化员工, 谁对数据所有者负责,以确保适当的访问控制和保护措施被应用,以保持合规性. 数据管理员与数据所有者和大学信息安全办公室协调数据分类,并确定对涉及他们所委托的数据的安全事件的适当反应.
A-3. 接线员: 任何负责处理或处理大学数据的个人. 这包括代表数据所有者访问大学数据资源的合同供应商或附属机构.
A-4. 数据安全标准: 保护一类数据和达到保密目标所需的最低限度的技术和管理控制, 完整性和可用性. OIT可与数据所有者合作发布补充要求, 或由其他大学政策定义,以满足安全目标,包括合规要求.
A-5. 系统: 为存储、处理、维护、共享或处置数据而组合起来的一组离散资源. 这包括, 但不限于, 任何端点设备(桌面), 笔记本电脑, 智能手机, 平板电脑)和服务器, 网络, 或者第三方和云服务.
B. 政策.
B-1. 一般. 数据和信息系统必须根据与存储数据相关的风险进行分类, 访问, 或加工. Data with the highest risk needs the greatest level of protection; data with lower risk requires proportionately less protection. 符合联邦信息处理标准(FIPS)第199版, 如果数据的安全性被破坏,则根据对个人或大学的影响对大学数据进行分类. 数据所有者可以为特定数据集指定更高的一般风险级别,或者为风险类别建立补充标准.
B-2. 类别.
(a)低风险. 失去保密性的潜在影响, 完整性, 或者可用性可能只会对大学的运作产生有限的不利影响, 个人, 或资产. 例如:发布的公共信息,包括新闻稿, 目录信息, 或非保密或管制的研究数据.
(b)中度风险. 失去保密性的潜在影响, 完整性, 或者可用性可能会对大学的运作产生严重的不利影响, 个人, 或资产. 例如:FERPA
(c)高风险. 对失去保密性的潜在影响, 完整性, 或者可用性可能会对大学的运作产生严重或灾难性的不利影响, 个人, 或资产. 例如:必须受法律或行业法规(HIPAA ePHI)保护的私人信息, 社会安全号码, 驾驶执照号码, 银行或信用帐户号码).
B-3. 数据安全标准. 必须根据所处理的最高风险数据对数据、帐户和系统进行分类. 所有访问大学技术资源的用户和系统必须达到或超过基于该系统存储或访问的最高数据分类的要求标准. OIT信息安全办公室应予以公布, 并且至少每年进行一次评估, 数据安全标准与适当的咨询小组,并由首席信息官(CIO)批准.
(a)公布的标准应包括但不限于:
(1)最低安全标准(以前称为网络计算设备标准),所有利用学校网络或代表学校处理数据的系统必须满足该标准,并被列为低风险.
(2)中等风险标准,所有被归类为中等风险的系统都必须满足该标准.
(3)高风险标准,所有被归类为高风险的系统都必须满足该标准.
(4)满足合规要求的补充标准或参考资料, 合同, 或其他政策或行业法规要求(例如.g.现行支付卡行业数据安全标准(PCI-DSS).
(5)美国国家标准与技术研究院(NIST)特别出版物800-171中概述的要求, 或者它的当前版本.
(b)除非另有规定或要求, 对已发布的标准进行变更,应当自发布之日起90日内经国家信息产权局批准生效. 在可能的情况下,对于标准的重大变化,将给予额外的通知.
B-4. 合规. 已知不符合此政策和已公布标准的系统或用户将被取消对大学技术资源或数据的访问权限. 在适当的地方, OIT将通知适当的内部权威机构, 包括数据管理员, 风险管理办公室, 或研究保证办公室, 是适用的, 不遵守的情况. 适用的内部机构将对违规行为采取纪律处分, 在适当的地方.
B-5. 报告事件. 在发生可疑事件或事件时, 包括涉及任何可能对大学产生不利影响的大学技术资源的违规行为, 事件的立即通知必须发送到以下地址:
- 资讯科技署保安办事处(its-security@levitrastrips.com)
- 数据管家(如果知道的话)
在事件被报道后, 应根据学校的技术安全事件响应计划对其进行调查和升级.
C. 范围. 这项政策适用于所有大学教员, 工作人员, 学生, 附属机构访问, 存储, 处理大学数据或利用大学系统或技术资源.
D. 异常. 对本政策的全部或部分例外情况提出的请求可以书面形式提交给信息安全官,信息安全官将评估风险,并向相应的数据专员和/或首席信息官提出建议,以供审查或可能的批准. 任何例外情况必须至少每年审查一次.
E. 联系信息. 资讯科技署资讯保安办事处(its-security@levitrastrips.com)可协助解答有关本政策及相关标准的问题.
F. 参考文献.
FIPS第199版
NIST SP800-53rev.4
UI - FSH 5300 -版权、受保护的发现和其他知识产权
UI - FSH 5700 -研究资料
UI - APM 45.19 ——美国《出口管制.S.
UI - APM 45.22 - - - - - -资格, 主要研究人员的能力和努力要求, 首席调查人员, 和/或项目总监
UI - apm 65.02 和 65.06