860数据管理与信息安全

理由是:  为每位访问电子格式数据和信息的韦德体育app官网(大学)员工提供指导方针，以确保数据的安全性. 未经授权访问这些信息可能会产生许多严重的负面后果, 包括对大学声誉的不利影响.  移动计算设备的使用, 电子文件交换, 越来越多的云服务提供商的使用增加了大学电子数据和信息资产的脆弱性. 随着新技术的开发和实施, 随着涉及数据安全的新法律的出现, 围绕数据管理和安全的问题层出不穷.

政策:  电子数据是重要的大学资产，必须通过适当的保障措施加以保护，并在数据管理方面进行管理. This policy defines the required Electronic Data management environment 和 classifications of Data, 和 assigns responsibility for ensuring Data 和 information privacy 和 security at each level of access 和 control.

适用范围及适用性:  This policy applies to all University personnel 和 affiliated users with access to University Data.

定义:

关联用户:  Vendors 和 guests who have a relationship to OU 和 need access to university systems.

应用程序:  A computer software program run on a computer for the purpose of providing a business/academic/social function.
 

云:  按需提供, 地理上分散的计算机系统资源基础设施, 尤其是数据存储(云存储)和计算能力, 没有终端用户直接的主动管理.  云可能仅限于单个组织(私有云), 或可供许多组织使用(公共云).  Cloud-computing providers offer their "services" according to three st和ard models:  Infrastructure as a Service (IaaS), 平台即服务(PaaS), 软件即服务(SaaS). 

机密数据:  Data that are specifically restricted from open disclosure to the public by law are classified as 保密 Data. 保密 Data requires a high level of protection against unauthorized disclosure, 修改, 传输, 破坏, 和使用. 机密数据包括但不限于: 

1. 受家庭教育权利和隐私法案(FERPA)保护的学生数据, 包括个人身份资料，如社会安全号码, 学生编号，如灰熊id, 以及其他未被FERPA归类为目录信息的数据.;
   
   
2. 医疗数据, 例如受《韦德体育app官网》(HIPAA)保护的电子健康信息和数据;
   
   
3. 研究.  Only research data 和 information within the following broad categories is to be considered 机密数据:  
   a. 分类研究
   b. 完全执行的保密协议(NDA)所涵盖的活动;
   c. 信息、数据等., that is proprietary or confidential (whether it belongs to an OU investigator or an outside collaborator), 不论是否受保密协议约束;
   d. 保荐人认为保密的资料; 
   e. Information or data that is required to be deemed confidential by state or federal law (e.g., 研究对象的个人识别信息, HIPAA或FERPA保护的信息, 等.); 和
   f. 与研究不当行为的指控或调查有关的信息.  
   
   所有其他研究数据和信息, 包括拨款申请及建议, 专利申请或研究出版物的草稿和工作底稿, 和去识别的研究数据, 应被视为关键操作数据.  
   
   所有研究和提案信息被传送给/从, 或者坚持住, OU's electronic research administration platform (Cayuse) is encrypted using 2048-bit SSL 和/or IPSEC tunnels.  Cayuse平台中的信息仅在需要知道的基础上可用，并且需要活动OU NetID和密码进行身份验证.
   
   
4. 信息访问安全, 例如登录密码, 个人识别号码(pin), 包含个人可识别数据的日志, 数字化签名, 和加密密钥;
   
   
5. 主帐号, 持卡人数据, 信用卡号, 支付卡信息, 银行信息, 雇主或纳税人识别号码, 活期存款账号, 储蓄账号, 金融交易设备账号, 帐户密码, 股票或其他安全证书或账号(例如受支付卡行业数据安全标准保护的数据);
   
   
6. 个人档案，包括社会安全号码;
   
   
7. 图书馆 records (such as covered by the Michigan 图书馆 Privacy Act 455); 和
   
   
8. 驾驶执照号码, 说明个人身份证号码, 社会安全号码, 员工识别码, 政府护照号码, 以及受州和联邦身份盗窃法律法规(包括但不限于《韦德体育app官网》(MCL 445))保护不得披露的其他个人信息.61 et. seq.).

数据分类:  All Electronic Data covered by this policy are assigned one of three classifications:

1. 保密
   
   
2. 操作至关重要
   
   
3. 不受限制的

数据保管:  为资讯系统提供运作支援，并负责执行由数据管理员所订定的数据维护及控制方法的人员或部门.

数据维护与控制方法:  由数据专员定义和批准的流程，以处理以下任务:

1. 定义具有指定访问权限的访问控制, 特权支持, 管理批准文件, 根据工作职能和要求.
   
   
2. 有效数据源的标识
   
   
3. 从已识别的来源接收数据的可接受方法
   
   
4. 接收数据的验证过程
   
   
5. 规则, 新数据录入的标准和指引, 更改现有资料或删除资料
   
   
6. 有控制地访问数据的规则、标准和指南
   
   
7. 数据完整性验证过程
   
   
8. Acceptable methods for 分发, releasing, 分享, 存储 or 转移 Data
   
   
9. 可接受的数据位置
   
   
10. 提供机密数据和关键操作数据的安全
    
    
11. Assuring sound methods for h和ling, processing, security 和 disaster recovery of Data
    
    
12. 确保收集数据, 加工过的, 根据网站上公布的大学隐私声明共享和存储 http://i85q.hadeslo.com/policies-regulations/web-privacy/ 

数据管家:  The persons responsible for University functions 和 who determine 数据维护和控制方法s are Data Stewards.

电子数据/数据: 不同的信息片段, intentionally or unintentionally provided to the University in a variety of administrative, 学术和业务流程. 本政策适用于存储在任何电子媒体上的所有数据, 和 within any computer systems defined as a University information technology resource under OU美联社&大学信息技术资源的利用. 在本文档中，电子数据和数据可以互换使用. 这个定义不包括课程材料和知识产权.

移动计算设备:  信息技术资源(定义见 OU美联社&大学信息技术资源的利用)，可能会离开校园的一般位置. 这类装置的样本包括, 但不限于, 笔记本电脑, 平板电脑,  手机, 智能手机, 以及其他便携式设备, CD/DVD光盘, USB设备, 闪存, 等.

关键操作数据:  Data determined to be critical 和 essential to the successful operation of the University as a whole, 和 whose loss or corruption would cause a severe detrimental impact to continued operations. Data receiving this classification require a high level of protection against accidental distribution, 暴露或破坏, 和 must be covered by high quality disaster recovery 和 business continuity measures. 这类数据包括存储在企业系统(如横幅)上的数据和通过网络通信系统传递的数据. 此类数据可根据定义发布或共享, 披露的具体程序, 例如部门指导方针, 文件化的程序或政策.

大学提供的数据系统:  信息技术资源，定义和描述在 OU美联社&大学信息技术资源的利用, owned by the University 和使用d for the storage, maintenance 和 processing of University Data.

无限制的数据:  根据需要可能发布或共享的信息. Examples are Data files for the schedule of classes or other publicly available Data such as a directory. 

程序:

1.  数据管理

Data Stewards are expected to create, communicate 和 enforce 数据维护和控制方法s. 数据管理员还应了解其所在领域的职能以及为支持这些职能所使用的数据和信息. 副总裁负责各自职责范围内的最终数据管理和管理, 并且是所有大学数据的默认数据管理员. 中列出了认可的数据管理员 附件审批表.

2.  数据维护和控制方法

Data Stewards will develop 和 maintain 数据维护和控制方法s for their assigned systems.

授权和分配《韦德体育官方网站》中定义的涉及机密数据和关键操作数据的访问控制时, Data steward将根据工作角色和职责将用户权限限制为执行工作功能所需的最少访问权限.

如果系统是大学提供的数据系统, 大学技术服务将提供, 要求, guidance 和 services for the tasks identified in the 数据维护和控制方法.

如果系统由公有云提供, 数据管理员还必须验证公共云提供商使用的数据维护和控制方法是否符合当前大学的技术标准. 进一步, 服务合同中必须包含符合当前大学技术和安全标准的持续条款.

在最终选择和购买解决方案之前，必须对公共云解决方案进行审查，包括大学技术服务和法律事务办公室.

Us of personal equipment to conduct university business must comply with all guidance provided by UTS, 以及所有大学政策.  

3.  数据保管工作

Data Custodians will use data in compliance with the established 数据维护和控制方法. Failure to process or h和le Data in compliance with the established method for a system will be considered a violation of  OU美联社&大学信息技术资源的利用，该政策中规定的制裁可能适用.

4.  数据使用

在所有情况下, 提供给大学的资料将按照从大学主页获取的隐私声明使用 www.奥克兰.edu, 和 within the guidelines provided to those giving Data to the University (guidelines provided by the Data source).

软件解决方案, 包括SaaS解决方案, 被选中来管理数据并被采购, purchased 和 installed in conjunction with university policies related to software (such as OU美联社&p# 870软件规范 和 OU美联社&p# 1000采购政策).  

数据将根据大学政策(如 OU美联社&p# 470发布学生教育记录). Requests for information from external agencies (such as Freedom of Information Act requests, 传票, 执法机构要求, (或任何其他来自外部来源的数据请求)必须提交给法律事务办公室，并根据现有政策进行处理, 特别获授权使用于 OU美联社&大学信息技术资源的利用.

安全文件传输标准, 或数据交换, 当选择大学提供的数据系统以外的系统或使用公共云时，必须由大学技术服务进行评估吗. 可能需要具体的合同语言. 必须就这种措词同法律事务厅协商.

不接受未加密的授权和数据传输.

用于教学的数据, 学习, 研究和管理必须保持诚信和信任. 这是所有使用数据的人的责任.

通过最终用户消息传递技术传送机密数据(1).e.(电子邮件、即时通讯、聊天或其他通讯方式).  UTS can validate if a particular technology is suitable for communicating 保密 Data.  

5.  存储数据

未经数据管理员事先许可并证明有合法需要，数据不能存储在大学提供的数据系统以外的系统上.

数据应尽可能以加密格式存储.  机密数据必须以加密格式存储.  Encryption strategies should be reviewed with 大学科技服务 in advance to avoid accidental Data lockouts.  

数据不能存储在大学提供的计算设备上，除非该设备在未经数据管理员事先许可的情况下被加密并证明有合法需要.

数据必须存储在数据管理员批准的设备和位置上. 如果信息技术资源(计算机、打印机等项目定义在 OU美联社&大学信息技术资源的利用)存放在校外的地方, the location must be approved by Data Stewards 和 UTS prior to using such resources to store University Data.

新技术可以在传真机上存储数据, 复印机, 手机, 销售点设备和其他电子设备. Data Stewards are responsible for discovery of stored Data 和 removal of the Data prior to release of the equipment.

批准移动计算设备使用时, 数据管理员必须验证，在设备丢失或被盗的情况下，使用移动计算设备的用户可以提供有关设备上存储的数据(例如上次备份的副本)的信息.

在任何情况下，数据存储必须符合大学保留政策. 数据使用 in a Public Cloud system must have specific retention st和ards written in the service contract. 必须就这种措词同法律事务厅协商.

Provisions for the return of all University Data in the event of contract termination must be included in the contract, 当数据存储在公有云上时. 必须就这种措词同法律事务厅协商. 当前的安全标准(如受控访问), 个人防火墙, 杀毒, 完全更新和修补的操作系统, 等.)将在选择大学提供的数据系统以外的系统时进行评估，并且必须以合同语言涵盖. 必须就这种措词同法律事务厅协商.

Data stored on Mobile Computing Devices must be protected by current security st和ard methods (such as controlled access, 防火墙, 杀毒, 完全更新和修补的操作系统, 等.).

保护和保障机密数据和关键操作数据的大学标准程序必须一视同仁，无一例外地适用于大学提供的数据系统, 移动计算设备和系统(大学提供的数据系统除外), 例如公共云解决方案.

6.  系统和网络数据

系统和网络数据, 通过系统或网络管理生成, 日志或其他系统记录活动, 不能使用, 或捕获, 聚集, 分析或传播, 未经首席信息官事先许可, 大学科技服务.

7.  数据值

在通过公共云处理数据的所有情况下, 必须进行以下评估:

• 数据的价值必须以某种有形的方式确定.
  
  
• 必须获得数据管理员部门副总裁或有权授权数据价值级别活动的适当方的签名批准.

8.  制裁

不遵守本文件中包含的指导方针将被视为不适当使用大学信息技术资源，因此违反了开放AP&大学信息技术资源的利用. 制裁将按照该政策确定的步骤进行.

9.  资料保安漏洞检讨小组

A 资料保安漏洞检讨小组 (Panel) comprised of the following members will be established:

助理副总裁兼财务总监

首席信息官

警务处处长

校园传播总监

注册商

风险管理总监

法律事务厅

如果发现未经授权访问机密数据, 必须联系专家组的一名成员, 然后由谁召集小组. 在违规行为发生后，必须尽快开始与专家组的联系，以协助大学履行其法律义务, 并可由数据管理员发起, 由资料使用者提供, 丢失或被盗的笔记本电脑或存储设备的主人, 或任何知悉未经授权的资料存取的人士.

需要通知的潜在数据安全漏洞示例包括, 但不限于:

小组将:

相关政策及表格:   

OU美联社&p# 212银行卡信息安全要求

OU美联社&360物业管理

OU美联社&p# 470发布学生教育记录

OU美联社&p# 870软件规范

OU美联社&大学信息技术资源的利用

OU美联社&p# 1000采购政策

OU美联社&风险管理/保险政策 & 程序 

数据管理员审批表

附录: