安全访问和Data存储标准
1。概述
betway苹果阿克伦大学的(UA)是致力于保护它的信息。不当访问,和存储的数据礼物大学的重大风险那必须减轻。
2。目的
These年代tandard年代大纲适当方法和正确安全地访问和存储机构和机制保护机构数据。
特别注意和意识是需要尊重“保护机构数据。”保护机构数据是任何数据的一个毫无根据的和/或未经授权的披露将对机构或有不利影响的个人有关。未经授权的披露或处理不当保护机构数据在某些情况下,可能是一个违反了联邦和州法律,在某些令人震惊的的情况下,机构及其雇员可以举行个人负责任的损害赔偿和/或补救成本。
为了执行其商业和教育操作,大学例行公事地必须collect和利用保护机构数据,包括:社会安全号码(SSN)、信用卡号码,银行帐户信息,驾照数字、名称、地址、生日、密码、个人识别号码(pin),和身份证照片。具体的大学也可以维护其他类型的办公室保护机构数据,包括:医疗记录、纳税申报表、捐赠信息、邮件列表、奖学金信息,金融信息,专有的招标信息。这些例子不详尽或全部- - - - - -包容性。
它的责任所有大学员工处理任何数据理解数据是敏感和机密,遵守以下指导方针和任何适用的规定。
3所示。范围
这些标准适用于所有大学利益相关者和外部第三方授权访问机构数据。机构数据可能存在于任何媒体,包括但不限于:数字媒体、纸质文件、照片、缩微平片等。这些标准并不适用于数据或记录个人财产的社区大学的一员。
4所示。定义
- 数据所有者——个人或团体有责任和权力决定一组特定的数据。数据所有者负责收集和使用信息的函数或函数,确定信息的级别的保护,适当的使用信息,做出决策,并确定适当的分类信息。一般情况下,这个角色功能学术或行政地区如注册、人力资源或办公室的首席财务官和教务长。
- 数据管理员——数据所有者发现的人采取行动,和来批准或拒绝访问数据,代表数据的所有者。
- 日期托管人——个人或单位负责实施控制数据所有者标识。这个角色通常包括信息技术服务或部门的技术支持。
- 数据用户——任何与数据交互的人。这包括人或程序创建、更新阅读,或删除信息。
- 机构数据,任何信息或数据收集、分析或发表的任何部门betway苹果阿克伦大学的使命(s)的支持。
- 保护机构数据——任何信息归类为比公共使用的限制它的数据分类标准。
5。标准
- 安全访问
- 只有经过授权的用户,由数据所有者和/或数据管家(s),应当得到保护机构的数据。
- 各方处理保护机构数据必须阅读、理解,并遵守所有适用的政府法规、规则,及其和人力资源政策管理访问和存储的数据保护机构。
- 传播保护机构数据必须使用当前加密加密标准。保护机构通过电子邮件发送的数据必须被加密。请参阅如何加密邮件指导如何加密的电子邮件。
- 数据存储
- 库存和识别保护机构数据在你的控制。数据用户必须保持所有的机密性保护机构数据符合所有适用的法律、法规,其数据分类标准,其数据存储标准。
- 保护机构数据应该存储在尽可能少的地方。
- 保护机构数据可能只是维护在系统内的数据中心或大学控制云解决方案,如OneDrive, SharePoint,工作日,板岩等。
- 保护机构数据可能不是存储在本地工作站或移动,外部,和/或可移动存储设备,包括智能手机、平板电脑或其他设备。
- 保护机构数据可能不是存储在非大学控制云解决方案,如Dropbox,盒子,Egnyte等等。
- 保护机构数据可能不是存储在网络硬盘,服务器或应用程序没有专门为这个目的批准它。
- 清洗或删除未使用的数据保护机构依照UA的电子文件保留政策,或及时,无意的泄露的风险降到最低。
- 保护机构数据不应该发布到一个网站,即使是短时间的。个人负责维护网站内容必须关于这件事尤其认识和警惕。我f是决定那保护机构数据被发布到一个公共网站,个人负责网站立即删除吗保护机构数据并通知大学首席信息安全官(CISO)。
- SSNs可能不是存储在工作站或可移动媒体。此外,ssn可能不是存储在系统或媒体不受其控制或阿克伦大学的。betway苹果
- Credit卡号可能不收集和存储在独立的设备,数字媒体,或纸质媒体。应该通过处理信用卡号码将经批准的安全的方法,实时授权或拒绝交易,但不保留或存储信用卡号码。收集信用卡号码通过电话,网站,或电子邮件,和留住这些数字在纸上或在电子文件定期处理是不好的做法,没有安全感,是被禁止的。如果你需要帮助处理信用卡安全,与服务台联系。
- 问题
- 关于如何处理的问题保护机构数据应该指向电子邮件的信息安全团队security@www.jamsic.com。
6。标准的遵从性
- 角色和职责
- 每个大学部门/单位负责实施,监控,审查和更新它的内部政策和实践以确保遵守这标准。
- 首席信息安全官负责执行标准。
- 不符合
- 员工或学生故意违反th是标准的或任何适用的大学政策适用于数据安全,和/或以任何方式故意违反了保密保护机构数据可能受到适当的纪律处分或制裁。
- 报告
- 未经授权的访问或披露,保护机构数据,包括授予访问或共享的情况下错误,须报经首席信息安全官(CISO)立即按照第五节的“报告”:信息安全应急响应程序。
7所示。相关文档
大学规则3359 - 11 - 10.3:信息安全政策和系统完整性
大学规则3359 - 11 - 10.6:社会安全号码使用政策
大学规则3359 - 11 - 10.8:身份盗窃检测、预防和缓解政策
大学规则3359-11-19:政策和程序发布,选择健康信息的隐私和安全
8。标准历史
批准机关:首席信息官
政策经理:首席信息安全官
有效日期:08/29/2022
之前生效日期:06/09/2021
下次审核日期:06/01/2023