数据分类标准

1. 概述

阿克伦大学(UA)致力于保护其持有的信息。不当访问和存储数据对大学来说是一个重大的安全和合规风险,必须加以缓解。

2. 目的

本标准概述了UA数据的当前灵敏度分类。UA有责任实施该标准,以帮助用户保护UA的机构数据。

某些法规和规章可能要求在这里定义的每个分类的基本数据处理指南之外附加标准和程序。这些法规和规章的例子包括但不限于:

  • FERPA-家庭教育权和隐私法
  • GDPR-《一般资料保护规例》
  • 健康保险流通与责任法案——健康《保险流通与责任法案
  • pci dss-支付卡行业数据安全标准
  • 涉及CUI的研究-受控非机密信息

3. 范围

本标准适用于大学员工或第三方通过与大学部门或单位的合同协议收集、存储或处理的所有数据。

4. 定义

  • 数据所有者——对一组特定数据负有责任并有权做出决策的个人或团体。数据所有者负责收集和使用信息的一个或多个功能,确定信息的保护级别,对信息的适当使用做出决定,并确定信息的适当分类。这个角色通常属于功能性学术或行政领域,如注册主任、人力资源或首席财务官和教务长办公室。
  • 数据管理员——由数据所有者确定代表数据所有者采取行动并批准或拒绝对数据的访问的人。
  • 数据管理员-负责实施数据所有者标识的控制的人员或单位。这个角色通常包括信息技术服务或部门技术支持。
  • 资料使用者-任何与资料互动的人。这包括创建、更新、读取或删除信息的人员或程序。
  • 受保护的机构数据-根据本标准分类为限制程度高于公共使用的任何信息。

5. 标准

  • 数据和风险分类
    • 大学定义了四个数据分类的级别,公共、内部、限制和关键。
      • 公共公共数据是旨在向公众提供或批准发布的数据。
        • 例子:
          • 面向公众的网站
          • 校园地图
          • 学生未指定为受限制的目录数据
          • 教职工目录数据
      • 内部- - - - - -内部数据是默认的分类类别。内部使用数据不打算供公众使用,但不适合更严格的类别。披露内部使用数据不会对大学造成重大损害。对内部使用数据的访问由业务流程需要决定。
        • 例子:
          • 固定资产明细
          • 代号数字
          • 网络ID /电子邮件地址
          • 招生程序
          • 员工录用函
          • 教授任期建议
          • 任何非公共、私人或限制的东西
      • 私人,由于法律、法规、行政或合同要求,私有数据被归类为私有数据;知识产权或道德考虑;战略或专有价值;和/或对此类数据的其他特殊治理。访问和管理私人数据需要获得授权,并且只授予适用法律、法规、合同、规则、政策和/或角色所允许的数据用户。
        • 例子:
          • 社会安全号码后4位
          • 成绩绩点/成绩单(FERPA)
          • 家庭住址
          • 受控非机密信息(CUI)
          • NDA数据
          • 研究数据
          • 研究合规数据(ITAR, EAR)
          • 详细的平面图显示煤气、水和喷头的关闭,以及危险物质的位置
      • 限制,受限制的数据是由于法律、法规、行政、合同、规则或政策要求而需要最高级别的保护的数据。访问和管理受限制的数据是严格限制的,因为未经授权的使用或披露可能会严重或实质性地影响大学的使命、运营、声誉、财务或导致潜在的身份盗窃。
        • 例子:
          • 社会安全号码(SSN)
          • 信用卡号码(PCI-DSS)
          • 个人身份资料(PII)
          • HIPAA数据
          • 受保护的健康信息(PHI)
          • 政府身份证资料
          • 财务账户信息/学生贷款信息(GLBA)
          • 捐赠者的信息
          • 密码、口令、PIN码、安全码和访问码
    • 每个级别的分类代表一组特定的技术和程序安全控制,这些控制将有助于减少信息处理不当的风险。
    • 在数据所有者和/或数据管理员指定适当的分类之前,尚未分类的数据应视为内部使用
  • 数据的分类与格式无关。数据的物理副本应与数字记录具有相同的机密性。
  • 有关数据分类或处理的问题应直接咨询适当的数据所有者、数据管理员、直接主管、部门或学院IT人员、区域技术人员或ITS安全服务。部门或学院的IT人员或区域技术人员,在ITS安全服务的协调下,可以协助部门制定适当的控制和流程,以保护受保护的机构数据。
  • 角色和职责
    • 为了确保适当的信息管理,UA员工和学生必须了解他们遇到的任何信息的分类以及相关的风险和处理信息的程序。
    • 数据所有者负责收集和使用信息的功能,确定信息的保护级别,对信息的适当使用做出决策,确定信息的适当分类,并在适当的时候分配数据管理员作为他们的代表。
    • 数据管理员负责在其权限下审查和批准对数据的访问,并在适当情况下代表数据所有者行事。
    • 数据保管员负责确保实施适合分类级别的控制措施。
    • 资料使用者有责任了解他们获准查阅的资料的分类,并确保安全处理该等资料。
    • 单位/部门负责记录其涉及信息收集、处理、存储和分析的政策、程序和架构。该文档应详细说明创建、存储、读取或修改的信息类型及其相关分类;账户创建和删除;记录的保存和销毁,符合适用的大学记录保存政策;备份策略;及其他相关手续。
  • 敏感服务器和服务注册
    • UA跟踪包含敏感数据的服务器。单位/部门必须将其拥有的包含受保护机构数据的任何服务器以及要求其共享受保护机构数据的任何合同服务记录并通知ITS安全服务部门。
  • 数据处理
    • ITS数据访问政策定义了管理授权访问受保护机构数据的协议和程序。
    • ITS安全访问和数据存储标准定义了访问、存储和传输受保护机构数据的一般指南。
  • 事故报告
    • 未经授权访问受保护的机构数据必须立即向首席信息安全官(CISO)报告,通过提交电子邮件至security@uakron.edu或致电ITS帮助台(330)972-6888。

6. 标准的遵从性

  • 角色和职责
    • 各大学系/单位负责实施、监督、审查和更新其内部政策和做法,以确保符合本标准。
    • 首席信息官负责执行这一标准。
  • 不符合
    • 员工或学生故意违反本标准或任何适用于数据安全的大学政策,和/或以任何方式故意违反受保护机构数据的机密性,可能会受到适当的纪律处分或制裁。

7. 相关文档

大学规则3359-11-08:学生档案政策和程序大学规则3359-11-10:可接受使用政策大学规则3359-11-10.3:信息安全和系统完整性政策大学规则3359-11-10.4:客户信息安全政策大学规则3359-11-10.6:社会安全号码使用政策大学规则3359-11-10.8:身份盗窃检测、预防和缓解政策大学规则3359-11-11.1:电子记录保留大学规则3359-11-19:政策和程序的发布,隐私,和选定的健康信息安全ITS:数据访问政策ITS:安全访问和数据存储标准

8. 标准历史

审批权限:首席信息官政策经理:首席信息安全官生效日期:2022年9月3日先前生效日期:2021年9月6日审核日期:2023年6月1日

联络资讯保安      联系IT服务台