OU管理策略
和程序

Police & Support Services, Room 13
201布鲁克草原路
罗切斯特, MI 48309-4482
(位置图)

search icon

860数据管理和信息安全

学科:数据管理和信息安全
数:860
授权机构:受托人总统的内阁/板
负责办公室:学术事务
发行日期:2005年3月
最后更新:2013年3月

理由:  提供指导方针对于每十大网赌官方(大学)的负责访问数据和世界卫生组织在电子格式的员工信息以提供该数据的安全性。使用的移动计算设备,电子文件交换,并越来越多地使用应用服务提供商的增加电子数据和信息资产的大学的脆弱性。随着新技术的开发和实施,并作为覆盖数据安全性的新法律的出现,围绕数据管理和安全乘问题。

政策:  重要的电子数据是大学必须通过适当的保障措施来保护资产和管理,对于数据管理。 ESTA策略定义在访问和控制的每一级确保数据和信息的保密性和安全性要求的电子数据管理环境和数据的分类,并分配责任。

范围和适用性:  ESTA政策适用于所有高校的人才随着进入大学的数据。

定义:


机密数据:
  这些数据是从开放特别是披露受法律限制公众被列为机密数据。机密数据需要防止未经授权的公开内容,修改,传输,破坏和使用的保护的一个高的水平。机密数据包括,但不限于: 

  1. 由家庭教育权利和隐私法案(FERPA保护学生数据, OU AP&P #1130 Family Educational Rights and 隐私 Act),包括个人识别号码数据作为社会保障这样的,比如学生人数灰熊的ID,而不是列为FERPA下的目录信息等数据。

  2. 医疗数据,如健康保险流通与责任法案(HIPAA)保护电子保护的健康信息和数据;

  3. 研究(例如,相关的未决的专利申请或即将,资助申请和建议,有关人类受试者信息的信息);

  4. 访问安全信息,登录:如密码,个人标识号(PIN),日志数据的个人识别随着数字化的签名,和加密密钥;

  5. 主账户号码,持卡人数据,信用卡号码,支付卡信息,银行信息,工作单位或纳税人识别号,活期存款账号,储蓄账号,金融交易设备账号,账户密码,股票或其他安全证书或账户号码(如由数据安全支付卡行业标准的受保护的数据);

  6. 人事档案,包括社会安全号码;

  7. 库记录(如覆盖的密歇根州的图书馆隐私法案455);和

  8. 驾驶执照号码,个人状态身份证号码,社会数字安全,员工编号识别,政府护照号码,以及由州和联邦身份盗窃的法律和法规,包括但不限于密歇根身份盗窃保护法(保护披露其他个人信息445。61 MCL等。以下)。

数据分类:  通过ESTA政策涵盖所有的电子数据的分配三个类别之一:

  1. 机密

  2. 关键的操作

  3. 无限制

数据托管人:  部门或用于操作支持系统和用于具有实现由数据管家定义的数据维护和控制方法责任提供信息的人。

数据维护和监控方法,包括:  定义和数据核定过程管家处理下列任务:

  1. 随着访问控制的定义分配访问权限,权限启用,并记录管理层的批准,根据工作职责和要求。

  2. 的有效数据源的识别

  3. 用于从识别的源接收数据可接受的方法

  4. 过程接收的数据的验证

  5. 规则,标准和准则的新数据,现有的数据或删除数据的变化项

  6. 数据规则,标准和准则来控制访问

  7. 过程的数据完整性验证

  8. 用于分配,释放,共享,存储或传送数据的可接受的方法

  9. 良好的位置数据

  10. 提供机密数据和关键业务数据的安全性
  11. 确保处理,处理,安全性和数据的灾难恢复声音的方法

  12. 确保此项数据收集,处理,共享和存储在按照隐私权声明张贴在大学 www.oakland.edu

数据管家:  负责大学的功能和确定世界卫生组织的数据维护和数据管理员的监测方法的人。

电子数据/数据: 不同条信息,有意或无意地提供给各种行政,学术和业务流程的大学。 ESTA政策包括存储在任何电子媒体的所有数据,任何计算机系统中定义为下一个大学的信息技术资源 OU AP&P #890利用大学的信息技术资源。在这份执行埃斯特,电子数据和数据可以互换使用。定义不包括ESTA教材和知识产权。

托管解决方案:  托管解决方案包括由第三方托管,外包和应用服务提供商的软件,服务和解决方案。 ESTA包括系统和云存储。凡第三方软件管理技术解决方案,托管解决方案或系统和销售为基础的服务和系统,包括数据处理和存储,软件解决方案跨广域网从中央数据中心恰当的,给客户。这些通常是基于网络的解决方案,如果数据被发送到校外系统,并通过互联网访问。

移动计算设备:  信息技术资源(如在定义 OU AP&P #890利用大学的信息技术资源)可能会离开校园的整体位置。这些设备包括样品,但不限于,笔记本电脑,平板电脑,ipad公司,个人数字助理(PDA),手机,CD / DVD R / W磁盘,USB设备,闪存驱动器,ZIP驱动器,等等。

关键的操作数据:  确定的数据是关键和必不可少的大学作为一个整体,谁的损失或损坏将导致持续经营严重不利影响的成功运作。 ESTA接收数据分类,需要防止意外的分布,暴露或破坏保护的较高水平,且必须由高品质的灾难恢复和业务连续性措施覆盖。此类别中的数据包括存储在企业系统和数据资料:如横幅通过网络通讯系统传递。这样的数据可被释放或下公开定​​义,具体的程序,:如部门指引,记录程序或政策共享。

大学系统提供的数据:  信息技术资源,所定义和描述中 OU AP&P #890,由大学拥有并用于数据大学的存储,维护和处理。

无限制的数据:  这些信息可能被释放或根据需要共享。实施例是用于类或其他可公开获得的数据中的时间表作为这样的目录的数据文件。 

使用/使用数据:  使用和数据使用可互换使用,并且被定义为聚集,查看,存储,共享,转移,分发,修改,打印和否则作用,以提供一个数据维护的环境。

程序:

1.数据管理

数据管理员预计创建,通信和执行数据维护的方法和控制。此外数据管理员,预计有他们的支持这些功能用于区域的功能与数据和信息的知识。副总统是在各自的职责范围内最终数据管理和管理责任,而且是所有大学的数据管家默认数据。公认的数据管理员中列出 审批附表.

2.数据维护和控制方法

数据管理员将开发和维护数据维护和分配其系统的监测方法。

授权时和分配中的数据进行维护的访问控制和监测方法涉及机密数据,数据管理员会限制用户的访问权限所需最低限度执行基于工作角色和责任的工作职能。

如果系统是一所大学提供的数据系统,高校技术服务提供,在在数据维护和控制方法确定的各项任务要求,指导和服务。

如果系统是通过托管解决方案提供时,数据管家仍然必须检验由托管解决方案提供商使用的数据维护和控制方法满足当前的标准技术大学。为满足当前安全标准和技术大学进一步,持续的规定必须包含在服务合同。

托管解决方案的审查之前,解决方案的选择和购买的法律事务结束必须包括大学的信息技术服务及办公室。

3.数据保管

数据托管人将遵守使用数据和建立数据维护和控制方法。故障过程或句柄数据符合用于系统所建立的方法将是一个违反的考虑  OU AP&P #890利用大学的信息技术资源,在这种策略中定义的制裁可能适用。

4.数据使用

在所有的情况下,提供给大学的数据将按照从大学主页访问的隐私声明中使用 www.oakland.edu,并在提供给数据给那些大学(由数据源提供的指南)的指导方针。

数据将按照大学的政策(如发布 OU AP&P #470发布学生教育记录)。从外部机构的信息请求(如信息自由法要求,传票,执法机构请求,或从外部来源数据的任何其他要求)必须指向法律事务办公室,并按照现行政策处理,在特别授权使用 OU AP&P #890利用大学的信息技术资源.

安全的文件传输,或数据交换的标准,必须由大学的技术服务。当超过一所大学提供的数据系统中的其他选择当一个托管解决方案或利用评估系统。可能是特定合同的语言要求。法律事务办公室,必须先咨询有关此类语言。

未加密的授权和数据传输是不能接受的。

数据在追求教学,学习,研究和管理的使用时,必须设法保存的完整性和信任。这是世卫组织所有数据使用的责任。

通过终端用户通讯技术(即,电子邮件,即时消息,聊天或其他通信方法)机密数据的通信被禁止。

5。  存储数据

数据不能存储没有数据管家的事先许可和证明合法需要的不仅仅是一所大学提供的数据系统之外的系统上。

数据不能被存储在大学提供的移动计算设备上,而不将数据管家的预先许可,并证明合法需要。

数据必须存储在设备上,并在通过数据管理员批准的位置。如果信息技术资源(计算机,打印机等物品的定义 OU AP&P #890利用大学的信息技术资源)存储在校外的位置,该位置必须使用前财产资源来存储这些数据大学管理层的批准。

新技术使数据有时对传真机,复印机,手机,点销售设备和其他电子设备的存储空间。数据管理员负责存储数据的发现和移除以释放设备的现有数据。

应的数据被存储在加密格式只要有可能。机密数据必须存储在加密格式。应提前停工的数据进行审查,加密策略与大学技术服务,以避免意外。

当移动计算设备的使用审批,数据管理员必须验证采用移动计算是指能够提供信息设备关于什么设备上存储的数据在设备丢失或被盗的十大网赌官方处理程序(如上次备份的副本)。

在所有情况下,数据存储必须保留大学的政策规定。在一个托管解决方案的系统使用的数据必须写在服务合同中具体的保留标准。法律事务办公室,必须先咨询有关此类语言。

所有大学的数据在合同终止的情况下返回规定必须包括在合同中,当数据被存储在一个托管解决方案。法律事务办公室,必须先咨询有关此类语言。当前安全标准处理程序当选择比大学提供的数据系统以外的系统,必须在合同语言被盖住(如访问控制,个人防火墙,防病毒,完整的更新和修补操作系统等)进行评价。法律事务办公室,必须先咨询有关此类语言。

存储在移动计算设备上的数据必须由目前的安全标准方法处理程序(如访问控制,防火墙,防病毒,完整的更新和修补操作系统等)被保护。

如:对于保护标准大学程序和机密数据和操作的维护必须平等而且无一例外大学提供的数据系统,移动计算设备和比大学提供的数据系统的其他系统,托管解决方案应用关键数据。

6.系统和网络数据

系统和网络数据,通过系统或网络管理,日志或其他系统记录活动产生的,无法使用,或被俘,recogida,分析或传播,而首席信息官,大学科技服务的事先许可。

7.数据的值

在所有的情况下,数据通过托管解决方案进行处理,评估必须做到以下几点:

  • 的数据的值必须被确定以某种具体的方式。

  • 从数据管家的事业部副总经理或一方有能力适当授权活动在数据的价值的高低审批签字必须获得。

8.制裁

Failure to follow the guidelines contained in this document will be considered inappropriate use of a University information technology resource and therefore a violation of OU AP&P #890利用大学的信息技术资源. Sanctions will follow the steps identified in that policy.

9。  数据安全漏洞审查小组

由以下成员的数据安全漏洞审查小组(小组)将建立:

Assistant Vice-President and Controller, Finance & Administration
首席信息官高校技术服务
警察局长,公共安全
大学通信和营销总监
大学注册商
大学风险管理

如果发现机密数据的未授权访问,该小组的成员必须联系,世卫组织将召集然后面板。 ESTA联系与面板必须尽快发起的,以协助大学在符合法律规定的义务的违约行为后,并可以通过数据管家发起,由数据的用户,通过一个丢失或所有者被盗的笔记本电脑或存储设备,或任何人已经意识到的未经授权的数据访问。

这需要通知的包括但不限于潜在的数据安全漏洞的例子:

  • 使用盗窃或膝上型的损失,台式计算机或存储设备来存储机密数据

  • 未经授权进入大学系统或网站的数据库系统或破解。

该小组将:

  • ASSESS审查情况,并暴露数据的潜力。预计该系统有问题的车主将能够识别存储上的机密数据进行了该系统。

  • 需要进行数字取证评估威胁并采取措施限制违规。

  • 制定和实施大学计划的回应确保遵守关于违反所有法律和其他义务。 

相关政策和形式:   

OU AP&P #212 Bankcard 信息 Security Requirements

OU AP&P #360物业管理

OU AP&P #470发布学生教育记录

OU AP&P #890利用大学的信息技术资源

OU AP&P #1130 Family Educational Rights and 隐私 Act

OU AP&P #1050 风险管理/Insurance Policies & Procedures 

审批数据管家表

附录: