ITS:安全访问和Data 存储标准

1. 概述

阿克伦大学(UA)致力于保护其持有的信息。对数据的不当访问和存储给大学带来了重大风险,必须加以缓解。

2. 目的

这些标准概述了安全访问和妥善存储机构和受保护机构数据的适当方法和机制。

对于“受保护的机构数据”,需要特别注意和意识。受保护机构资料是指未经授权及/或未经授权披露会对有关机构或个人产生不利影响的任何资料。在某些情况下,未经授权披露或不当处理受保护的机构数据可能违反联邦和州法律,在某些令人震惊的情况下,机构及其员工可能要对损害和/或补救费用承担个人责任。

为了执行其业务和教育操作,大学必须定期收集和利用受保护的机构数据,包括:社会安全号码(SSN),信用卡号码,银行账户信息,驾驶执照号码,姓名,地址,出生日期,密码,个人识别号码(pin)和身份证照片。特定的大学办公室也可能维护其他类型的受保护机构数据,包括:医疗记录、纳税申报表、捐赠者信息、邮件列表、奖学金信息、财务信息和专有投标信息。这些例子并不详尽或包罗万象。

处理任何大学数据的所有大学员工都有责任了解哪些数据是敏感和机密的,并遵守以下指导方针和任何适用的法规。

3. 范围

这些标准适用于所有大学利益相关者和授权访问机构数据的外部第三方。机构数据可以存在于任何媒体上,包括但不限于:数字媒体、纸质文件、照片、缩微胶片等。这些标准不适用于大学社区成员的个人财产的数据或记录。

4.    定义

  • 数据所有者-对一组特定数据负有责任并有权作出决定的个人或团体。数据所有者负责收集和使用信息的一个或多个功能,确定信息的保护级别,对信息的适当使用做出决定,并确定信息的适当分类。这个角色通常属于功能性的学术或行政区域,如注册处,人力资源,或各办事处首席财务官和教务长。
  • 数据管理员-经资料拥有人确认行事的人士批准或拒绝访问数据,代表资料拥有人的资料
  • 日期托管人-负责实施数据所有者标识的控制的人员或单位。这个角色通常包括信息技术服务或部门技术支持。
  • 数据用户-任何与数据交互的人。这包括创建、更新、读取或删除信息的人员或程序。
  • 机构资料-任何信息或数据收集由…分析或发表的任何部门支持阿克伦大学的使命。
  • 受保护的机构资料-任何被归类为比公共使用更受限制的信息ITS数据分类标准

5. 标准

  • 安全访问
    • 只有经数据所有者和/或数据管理员确定的授权用户才能访问受保护的机构数据。
    • 处理受保护机构数据的所有各方必须阅读、理解并遵守所有适用的政府法规、董事会规则以及管理受保护机构数据访问和存储的ITS和HR政策。
    • 受保护机构数据的传输必须使用当前的加密标准进行加密。通过电子邮件发送的受保护机构数据必须加密。有关如何加密电子邮件的指南,请参阅如何加密电子邮件。
  • 数据存储
    • 清点并识别您控制下的受保护机构数据。数据使用者必须按照所有适用的法律法规、ITS数据分类标准和ITS数据存储标准,对所有受保护的机构数据保密。
    • 受保护的机构资料应储存在尽可能少的地方。
    • 受保护的机构数据只能在ITS数据中心或大学控制的云解决方案(如OneDrive、SharePoint、Workday、Slate等)内的系统上进行维护。
      • 受保护的机构数据不得存储在本地工作站或移动、外部和/或可移动存储设备上,包括智能手机、平板电脑或任何其他设备。
      • 受保护的机构数据不得存储在非大学控制的云解决方案中,如Dropbox、Box、Egnyte等。
      • 受保护的机构数据不得存储在网络驱动器、服务器或未经ITS特别批准的应用程序中。
    • 根据UA的电子记录保留政策或及时清除或删除未使用的受保护机构数据,以最大限度地减少无意披露的风险。
    • 受保护的机构数据不应被发布到网站上,即使是短时间内。负责维护网站内容的个人必须特别认识和警惕这一问题。如果确定受保护的机构数据已发布到公共网站,则该网站的负责人应立即删除受保护的机构数据并通知大学首席信息安全官(CISO)。
    • ssn不能存储在工作站或可移动媒体上。此外,ssn不能存储在ITS或阿克伦大学控制之外的系统或媒体上。
    • 信用卡号码不得收集和存储在独立设备、数字媒体或纸质媒体上。信用卡号码的处理应通过it认可的安全方法进行,实时授权或拒绝交易,但不保留或存储信用卡号码。通过电话、网站或电子邮件收集信用卡号码,并将这些号码保存在纸上或电子文件中以便定期处理,这是一种不安全的做法,是被禁止的。如果您需要安全处理信用卡的帮助,请联系ITS帮助台。
  • 问题
    • 有关如何处理受保护机构数据的问题,请通过电子邮件security@uakron.edu向信息安全团队提出。

6. 标准的遵从性

  • 角色和职责
    • 各大学系/单位负责实施、监督、审查和更新其内部政策和做法,以确保符合本标准。
    • 首席信息安全官负责执行本标准。
  • 不符合
    • 员工或学生故意违反本标准或任何适用于数据安全的大学政策,和/或以任何方式故意违反受保护机构数据的机密性,可能会受到适当的纪律处分或制裁。
  • 报告
    • 对于受保护机构数据的未经授权访问或披露,包括访问被错误授予或共享的情况,必须立即按照ITS:信息安全事件响应程序第5条“报告”的规定向首席信息安全官(CISO)报告。

7. 相关文档

大学规则3359-11-08:学生档案政策和程序大学规则3359-11-10:可接受使用政策大学规则3359-11-10.3:信息安全和系统完整性政策大学规则3359-11-10.4:客户信息安全政策大学规则3359-11-10.6:社会安全号码使用政策大学规则3359-11-10.8:身份盗窃检测、预防和缓解政策大学规则3359-11-11.1:电子记录保留大学规则3359-11-19:选定健康信息发布、隐私和安全的政策和程序ITS:数据访问政策ITS:数据分类标准ITS:信息安全事件报告和响应政策ITS:信息安全事件响应程序

8.    标准历史

审批权限:首席信息官
政策经理:首席信息安全官
生效日期:2022年8月29日
先前生效日期:2021年9月6日
下次审核日期:2023年6月1日

联络资讯保安      联系IT服务台