860数据管理与信息安全
| SUBJECT: | 数据管理和信息安全 |
| NUMBER: | 860 |
| AUTHORIZING BODY: | 策略委员会/董事会 |
| RESPONSIBLE OFFICE: | CHIEF OF STAFF |
| DATE ISSUED: | MARCH 2005 |
| LAST UPDATE: | APRIL 2021 |
RATIONALE: 为每位访问电子格式数据和信息的十大菠菜台子(大学)员工提供指导方针,以确保数据的安全性. 未经授权访问这些信息可能会产生许多严重的负面后果, 包括对大学声誉的不利影响. 移动计算设备的使用, 电子文件交换, 越来越多的云服务提供商的使用增加了大学电子数据和信息资产的脆弱性. 随着新技术的开发和实施, 随着涉及数据安全的新法律的出现, 围绕数据管理和安全的问题层出不穷. | |
POLICY: 电子数据是重要的大学资产,必须通过适当的保障措施加以保护,并在数据管理方面进行管理. 该政策定义了所需的电子数据管理环境和数据分类, 并分配责任,确保每个访问和控制级别的数据和信息隐私和安全. | |
适用范围及适用性: 这一政策适用于所有大学人员和附属用户访问大学的数据. | |
DEFINITIONS: Affiliated Users: 与开放大学有关系并需要访问大学系统的供应商和客人. Application: 为提供商业/学术/社交功能而在计算机上运行的计算机软件程序. Cloud: 按需提供, 地理上分散的计算机系统资源基础设施, 尤其是数据存储(云存储)和计算能力, 没有终端用户直接的主动管理. 云可能仅限于单个组织(私有云), 或可供许多组织使用(公共云). 云计算提供商根据三种标准模型提供他们的“服务”:基础设施即服务(IaaS), 平台即服务(PaaS), 软件即服务(SaaS).
Data Classifications: 本政策所涵盖的所有电子数据均分为以下三类:
Data Custodian: 为资讯系统提供运作支援,并负责执行由数据管理员所订定的数据维护及控制方法的人员或部门. 数据维护与控制方法: 由数据专员定义和批准的流程,以处理以下任务:
Data Steward: 负责大学功能和确定数据维护和控制方法的人是数据管理员. Electronic Data/Data: 不同的信息片段, 有意无意地提供给大学的各种行政管理, 学术和业务流程. 本政策适用于存储在任何电子媒体上的所有数据, 及在任何电脑系统内界定为大学资讯科技资源 OU AP&大学信息技术资源的利用. 在本文档中,电子数据和数据可以互换使用. 这个定义不包括课程材料和知识产权. 移动计算设备: 信息技术资源(定义见 OU AP&大学信息技术资源的利用),可能会离开校园的一般位置. 这类装置的样本包括, but are not limited to, laptops, tablets, cell phones, smart phones, 以及其他便携式设备, CD/DVD R/W disks, USB devices, flash drives, etc. 关键操作数据: 确定对大学整体成功运作至关重要和必不可少的数据, 其损失或损坏将对持续经营造成严重的不利影响. 接受这种分类的数据需要高水平的保护,以防止意外分布, exposure or destruction, 并且必须包含高质量的灾难恢复和业务连续性措施. 这类数据包括存储在企业系统(如Banner)上的数据和通过网络通信系统传递的数据. 此类数据可根据定义发布或共享, 披露的具体程序, 例如部门指导方针, 文件化的程序或政策. 大学提供的数据系统: 信息技术资源,定义和描述在 OU AP&大学信息技术资源的利用,用于储存、维护及处理大学的资料. Unrestricted Data: 根据需要可能发布或共享的信息. 例如用于类调度的数据文件或其他公开可用的数据(如目录). Usage/Data Use: 用法和数据用法可互换使用,并定义为收集, viewing, storing, sharing, transferring, distributing, modifying, 打印和其他行为提供数据维护环境. | |
PROCEDURES: 数据管理员需要创建、沟通和执行数据维护和控制方法. 数据管理员还应了解其所在领域的职能以及为支持这些职能所使用的数据和信息. 副总裁负责各自职责范围内的最终数据管理和管理, 并且是所有大学数据的默认数据管理员. 中列出了认可的数据管理员 Attached Approval Table. 2. 数据维护和控制方法 数据管理员将为他们指定的系统开发和维护数据维护和控制方法. 3. Data Custodianship 数据保管人将按照既定的数据维护和控制方法使用数据. 未能按照既定的系统方法处理或处理数据将被视为违反 OU AP&大学信息技术资源的利用,该政策中规定的制裁可能适用. 4. Data Usage In all cases, 提供给大学的资料将按照从大学主页获取的隐私声明使用 nmv.xyhabit.com, 并在向大学提供数据的人士提供的指引内(指引由数据来源提供). 数据将根据大学政策(如 OU AP&p# 470发布学生教育记录). 来自外部机构的信息请求(如信息自由法案请求), subpoenas, 执法机构要求, (或任何其他来自外部来源的数据请求)必须提交给法律事务办公室,并根据现有政策进行处理, 特别获授权使用于 OU AP&大学信息技术资源的利用. 安全文件传输标准, or Data exchanges, 当选择大学提供的数据系统以外的系统或使用公共云时,必须由大学技术服务进行评估吗. 可能需要具体的合同语言. 必须就这种措词同法律事务厅协商. 不接受未加密的授权和数据传输. 用于教学的数据, learning, 研究和管理必须保持诚信和信任. 这是所有使用数据的人的责任. 通过最终用户消息传递技术传送机密数据(1).e.(电子邮件、即时通讯、聊天或其他通讯方式). UTS可以验证某一特定技术是否适合传输机密数据. 5. Storing data 未经数据管理员事先许可并证明有合法需要,数据不能存储在大学提供的数据系统以外的系统上. 数据不能存储在大学提供的计算设备上,除非该设备在未经数据管理员事先许可的情况下被加密并证明有合法需要. 数据必须存储在数据管理员批准的设备和位置上. 如果信息技术资源(计算机、打印机等项目定义在 OU AP&大学信息技术资源的利用)存放在校外的地方, 在使用这些资源存储大学数据之前,该位置必须得到数据管理员和UTS的批准. 新技术可以在传真机上存储数据, copiers, cell phones, 销售点设备和其他电子设备. 数据管理员负责发现存储的数据,并在设备释放之前删除数据. 批准移动计算设备使用时, 数据管理员必须验证,在设备丢失或被盗的情况下,使用移动计算设备的用户可以提供有关设备上存储的数据(例如上次备份的副本)的信息. 在任何情况下,数据存储必须符合大学保留政策. 公有云系统中的数据使用必须在服务合同中有明确的保留标准. 必须就这种措词同法律事务厅协商. 合同中必须包括在合同终止时归还所有大学数据的规定, 当数据存储在公有云上时. 必须就这种措词同法律事务厅协商. 当前的安全标准(如受控访问), personal firewalls, antivirus, 完全更新和修补的操作系统, etc.)将在选择大学提供的数据系统以外的系统时进行评估,并且必须以合同语言涵盖. 必须就这种措词同法律事务厅协商. 存储在移动计算设备上的数据必须通过当前的安全标准方法(例如控制访问)加以保护, firewalls, antivirus, 完全更新和修补的操作系统, etc.). 保护和保障机密数据和关键操作数据的大学标准程序必须一视同仁,无一例外地适用于大学提供的数据系统, 移动计算设备和系统(大学提供的数据系统除外), 例如公共云解决方案. 6. Systems and network data 系统和网络数据, 通过系统或网络管理生成, 日志或其他系统记录活动, cannot be used, or captured, gathered, 分析或传播, 未经首席信息官事先许可, 大学科技服务.
8. Sanctions 不遵守本文件中包含的指导方针将被视为不适当使用大学信息技术资源,因此违反了开放AP&大学信息技术资源的利用. 制裁将按照该政策确定的步骤进行. 9. 资料保安漏洞检讨小组 成立资料保安外泄检讨小组(小组),由以下成员组成: 助理副总裁兼财务总监 首席信息官 Chief of Police 校园传播总监 Registrar 风险管理总监 Office of Legal Affairs 如果发现未经授权访问机密数据, 必须联系专家组的一名成员, 然后由谁召集小组. 在违规行为发生后,必须尽快开始与专家组的联系,以协助大学履行其法律义务, 并可由数据管理员发起, by the user of the Data, 丢失或被盗的笔记本电脑或存储设备的主人, 或任何知悉未经授权的资料存取的人士.
The Panel will:
| |
相关政策及表格: OU AP&360物业管理 | |
APPENDIX: | |