数据分类标准

1。概述

betway苹果阿克伦大学的(UA)是致力于保护它的信息。不当访问和存储的数据是重要的安全性和遵从性大学,必须减轻风险。

2。目的

这个标准列出了当前敏感分类UA数据。它是艺的责任实现th帮助用户保护标准艺的机构数据。

某些法律法规可能需要额外的标准和程序之外的每个分类定义的基本数据处理指南。这些法律法规的例子包括但不限于:

  • FERPA——家庭教育权利和隐私法
  • GDPR——通用数据保护监管
  • 健康保险流通与责任法案——健康保险可移植性和责任法案
  • pci dss——支付卡行业数据安全标准
  • 研究涉及崔控制的非保密信息

3所示。范围

本标准适用于所有收集的数据,存储或处理大学雇员或第三方通过与大学部门或合同协议单位

4所示。定义

  • 数据所有者——个人或团体有责任和权力决定一组特定的数据。数据所有者负责收集和使用信息的函数或函数,确定信息的级别的保护,适当的使用信息,做出决策,并确定适当的分类信息。一般情况下,这个角色功能学术或行政地区如注册、人力资源或办公室的e首席财务官和教务长。
  • 数据管理员——数据所有者发现的人采取行动,批准或拒绝访问数据,代表数据的所有者
  • 日期托管人——个人或单位负责实施控制数据所有者标识。这个角色通常包括信息技术服务或部门的技术支持。
  • 数据用户——任何与数据交互的人。这包括人或程序创建、更新阅读,或删除信息。
  • 保护机构数据——任何信息归类为比公共使用的限制标准。

5。标准

  • 数据和风险分类
    • 定义的大学四个级别的数据分类、公众、内部,限制,和至关重要的。
      • 公共公共数据就是数据,旨在向公众提供或批准出版。
        • 例子:
          • 公众面对网站
          • 校园地图
          • 目录数据学生没有指定为限制
          • 教师/员工目录数据
      • 内部- - - - - -内部数据是默认分类类别。内部使用的数据并不是用于公共消费,但不符合更严格的类别。披露内部使用的数据不会大大损害了大学。访问内部使用的数据是由业务流程的需要。
        • 例子:
          • 固定资产详细信息
          • 代号的数字
          • UANet ID /电子邮件地址
          • 招生程序
          • 员工提供信
          • 教师任期的建议
          • 任何没有公共、私人或限制
      • 私人,私人数据分为私人由于法律、监管、行政、或合同要求;知识产权或伦理性考量;战略或专有的价值;和/或其他特殊的治理等数据。访问和管理,私人数据需要授权和只授予那些数据允许用户根据适用的法律,规定,合同,规则,政策,和/或角色。
        • 例子:
          • 最后4位数的SSN
          • 成绩绩点/成绩单(FERPA)
          • 家庭住址
          • 控制非保密信息(崔)
          • NDA数据
          • 研究数据
          • 研究合规数据(ITAR EAR)
          • 详细的平面图显示气体、水和洒水器切断、以及有害物质的位置
      • 限制,数据资料的限制,要求最高水平的保护由于法律、监管、行政、契约、规则或政策要求。数据访问和管理,限制严格限制未经授权使用或披露可能大幅或实质性影响大学的使命,操作、信誉、财务状况,或导致潜在的身份盗窃。
        • 例子:
          • 社会安全号码(SSN)
          • 信用卡号码(pci dss)
          • 个人身份信息(PII)
          • HIPAA数据
          • 受保护的健康信息(φ)
          • 政府ID信息
          • 金融账户信息/学生贷款信息(GLBA)
          • 捐赠者的信息
          • 密码,密码,密码,密码和访问代码
    • 每个级别的分类代表一组特定的技术和程序的安全控制,将有助于减少的风险处理不当信息。
    • 数据尚未分类应考虑内部使用,直到数据所有者和/或数据管理员分配(s)一个合适的分类
  • 的分类数据独立于它的格式。物理数据的副本应接受的保密水平数字记录。
  • 问题分类或处理的数据应该被引导到适当的DataOwn,Data年代teward、直接主管部门或学院IT人员,区科技,或它的安全服务。部门或学院IT人员或区域技术,配合其安全服务,可以帮助部门开发适当的控制和过程来保护数据保护机构。
  • 角色和职责
    • 确保正确的信息管理,UA员工和学生必须意识到他们遇到的任何信息的分类和相关的风险和程序来处理信息。
    • 数据所有者负责函数(s)收集和使用信息,确定信息的级别的保护,决定适当的使用信息,确定适当的分类信息,分配数据管理员在适当的地方(s)作为他们的代表。
    • 数据管理员负责审查和批准访问数据在他们的权威和数据所有者的代表。
    • 数据管理者负责确保实施控制的适当水平的分类。
    • 数据用户负责理解的分类信息,他们是允许的访问和确保安全处理的信息。
    • 单位/部门负责记录他们的政策,程序,和架构,包括收集、处理、存储和分析的信息。这个文档应该详细信息的类型创建、存储、读取、或修改及其相关分类;创建账户删除;记录保留和破坏,符合适用的大学记录保留策略;备份策略;和其他相关手续。
  • 敏感的服务器和服务注册
    • UA跟踪服务器包含敏感数据。单位/部门必须文档并告知的安全服务任何服务器在他们的财产包含数据保护机构,以及任何承包服务,要求它们共享数据保护机构。
  • 数据处理
    • 其数据访问策略定义协议和公关ocedures管理授权访问保护机构数据。
    • 它的安全访问和数据存储标准定义了访问的一般指导,保护机构数据的存储和传输。
  • 事故报告
    • 未经授权的访问数据保护机构须报经首席信息安全官(CISO)立即通过提交一个电子邮件security@www.jamsic.com或通过调用它的帮助台(330)972 - 6888。

6。标准的遵从性

  • 角色和职责
    • 每所大学部门/单位负责实施、监控、评估和更新其内部政策和做法,以确保符合这个标准。
    • 首席信息官负责执行这个标准。
  • 不符合
    • 员工或学生故意违反本标准或任何适用的大学政策适用于数据安全,和/或以任何方式故意违反保护机构数据的机密性,可能是受到适当的纪律处分或制裁。

7所示。相关文档

大学规则3359-11-08:学生记录的政策和程序

大学3359-11-10规则:可接受的使用政策

大学规则3359 - 11 - 10.3:信息安全政策和系统完整性

大学规则3359 - 11 - 10.4:客户信息安全政策

大学规则3359 - 11 - 10.6:社会安全号码使用政策

大学规则3359 - 11 - 10.8:身份盗窃检测、预防和缓解政策

大学规则3359 - 11 - 11.1:电子记录保留

大学规则3359-11-19:政策和程序发布,选择健康信息的隐私和安全

其:数据访问政策

:安全访问和数据存储标准

8。标准历史

批准机关:首席信息官
政策经理:首席信息安全冷藏工人
生效日期:03/09 /2022年
之前生效日期:06/09/2021
牧师把日期:06/01/2022

IT安全联系它联系服务台

Baidu
map