它的Data访问 策略

1. 概述

阿克伦大学(UA)应批准对受保护机构数据(定义见下文)的访问,以确保对敏感数据的访问获得授权,需要保护的敏感数据得到适当使用,授权访问符合所有适用的联邦和州法律、大学规则和ITS数据分类标准、政策和程序。

2. 目的

本政策概述了访问和处理受保护机构数据的要求。

3. 范围

本政策适用于UA或代表大学的一方维护的所有受保护的机构数据。此政策不适用于大学社区成员的个人财产的数据或记录。

4. 定义

  • 数据所有者——对一组特定数据负有责任并有权做出决策的个人或团体。数据所有者负责收集和使用信息的一个或多个功能,确定信息的保护级别,对信息的适当使用做出决定,并确定信息的适当分类。这个角色通常属于功能性行政或学术领域,如注册主任、人力资源或首席财务官和教务长办公室。
  • 数据管理员——由数据所有者确定代表数据所有者采取行动并批准或拒绝对数据的访问的人。
  • 数据管理员-负责实施数据所有者标识的控制的人员或单位。这个角色通常包括信息技术服务或部门技术支持。
  • 资料使用者-任何与资料互动的人。这包括创建、更新、读取或删除信息的人员或程序。
  • 外部第三方-代表大学运作的任何组织、供应商、承包商或合作伙伴。
  • 事件响应小组——负责调查数据泄露和其他信息安全事件的个人。这些个人可能包括但不限于UA信息安全服务、UA总法律顾问办公室以及地方、州和联邦执法机构。
  • 机构数据-阿克伦大学任何部门为支持其使命而收集、分析或发布的任何信息或数据。
  • 受保护的机构数据-根据ITS数据分类标准,由数据所有者或指定的数据管理员分类为比公共使用更受限制的任何信息。

5. 策略

  • 机构数据应当分类
    • 机构数据应按照ITS数据分类标准进行分类,以确定在授予访问权限之前所需的保密级别、法律要求和数据的最低标准保护。
    • 在数据所有者或其指定的数据管理员指定分类之前,尚未分类的数据应被视为受保护的机构数据。
  • 机构数据应当妥善保存
    • 机构数据应按照ITS安全访问和数据存储标准进行存储,以防止未经授权访问或丢失机构数据。
  • 只有经授权的用户才能访问受保护的机构数据
    • 数据所有者有权收集和使用与其职能角色和职责相关的相关数据。只有数据所有者或其指定的数据管理员才能授权访问受保护的机构数据。
    • 资料使用者只能存取或试图存取他们已获授权使用的资料。
    • 资料使用者必须了解其所查阅资料的分类,并有责任采取合理措施,防止未经授权的使用者查阅相关的受保护机构资料,以确保其安全及私隐。
    • 外部第三方必须确保只有经授权的员工和/或承包商才能根据合同协议共享的数据访问受保护的机构数据。
  • 资料使用者须负责任地使用受保护的机构资料
    • 资料使用者必须负责任地使用他们可以访问的资料,包括只将资料用于其预期目的和尊重大学社区成员的隐私。
    • 数据用户和外部第三方必须按照所有适用的法律法规、大学规则、ITS数据分类标准和ITS安全访问和数据存储标准对数据保密。
    • 对受保护机构数据的授权访问并不意味着授权复制、进一步传播数据,或雇员获得授权以外的任何使用。
  • 外部第三方接入
    • 外部各方对受保护机构数据的访问应受个别合同协议或谅解备忘录的约束。
    • 该等协议应由阿克伦大学总法律顾问办公室和适当的数据所有者或其指定的数据管理员批准。
  • 未经授权披露受保护的机构资料
    • 未经授权访问或披露受保护机构数据必须立即向首席信息安全官(CISO)报告,方法是发送电子邮件至security@uakron.edu或致电ITS帮助台(330)972-6888。
    • 所有大学人员应与事件响应小组充分合作,迅速解决问题,尽量减少对大学的风险。

6. 政策合规

  • 角色和职责
    • 大学各学系/单位负责执行、监察、检讨及更新内部政策及措施,以确保符合本政策。
    • 外部第三方负责确保遵守本政策以及相关合同协议中概述的规定。
    • 首席信息官负责执行此政策。
  • 不符合
    • 员工或学生故意违反本政策或任何其他适用于数据安全的大学政策,和/或以任何方式故意违反受保护机构数据的机密性,可能会受到适当的纪律处分或制裁。
    • 外部第三方将受相关合同协议中规定的约束。
  • 异常
    • 本政策的任何例外情况必须以书面形式提交给数据所有者,并包括例外的充分理由。
    • 数据所有者对例外请求拥有最终批准权。
    • 对数据所有者决定的任何申诉都应提交给数据访问合规委员会进行审查。
    • 数据访问合规委员会的裁决是最终的,不允许进一步升级。

7. 相关文档

大学规则3359-11-08:学生档案政策和程序大学规则3359-11-10:可接受使用政策大学规则3359-11-10.3:信息安全和系统完整性政策大学规则3359-11-10.4:客户信息安全政策大学规则3359-11-10.6:社会安全号码使用政策大学规则3359-11-10.8:身份盗窃检测、预防和缓解政策大学规则3359-11-19:选定健康信息的发布、隐私和安全政策和程序:数据分类标准:信息安全事件报告和响应政策:安全访问和数据存储标准

8. 政策的历史

审批权限:首席信息官政策经理:首席信息安全官生效日期:2023年1月3日先前生效日期:2021年9月6日审核日期:2023年6月1日

 

联络资讯保安      联系IT服务台