本文建立了一个框架来分类机构数据分类,确定内部控制的水平必须防止盗窃、妥协,不当使用。
大学大学的政策和程序与安全相关的信息技术资源,计算机、网络系统和数据都支持在2011 - 2012学年。信息技术资源的安全政策和系统(9.8)建立了一个框架,用于保护大学的信息技术资源,计算机、网络系统和数据来帮助大学在满足其监管和法律义务对信息安全和隐私。过程定义企业数据存储库管理角色和职责(9.8.3)呼吁数据管理和信息技术服务委员会定义主数据访问计划的标准,包括采用数据分类和定义水平。本程序采用定义了数据分类的水平和协议处理数据的分类。
数据是大学的战略资产。虽然数据存储在不同的数据库管理系统,安置在许多不同的平台上,由几个托管人,他们共同构成了大学的企业数据仓库(EDR)。
本文档中提出的分类模式是依据风险损失的程度,改变,或披露的数据(数字、字符、图像或其他形式的输出),将有助于确定适当的安全措施和控制来保护数据。现有的数据元素/类别附录a提供了新的数据元素将会暂时分类由数据管理员根据这个政策和使用数据的定义分类形式。改变现有的数据元素或类别也必须要求的数据管理员使用数据分类形式。数据分类的形式可以从信息安全访问网站http://at.www.charlenecorn.com/iso。数据管家的建议分类将被发送到数据管理委员会的主席由委员会审查和批准。
“处理”信息视图时,使用、更新、删除或破坏数据。它还涉及到当你把数据从一个位置到另一个地方。数据可以在纸张或电子形式。基于数据如何进行分类(高度限制,限制,或无限制)及其形式,有一些必须采取预防措施,在处理数据。信息应该根据分类级别最高的数据处理中包含的文档,除非/允许不同的法律要求和大学的政策。例如,如果一个文档包含高度限制和不受限制的信息,那么文档应该根据高度受限的分类处理。
附录B提供了一个高水平的数据处理的概述。数据处理包括电子或截屏图访问、传输、存储、处理、二次使用,和外部使用。为一个更详细的过程与特定的安全措施和要求请参阅程序保护和访问的每个数据/系统分类(9.8.2)。
附录A:数据分类定义
定义:高度受限的数据是数字、字符、图像、或其他形式的输出,通常受到联邦或州法律的保护,规定,大学或大学的政策,或需要采取行动(违反通知或自我报告)如果数据是不当访问或披露。数据也被认为是高度受限的未经授权的披露时,变更、或破坏数据可能导致重大的风险水平上的大学或有不利影响大学的操作,访问,或者个人。
未经授权的披露的潜在后果:声誉和经济损失,刑事或民事处罚,身份盗窃,个人经济损失和/或侵犯隐私,组织和法律制裁。
高度受限的数据类别/元素
•账户付款历史
•申请费用减免文档和原因
•背景调查——员工、学术项目招生(如护士、教师认证)世界杯欧洲杯赛程
•银行账户号码或其他金融账号
•出生日期年
•证书/许可证号码
•信用卡号码
•借记卡号码
•目录信息限制员工
•目录信息限制了学生的信息
•残疾记录和状态
•捐款
•驾照号码
•电气图
•电子门访问
•自由申请联邦学生援助申请
•装饰的工资
•遗传标识符
•人力资源福利记录(例如,工人赔偿,医疗文档)
•内部审计记录和材料
•工作行动材料(例如责难、行动、评估)
•短期和pre-award格兰特建议和抽象
•库材料签出
•位置或有害物质的管理
•婚姻状况
•医疗记录和个人健康信息(φ)(例如,药房记录,学生健康记录,诊所记录)
•名称捐赠要求匿名
•网络图
•密码,密码,密码,安全码、访问代码
•工资信息(如税收、减免等)。
•个人身份信息(PII)人体
•警方报告细节免除根据《信息自由法》
•社会安全号码
•国家身份证号码
•学生应用刑事历史(自我)的地位
•学生评价
•学生司法记录和程序
•学生贷款账户和信息(如账号、信用信息、信用评分)
•学生奖学金的信息
定义:限制数据是数字、字符、图像或其他形式的输出可能没有访问未经特定授权或同意,因为法律、道德或其他约束。访问这些数据仅限于大学员工和个人正在按照合同与大学有一个基于角色的需要看到和使用的信息。任何使用的数据必须被用来进行大学商业和必须遵循所有适用法律,法规和大学的政策和程序。
未经授权的披露的潜在后果:声誉和经济损失,阻碍生产力,或组织的竞争劣势。
限制类别/元素
•申请费用减免授予(是/否)
•校友的调查
•出生日期(月日)
•课程花名册
•食堂,就餐计划和使用
•紧急联系人
•设备可用性
•工厂平面图
•设备维修记录
•设备工作指令,员工在项目等。
•性别
•军事地位
•照片(学生和员工)
•种族/民族
•员工日历/日程安排员工生病,休假时间使用
•学生健身中心会员和用法
•学生成绩
•学生日程安排
•大学ID
•资深地位
•健康中心计划招生
•工作授权(i - 9)
•录像带
•其他FERPA受保护的数据未列出
定义:无限制的数据是数字、字符、图像或其他形式的输出,有一些内部的限制。一些数据元素分类为无限制的仍然有一定的传播限制和访问可能会拒绝。
披露的潜在后果:访问资源,资源流失或组织的经济损失
无限制的数据类别/元素
•植物园目录
•营业地址
•业务的电话号码
•类级别,级别
•课程清单
克利瑞•犯罪事件(Act)
•日期的第一个和最后一个就业
•教育和培训背景
•教育水平(员工和学生)
•就业状况(全职兼职)
•注册状态(全职兼职)
•设备名称、大小、年龄等。
•教师排名
•财务数据——拨款
•财务数据——预算
•财务数据——支出年度报告
•给级别荣誉榜
•格兰特的应用程序
•格兰特财政
•家里邮寄地址
•家里电话号码
•工作描述
•工作头衔
•库目录
•主要的研究领域
•会议指出按照公开会议的行为
•名称
•出生地(学生)
•以前的工作经验
•工资
•学术生产力
•员工生病,休假时间
•雕像审计报告
•学生荣誉和奖励
•学生:日期出席
•ULID
•体重/身高的校际体育团队成员
附录B:数据处理需求
| 高度限制的数据 | 限制数据 | 无限制的数据 | |
| 访问协议 | 掌握访问计划 如果有一个异常必须得到议会的批准 |
掌握访问计划 | 掌握访问计划 |
| 传输协议 | *国家标准与技术研究院(NIST)批准通过网络传输信息加密时需要。 *第三方(个人)邮件服务不适合传输这些信息 *限制数据可能掩盖了,而不是加密是否显示 |
* NIST -通过加密传输信息时,强烈建议外ISU网络。 *第三方(个人)的电子邮件服务是气馁的传输这些信息 |
没有特殊控制 |
| 存储协议 | 这类数据只能存储在大学服务器(没有桌面、笔记本电脑或云环境),除非专门管理委员会批准。如果得到批准,将需要加密和/或屏蔽。 | 限制的加密信息,强烈建议如果存储在台式电脑,笔记本电脑,拇指驱动器,或其他个人设备,如智能手机和pda。所需的保护级别限制信息按照ISU的政策或程序(例如9.8.2)或管理委员会的决定。如果适当水平的保护,不知道之前检查与管理委员会ISU服务器以外的存储限制信息。 | 没有特殊控制 |
| 数据处理 | 分解报告;国防部(DOD)擦拭或电子媒体的毁灭 | 回收报告;擦/擦除媒体 | 没有特殊控制,除非非大学设备(请参考过程9.8.2) |
| 二次使用,使用的数据请求的目的。 | 禁止 | 为业务所有者授权 | 授权的业务流程所有者 |
| 外部数据共享 | 根据联邦法规;伊利诺斯州开放记录;FERPA法规,和外部合同和协议 | 根据联邦法规;伊利诺斯州开放记录;FERPA法规,和外部合同和协议 | 授权的业务流程所有者 |
| 审计(审计日志) | 登录,访问和更改 | 登录 | 没有特殊控制 |
| 审查 | 每年根据需要或 | 每年根据需要或 | 每年根据需要或 |
*为更详细的过程与特定的安全措施和要求请参阅程序保护和访问的每个数据/系统分类(9.8.2)。
最后回顾:2015年1月
