860数据管理与信息安全

理由是:  为每位访问电子格式数据和信息的十大菠菜台子(大学)员工提供指导方针，以确保数据的安全性. 未经授权访问这些信息可能会产生许多严重的负面后果, 包括对大学声誉的不利影响.  移动计算设备的使用, 电子文件交换, 越来越多的云服务提供商的使用增加了大学电子数据和信息资产的脆弱性. 随着新技术的开发和实施, 随着涉及数据安全的新法律的出现, 围绕数据管理和安全的问题层出不穷.

政策:  电子数据是重要的大学资产，必须通过适当的保障措施加以保护，并在数据管理方面进行管理. 该政策定义了所需的电子数据管理环境和数据分类, 并分配责任，确保每个访问和控制级别的数据和信息隐私和安全.

适用范围及适用性:  这一政策适用于所有大学人员和附属用户访问大学的数据.

定义:

关联用户:  与开放大学有关系并需要访问大学系统的供应商和客人.

应用程序:  为提供商业/学术/社交功能而在计算机上运行的计算机软件程序.
 

云:  按需提供, 地理上分散的计算机系统资源基础设施, 尤其是数据存储(云存储)和计算能力, 没有终端用户直接的主动管理.  云可能仅限于单个组织(私有云), 或可供许多组织使用(公共云).  云计算提供商根据三种标准模型提供他们的“服务”:基础设施即服务(IaaS), 平台即服务(PaaS), 软件即服务(SaaS). 

机密数据:  法律特别限制向公众公开披露的数据被归类为机密数据. 机密数据需要高度的保护，以防止未经授权的泄露, 修改, 传输, 破坏, 和使用. 机密数据包括但不限于: 

1. 受家庭教育权利和隐私法案(FERPA)保护的学生数据, 包括个人身份资料，如社会安全号码, 学生编号，如灰熊id, 以及其他未被FERPA归类为目录信息的数据.;
   
   
2. 医疗数据, 例如受《十大菠菜台子》(HIPAA)保护的电子健康信息和数据;
   
   
3. 研究.  只有以下大类的研究数据和信息才被视为机密数据:  
   a. 分类研究
   b. 完全执行的保密协议(NDA)所涵盖的活动;
   c. 信息、数据等., 专有的或机密的(无论是属于公开大学研究者还是外部合作者), 不论是否受保密协议约束;
   d. 保荐人认为保密的资料; 
   e. 根据州或联邦法律要求被视为机密的信息或数据(例如.g., 研究对象的个人识别信息, HIPAA或FERPA保护的信息, 等.); 和
   f. 与研究不当行为的指控或调查有关的信息.  
   
   所有其他研究数据和信息, 包括拨款申请及建议, 专利申请或研究出版物的草稿和工作底稿, 和去识别的研究数据, 应被视为关键操作数据.  
   
   所有研究和提案信息被传送给/从, 或者坚持住, OU的电子研究管理平台(Cayuse)使用2048位SSL和/或IPSEC隧道进行加密.  Cayuse平台中的信息仅在需要知道的基础上可用，并且需要活动OU NetID和密码进行身份验证.
   
   
4. 信息访问安全, 例如登录密码, 个人识别号码(pin), 包含个人可识别数据的日志, 数字化签名, 和加密密钥;
   
   
5. 主帐号, 持卡人数据, 信用卡号, 支付卡信息, 银行信息, 雇主或纳税人识别号码, 活期存款账号, 储蓄账号, 金融交易设备账号, 帐户密码, 股票或其他安全证书或账号(例如受支付卡行业数据安全标准保护的数据);
   
   
6. 个人档案，包括社会安全号码;
   
   
7. 图书馆 records (such as covered by the Michigan 图书馆 Privacy Act 455); 和
   
   
8. 驾驶执照号码, 说明个人身份证号码, 社会安全号码, 员工识别码, 政府护照号码, 以及受州和联邦身份盗窃法律法规(包括但不限于《十大菠菜软件》(MCL 445))保护不得披露的其他个人信息.61 et. seq.).

数据分类:  本政策所涵盖的所有电子数据均分为以下三类:

1. 保密
   
   
2. 操作至关重要
   
   
3. 不受限制的

数据保管:  为资讯系统提供运作支援，并负责执行由数据管理员所订定的数据维护及控制方法的人员或部门.

数据维护与控制方法:  由数据专员定义和批准的流程，以处理以下任务:

1. 定义具有指定访问权限的访问控制, 特权支持, 管理批准文件, 根据工作职能和要求.
   
   
2. 有效数据源的标识
   
   
3. 从已识别的来源接收数据的可接受方法
   
   
4. 接收数据的验证过程
   
   
5. 规则, 新数据录入的标准和指引, 更改现有资料或删除资料
   
   
6. 有控制地访问数据的规则、标准和指南
   
   
7. 数据完整性验证过程
   
   
8. 分发、发布、共享、存储或传输数据的可接受方法
   
   
9. 可接受的数据位置
   
   
10. 提供机密数据和关键操作数据的安全
    
    
11. 确保数据的处理、处理、安全性和灾难恢复的良好方法
    
    
12. 确保收集数据, 加工过的, 根据网站上公布的大学隐私声明共享和存储 http://rh6yqojq.allsaving.net/policies-regulations/web-privacy/ 

数据管家:  负责大学功能和确定数据维护和控制方法的人是数据管理员.

电子数据/数据: 不同的信息片段, 有意无意地提供给大学的各种行政管理, 学术和业务流程. 本政策适用于存储在任何电子媒体上的所有数据, 及在任何电脑系统内界定为大学资讯科技资源 OU美联社&大学信息技术资源的利用. 在本文档中，电子数据和数据可以互换使用. 这个定义不包括课程材料和知识产权.

移动计算设备:  信息技术资源(定义见 OU美联社&大学信息技术资源的利用)，可能会离开校园的一般位置. 这类装置的样本包括, 但不限于, 笔记本电脑, 平板电脑,  手机, 智能手机, 以及其他便携式设备, CD/DVD光盘, USB设备, 闪存, 等.

关键操作数据:  确定对大学整体成功运作至关重要和必不可少的数据, 其损失或损坏将对持续经营造成严重的不利影响. 接受这种分类的数据需要高水平的保护，以防止意外分布, 暴露或破坏, 并且必须包含高质量的灾难恢复和业务连续性措施. 这类数据包括存储在企业系统(如横幅)上的数据和通过网络通信系统传递的数据. 此类数据可根据定义发布或共享, 披露的具体程序, 例如部门指导方针, 文件化的程序或政策.

大学提供的数据系统:  信息技术资源，定义和描述在 OU美联社&大学信息技术资源的利用，用于储存、维护及处理大学的资料.

无限制的数据:  根据需要可能发布或共享的信息. 例如用于类调度的数据文件或其他公开可用的数据(如目录). 

程序:

1.  数据管理

数据管理员需要创建、沟通和执行数据维护和控制方法. 数据管理员还应了解其所在领域的职能以及为支持这些职能所使用的数据和信息. 副总裁负责各自职责范围内的最终数据管理和管理, 并且是所有大学数据的默认数据管理员. 中列出了认可的数据管理员 附件审批表.

2.  数据维护和控制方法

数据管理员将为他们指定的系统开发和维护数据维护和控制方法.

授权和分配《十大菠菜台子》中定义的涉及机密数据和关键操作数据的访问控制时, Data steward将根据工作角色和职责将用户权限限制为执行工作功能所需的最少访问权限.

如果系统是大学提供的数据系统, 大学技术服务将提供, 要求, 为《十大菠菜软件》所指明的任务提供指引及服务.

如果系统由公有云提供, 数据管理员还必须验证公共云提供商使用的数据维护和控制方法是否符合当前大学的技术标准. 进一步, 服务合同中必须包含符合当前大学技术和安全标准的持续条款.

在最终选择和购买解决方案之前，必须对公共云解决方案进行审查，包括大学技术服务和法律事务办公室.

使用个人设备进行大学事务的人员必须遵守悉尼科技大学提供的所有指导, 以及所有大学政策.  

3.  数据保管工作

数据保管人将按照既定的数据维护和控制方法使用数据. 未能按照既定的系统方法处理或处理数据将被视为违反  OU美联社&大学信息技术资源的利用，该政策中规定的制裁可能适用.

4.  数据使用

在所有情况下, 提供给大学的资料将按照从大学主页获取的隐私声明使用 www.奥克兰.edu, 并在向大学提供数据的人士提供的指引内(指引由数据来源提供).

软件解决方案, 包括SaaS解决方案, 被选中来管理数据并被采购, 购买和安装与大学政策相关的软件(如 OU美联社&p# 870软件规范 和 OU美联社&p# 1000采购政策).  

数据将根据大学政策(如 OU美联社&p# 470发布学生教育记录). 来自外部机构的信息请求(如信息自由法案请求), 传票, 执法机构要求, (或任何其他来自外部来源的数据请求)必须提交给法律事务办公室，并根据现有政策进行处理, 特别获授权使用于 OU美联社&大学信息技术资源的利用.

安全文件传输标准, 或数据交换, 当选择大学提供的数据系统以外的系统或使用公共云时，必须由大学技术服务进行评估吗. 可能需要具体的合同语言. 必须就这种措词同法律事务厅协商.

不接受未加密的授权和数据传输.

用于教学的数据, 学习, 研究和管理必须保持诚信和信任. 这是所有使用数据的人的责任.

通过最终用户消息传递技术传送机密数据(1).e.(电子邮件、即时通讯、聊天或其他通讯方式).  UTS可以验证某一特定技术是否适合传输机密数据.  

5.  存储数据

未经数据管理员事先许可并证明有合法需要，数据不能存储在大学提供的数据系统以外的系统上.

数据应尽可能以加密格式存储.  机密数据必须以加密格式存储.  加密策略应事先与大学技术服务部进行审查，以避免意外的数据锁定.  

数据不能存储在大学提供的计算设备上，除非该设备在未经数据管理员事先许可的情况下被加密并证明有合法需要.

数据必须存储在数据管理员批准的设备和位置上. 如果信息技术资源(计算机、打印机等项目定义在 OU美联社&大学信息技术资源的利用)存放在校外的地方, 在使用这些资源存储大学数据之前，该位置必须得到数据管理员和UTS的批准.

新技术可以在传真机上存储数据, 复印机, 手机, 销售点设备和其他电子设备. 数据管理员负责发现存储的数据，并在设备释放之前删除数据.

批准移动计算设备使用时, 数据管理员必须验证，在设备丢失或被盗的情况下，使用移动计算设备的用户可以提供有关设备上存储的数据(例如上次备份的副本)的信息.

在任何情况下，数据存储必须符合大学保留政策. 公有云系统中的数据使用必须在服务合同中有明确的保留标准. 必须就这种措词同法律事务厅协商.

合同中必须包括在合同终止时归还所有大学数据的规定, 当数据存储在公有云上时. 必须就这种措词同法律事务厅协商. 当前的安全标准(如受控访问), 个人防火墙, 杀毒, 完全更新和修补的操作系统, 等.)将在选择大学提供的数据系统以外的系统时进行评估，并且必须以合同语言涵盖. 必须就这种措词同法律事务厅协商.

存储在移动计算设备上的数据必须通过当前的安全标准方法(例如控制访问)加以保护, 防火墙, 杀毒, 完全更新和修补的操作系统, 等.).

保护和保障机密数据和关键操作数据的大学标准程序必须一视同仁，无一例外地适用于大学提供的数据系统, 移动计算设备和系统(大学提供的数据系统除外), 例如公共云解决方案.

6.  系统和网络数据

系统和网络数据, 通过系统或网络管理生成, 日志或其他系统记录活动, 不能使用, 或捕获, 聚集, 分析或传播, 未经首席信息官事先许可, 大学科技服务.

7.  数据值

在通过公共云处理数据的所有情况下, 必须进行以下评估:

• 数据的价值必须以某种有形的方式确定.
  
  
• 必须获得数据管理员部门副总裁或有权授权数据价值级别活动的适当方的签名批准.

8.  制裁

不遵守本文件中包含的指导方针将被视为不适当使用大学信息技术资源，因此违反了开放AP&大学信息技术资源的利用. 制裁将按照该政策确定的步骤进行.

9.  资料保安漏洞检讨小组

成立资料保安外泄检讨小组(小组)，由以下成员组成:

助理副总裁兼财务总监

首席信息官

警务处处长

校园传播总监

注册商

风险管理总监

法律事务厅

如果发现未经授权访问机密数据, 必须联系专家组的一名成员, 然后由谁召集小组. 在违规行为发生后，必须尽快开始与专家组的联系，以协助大学履行其法律义务, 并可由数据管理员发起, 由资料使用者提供, 丢失或被盗的笔记本电脑或存储设备的主人, 或任何知悉未经授权的资料存取的人士.

需要通知的潜在数据安全漏洞示例包括, 但不限于:

小组将:

相关政策及表格:   

OU美联社&p# 212银行卡信息安全要求

OU美联社&360物业管理

OU美联社&p# 470发布学生教育记录

OU美联社&p# 870软件规范

OU美联社&大学信息技术资源的利用

OU美联社&p# 1000采购政策

OU美联社&风险管理/保险政策 & 程序 

数据管理员审批表

附录: