860 Data Management 和 Information Security

理由是:  为每位访问电子格式数据和信息的十大菠菜台子(大学)员工提供指导方针，以确保数据的安全性. 未经授权访问这些信息可能会产生许多严重的负面后果, 包括对大学声誉的不利影响.  The use of Mobile Computing Devices, electronic file exchanges, 越来越多的云服务提供商的使用增加了大学电子数据和信息资产的脆弱性. 随着新技术的开发和实施, 和 as new laws covering Data security emerge, 围绕数据管理和安全的问题层出不穷.

政策:  电子数据是重要的大学资产，必须通过适当的保障措施加以保护，并在数据管理方面进行管理. 该政策定义了所需的电子数据管理环境和数据分类, 并分配责任，确保每个访问和控制级别的数据和信息隐私和安全.

SCOPE AND APPLICABILITY:  这一政策适用于所有大学人员和附属用户访问大学的数据.

定义:

关联用户:  与开放大学有关系并需要访问大学系统的供应商和客人.

应用程序:  为提供商业/学术/社交功能而在计算机上运行的计算机软件程序.
 

云:  An on-dem和 availability, 地理上分散的计算机系统资源基础设施, 尤其是数据存储(云存储)和计算能力, without direct active management by the end user.  云可能仅限于单个组织(私有云), 或可供许多组织使用(公共云).  云计算提供商根据三种标准模型提供他们的“服务”:基础设施即服务(IaaS), Platform as a Service (PaaS), 和 Software as a Service (SaaS). 

机密数据:  法律特别限制向公众公开披露的数据被归类为机密数据. 机密数据需要高度的保护，以防止未经授权的泄露, 修改, 传输, 破坏, 和使用. 机密数据包括但不限于: 

1. 受家庭教育权利和隐私法案(FERPA)保护的学生数据, 包括个人身份资料，如社会安全号码, student numbers such as Grizzly IDs, 以及其他未被FERPA归类为目录信息的数据.;
   
   
2. 医疗数据, 例如受《十大菠菜软件》(HIPAA)保护的电子健康信息和数据;
   
   
3. 研究.  只有以下大类的研究数据和信息才被视为机密数据:  
   a. 分类研究
   b. 完全执行的保密协议(NDA)所涵盖的活动;
   c. 信息、数据等., 专有的或机密的(无论是属于公开大学研究者还是外部合作者), regardless of whether it is subject to an NDA;
   d. 保荐人认为保密的资料; 
   e. 根据州或联邦法律要求被视为机密的信息或数据(例如.g., 研究对象的个人识别信息, HIPAA or FERPA protected information, 等.); 和
   f. 与研究不当行为的指控或调查有关的信息.  
   
   All other research data 和 information, including grant applications 和 proposals, 专利申请或研究出版物的草稿和工作底稿, 和 de-identified research Data, shall be considered 操作至关重要 Data.  
   
   所有研究和提案信息被传送给/从, 或者坚持住, OU的电子研究管理平台(Cayuse)使用2048位SSL和/或IPSEC隧道进行加密.  Cayuse平台中的信息仅在需要知道的基础上可用，并且需要活动OU NetID和密码进行身份验证.
   
   
4. Information access security, 例如登录密码, Personal Identification Numbers (PINS), logs with personally identifiable Data, 数字化签名, 和加密密钥;
   
   
5. 主帐号, 持卡人数据, 信用卡号, payment card information, 银行信息, employer or taxpayer identification number, dem和 deposit account number, 储蓄账号, financial transaction device account number, 帐户密码, 股票或其他安全证书或账号(例如受支付卡行业数据安全标准保护的数据);
   
   
6. 个人档案，包括社会安全号码;
   
   
7. 图书馆 records (such as covered by the Michigan 图书馆 Privacy Act 455); 和
   
   
8. 驾驶执照号码, state personal identification card numbers, 社会安全号码, employee identification numbers, government passport numbers, 以及受州和联邦身份盗窃法律法规(包括但不限于《十大菠菜台子》(MCL 445))保护不得披露的其他个人信息.61 et. seq.).

数据分类:  本政策所涵盖的所有电子数据均分为以下三类:

1. 保密
   
   
2. 操作至关重要
   
   
3. 不受限制的

数据保管:  为资讯系统提供运作支援，并负责执行由数据管理员所订定的数据维护及控制方法的人员或部门.

Data Maintenance 和 Control Method:  由数据专员定义和批准的流程，以处理以下任务:

1. 定义具有指定访问权限的访问控制, 特权支持, 和 documented management approval, based on job functions 和 requirements.
   
   
2. Identification of valid Data sources
   
   
3. 从已识别的来源接收数据的可接受方法
   
   
4. Process for the verification of received Data
   
   
5. 规则, 新数据录入的标准和指引, change of existing Data or deletion of Data
   
   
6. 有控制地访问数据的规则、标准和指南
   
   
7. Process for Data integrity verification
   
   
8. 分发、发布、共享、存储或传输数据的可接受方法
   
   
9. Acceptable Data locations
   
   
10. 提供机密数据和关键操作数据的安全
    
    
11. 确保数据的处理、处理、安全性和灾难恢复的良好方法
    
    
12. Assuring that data are 聚集, 加工过的, 根据网站上公布的大学隐私声明共享和存储 http://cteresources.yinghuiqibao.com/policies-regulations/web-privacy/ 

数据管家:  负责大学功能和确定数据维护和控制方法的人是数据管理员.

电子数据/数据: Distinct pieces of information, 有意无意地提供给大学的各种行政管理, academic 和 business processes. 本政策适用于存储在任何电子媒体上的所有数据, 及在任何电脑系统内界定为大学资讯科技资源 OU美联社&大学信息技术资源的利用. 在本文档中，电子数据和数据可以互换使用. 这个定义不包括课程材料和知识产权.

Mobile Computing Devices:  Information technology resources (as defined in OU美联社&大学信息技术资源的利用) that may leave the general campus location. Samples of such devices include, 但不限于, 笔记本电脑, 平板电脑,  手机, 智能手机, 和 other portable devices, CD/DVD光盘, USB设备, 闪存, 等.

操作至关重要 Data:  确定对大学整体成功运作至关重要和必不可少的数据, 其损失或损坏将对持续经营造成严重的不利影响. 接受这种分类的数据需要高水平的保护，以防止意外分布, 暴露或破坏, 并且必须包含高质量的灾难恢复和业务连续性措施. 这类数据包括存储在企业系统(如横幅)上的数据和通过网络通信系统传递的数据. 此类数据可根据定义发布或共享, specific procedures for disclosure, such as departmental guidelines, documented procedures or policies.

University Provided Data Systems:  信息技术资源，定义和描述在 OU美联社&大学信息技术资源的利用，用于储存、维护及处理大学的资料.

无限制的数据:  根据需要可能发布或共享的信息. 例如用于类调度的数据文件或其他公开可用的数据(如目录). 

程序:

1.  数据管理

数据管理员需要创建、沟通和执行数据维护和控制方法. 数据管理员还应了解其所在领域的职能以及为支持这些职能所使用的数据和信息. 副总裁负责各自职责范围内的最终数据管理和管理, 并且是所有大学数据的默认数据管理员. Recognized Data Stewards are listed in the 附件审批表.

2.  Data Maintenance 和 Control Method

数据管理员将为他们指定的系统开发和维护数据维护和控制方法.

授权和分配《十大菠菜台子》中定义的涉及机密数据和关键操作数据的访问控制时, Data steward将根据工作角色和职责将用户权限限制为执行工作功能所需的最少访问权限.

如果系统是大学提供的数据系统, University Technology Services will provide, 要求, 为《十大菠菜软件》所指明的任务提供指引及服务.

If the system is provided by a Public Cloud, 数据管理员还必须验证公共云提供商使用的数据维护和控制方法是否符合当前大学的技术标准. 进一步, 服务合同中必须包含符合当前大学技术和安全标准的持续条款.

在最终选择和购买解决方案之前，必须对公共云解决方案进行审查，包括大学技术服务和法律事务办公室.

使用个人设备进行大学事务的人员必须遵守悉尼科技大学提供的所有指导, 和 all University policies.  

3.  数据保管工作

数据保管人将按照既定的数据维护和控制方法使用数据. 未能按照既定的系统方法处理或处理数据将被视为违反  OU美联社&大学信息技术资源的利用, 和 sanctions defined in that policy may apply.

4.  数据使用

在所有情况下, 提供给大学的资料将按照从大学主页获取的隐私声明使用 www.奥克兰.edu, 并在向大学提供数据的人士提供的指引内(指引由数据来源提供).

软件解决方案, including SaaS solutions, are selected to manage Data 和 are procured, 购买和安装与大学政策相关的软件(如 OU美联社&P #870 Software Regulations 和 OU美联社&P #1000采购政策).  

数据将根据大学政策(如 OU美联社&P #470 Release of Student Educational Records). 来自外部机构的信息请求(如信息自由法案请求), 传票, law enforcement agency requests, (或任何其他来自外部来源的数据请求)必须提交给法律事务办公室，并根据现有政策进行处理, particularly Authorized Use in OU美联社&大学信息技术资源的利用.

St和ards for secure file 传输s, 或数据交换, 当选择大学提供的数据系统以外的系统或使用公共云时，必须由大学技术服务进行评估吗. Specific contract language may be required. 必须就这种措词同法律事务厅协商.

不接受未加密的授权和数据传输.

Data Used in the pursuit of teaching, 学习, 研究和管理必须保持诚信和信任. This is the responsibility of all who use Data.

通过最终用户消息传递技术传送机密数据(1).e.(电子邮件、即时通讯、聊天或其他通讯方式).  UTS可以验证某一特定技术是否适合传输机密数据.  

5.  存储数据

未经数据管理员事先许可并证明有合法需要，数据不能存储在大学提供的数据系统以外的系统上.

数据应尽可能以加密格式存储.  机密数据必须以加密格式存储.  加密策略应事先与大学技术服务部进行审查，以避免意外的数据锁定.  

数据不能存储在大学提供的计算设备上，除非该设备在未经数据管理员事先许可的情况下被加密并证明有合法需要.

数据必须存储在数据管理员批准的设备和位置上. 如果信息技术资源(计算机、打印机等项目定义在 OU美联社&大学信息技术资源的利用) are stored at an off-campus location, 在使用这些资源存储大学数据之前，该位置必须得到数据管理员和UTS的批准.

新技术可以在传真机上存储数据, 复印机, 手机, 销售点设备和其他电子设备. 数据管理员负责发现存储的数据，并在设备释放之前删除数据.

When approving Mobile Computing Device Usage, 数据管理员必须验证，在设备丢失或被盗的情况下，使用移动计算设备的用户可以提供有关设备上存储的数据(例如上次备份的副本)的信息.

在任何情况下，数据存储必须符合大学保留政策. 公有云系统中的数据使用必须在服务合同中有明确的保留标准. 必须就这种措词同法律事务厅协商.

合同中必须包括在合同终止时归还所有大学数据的规定, when Data are stored on a Public Cloud. 必须就这种措词同法律事务厅协商. 当前的安全标准(如受控访问), 个人防火墙, 杀毒, fully updated 和 patched operating systems, 等.)将在选择大学提供的数据系统以外的系统时进行评估，并且必须以合同语言涵盖. 必须就这种措词同法律事务厅协商.

存储在移动计算设备上的数据必须通过当前的安全标准方法(例如控制访问)加以保护, 防火墙, 杀毒, fully updated 和 patched operating systems, 等.).

保护和保障机密数据和关键操作数据的大学标准程序必须一视同仁，无一例外地适用于大学提供的数据系统, 移动计算设备和系统(大学提供的数据系统除外), such as Public Cloud solution.

6.  Systems 和 network data

Systems 和 network Data, 通过系统或网络管理生成, logs or other system recording activities, 不能使用, 或捕获, 聚集, analyzed or disseminated, 未经首席信息官事先许可, University Technology Services.

7.  数据值

在通过公共云处理数据的所有情况下, the following assessment must be done:

• 数据的价值必须以某种有形的方式确定.
  
  
• 必须获得数据管理员部门副总裁或有权授权数据价值级别活动的适当方的签名批准.

8.  制裁

不遵守本文件中包含的指导方针将被视为不适当使用大学信息技术资源，因此违反了开放AP&大学信息技术资源的利用. 制裁将按照该政策确定的步骤进行.

9.  Data Security Breach Review Panel

成立资料保安外泄检讨小组(小组)，由以下成员组成:

Associate Vice President 和 Controller

Chief Information Officer

警务处处长

Director of Campus Communications

注册商

Director of Risk Management

法律事务厅

如果发现未经授权访问机密数据, a member of the Panel must be contacted, who will then convene the Panel. 在违规行为发生后，必须尽快开始与专家组的联系，以协助大学履行其法律义务, 和 may be initiated by the Data Steward, 由资料使用者提供, 丢失或被盗的笔记本电脑或存储设备的主人, 或任何知悉未经授权的资料存取的人士.

需要通知的潜在数据安全漏洞示例包括, 但不限于:

小组将:

RELATED POLICIES AND FORMS:   

OU美联社&p# 212银行卡信息安全要求

OU美联社&P #360物业管理

OU美联社&P #470 Release of Student Educational Records

OU美联社&P #870 Software Regulations

OU美联社&大学信息技术资源的利用

OU美联社&P #1000采购政策

OU美联社&P #1050 Risk Management/Insurance Policies & 程序 

Data Stewards Approval Table

附录: