本文建立了最小控制来防止盗窃、妥协,不当使用基于数据分类。分类数据和程序中提供的数据类别9.8.1数据分类过程。
离散数据资源资产存储过程,发送或接收数据。这个过程包括:覆盖的数据资源
数据资源类型 | 描述 |
非电子媒体 | 印刷,截屏图版本的信息。 |
电子媒体 | |
大学拥有、维护或简约的服务器 | 大学系统已经购买、维护或已进入合同提供服务,例如但不限于:文件共享、web服务、数据库服务、打印服务。 |
大学拥有、维护或简约工作站 | 大学系统已经购买、维护或已进入合同不充当服务器和不考虑移动。例子包括但不限于:戴尔商用台式机,苹果Mac Pro,惠普康柏 |
个人拥有的工作站 | 大学系统,没有购买,不维护,或没有签订了一份合同,不作为服务器和移动。例子包括但不限于:戴尔商用台式机,苹果Mac Pro,惠普康柏 |
大学拥有或笔记本电脑维护 | 大学系统已经购买、维护或已经签订了一份合同,不作为服务器和笔记本电脑。例子包括但不限于:戴尔Inspiron,苹果MacBook,联想ThinkPad。 |
个人拥有笔记本电脑 | 大学系统,没有购买,不维护,或没有签订了一份合同,不作为服务器和笔记本电脑。例子包括但不限于:戴尔Inspiron,苹果MacBook,联想ThinkPad。 |
大学拥有或移动设备维护 | 大学系统已经购买、维护或已进入合同不充当服务器,不是笔记本电脑,移动。例子包括:苹果ipad,三星Galaxy,黑莓PlayBook,苹果iphone手机,摩托罗拉Droid手机,黑莓智能手机。 |
个人拥有的移动设备 | 大学系统,没有购买,不维护,或没有签订了一份合同,不作为服务器,不是笔记本电脑,移动。例子包括但不限于:苹果iPad,三星Galaxy,苹果iPhone,摩托罗拉Droid手机,黑莓智能手机。 |
大学拥有、维护或简约打印机、扫描仪/传真、多功能设备,电子监控设备 |
大学系统已经购买、维护或已进入合同执行打印,扫描,传真,或电子监控。 |
个人拥有、维护或简约打印机、扫描仪/传真,和多功能设备,电子监控设备 |
大学系统已经购买、维护或已进入合同执行打印,扫描,传真,或电子监控。 |
程序处理的最低或基线控制保护数据存储,处理,传输,或收到的每个数据资源类型如下所述。最高水平的数据分类存储,处理,传输,或接收的资源决定了最低水平的控制所需的资源。例如,如果一个服务器或工作站存储,处理,传输,或接收的数据划分为高度限制也是存储、处理、传输,或接收数据分类为受限制的,高度限制的控制是必需的。
个人(定义在程序9.8.3和9.8.7)在这个过程有不同的责任。数据管家与单位安全联络人,数据托管人,功能所有者,安全管理员和系统管理员负责贯彻和执行这些最低控制。数据管家与单位安全联络人,数据托管人,功能所有者,安全管理员,和系统管理员可能会要求除了这些最低控制依赖于监管,法律或合同的要求。数据用户还负责坚持建立最低控制。如果你不满足最低控制你正在使用的数据类型禁止使用媒体的数据格式。寻求帮助,请联系您的单位安全联络员。
安全审查购买或开发的系统处理高度受限的数据
部门评估购买或开发一个数据资源存储,处理,传输,或接收高度受限的数据,必须联系数据管理委员会之前开发或进行采购流程。
不符合这些标准将导致撤销系统或网络访问。
如果任何控制包含在本文档无法满足数据资源存储,处理,传输,或接收高度限制,限制,请求或无限制的数据,一个异常必须发起,包括报告的不符合数据通过信息安全官管理委员会。
非电子媒体 | ||||
控制编号 | 控制 | 高度限制的数据 | 限制数据 | 无限制的数据 |
NEM-1 | 访问 | 访问应该限制基于角色和责任。个人被授予访问应该理解他们的责任和运动保健,以确保足够的保护。 | 访问应该限制基于角色和责任。个人被授予访问应该理解他们的责任和运动保健,以确保足够的保护。 |
没有要求。 |
NEM-2 | 文档 在使用 |
私人,安全办公室/工作区信息不是针对游客。 文件应该是安全,没有离开无人值守。 |
私人,安全办公室/工作区信息不是针对游客。 文件应该是安全,没有离开无人值守。 |
没有要求。 |
NEM-3 | 印刷 | 只打印一个合法的需要。 无人值守印刷允许如果访问控制,以防止未经授权的观看。立即检索和安全文件。 看到额外的控制下打印机/扫描仪/传真/多功能设备。 |
无人值守印刷允许如果访问控制,以防止未经授权的观看。 看到额外的控制下打印机/扫描仪/传真/多功能设备 |
没有要求。 看到额外的控制下打印机/扫描仪/传真/多功能设备。 |
NEM-4 | 标签 | 某些文件必须被贴上“机密”无论内部或外部使用。 文件批准的分布应相应标记。 |
某些文件必须被贴上“机密”无论内部或外部使用。 文件批准的分布应相应标记。 |
没有要求。 |
NEM-5 | 传输 | 数据不应以任何方式传播,除非合法ISU商业目的。应当通知收件人提供的信息具有高度的限制,为特定的业务需要。接受者应该意识到他们的责任是保护和破坏。 | 数据不应以任何方式传播,除非合法ISU商业目的。应当通知收件人提供的信息具有高度的限制,为特定的业务需要。接受者应该意识到他们的责任是保护和破坏。 | 数据不应以任何方式传播,除非合法ISU商业目的。应当通知收件人提供的信息具有高度的限制,为特定的业务需要。接受者应该意识到他们的责任是保护和破坏。 |
NEM-6 | 邮件 | 校园邮件;标着“机密”的信封。以这样一种方式密封,篡改明显收到。 外部邮件服务;不需要标记。需要确认收到法律授权。 |
没有要求 | 没有要求。 |
NEM-7 | 传真 | 发送: 仔细检查收件人的传真号码和发送之前安全和隐私的安排。 需要确认收到法律授权。 数据不应该离开无人值守在传真机上。立即检索或安全文档。 收到: 传真机应该在安全的、私人的位置。 数据不应该离开无人值守在传真机上。立即检索或安全文档。 看到额外的控制下打印机/扫描仪/传真/多功能设备。 |
没有要求。 看到额外的控制下打印机/扫描仪/传真/多功能设备 |
没有要求。 看到额外的控制下打印机/扫描仪/传真/多功能设备。 |
NEM-8 | 扫描 | 数据不应该离开无人值守。立即检索或安全文档。 看到额外的控制下打印机/扫描仪/传真/多功能设备。 |
没有要求。 看到额外的控制下打印机/扫描仪/传真/多功能设备。 |
没有要求。 看到额外的控制下打印机/扫描仪/传真/多功能设备。 |
NEM-9 | 存储 | 存储在一个安全的位置与限制访问基于角色和责任。文档的大学商业行为的关键应存放在防火柜。 | 存储在看不见的地方不使用的时候。 | 没有要求。 |
NEM-10 | 处理 | 坚持保留时间表。交叉分解在办公室或利用保密设施管理的服务集合,通过将锁定,机密回收容器。分解前容器应放置在私人的,安全的办公地点。 |
坚持保留时间表。交叉分解在办公室或利用保密设施管理的服务集合,通过将锁定,机密回收容器。分解前容器应放置在私人的,安全的办公地点。 | 坚持保留时间表。利用单个流回收容器。 |
NEM-11 | 二次使用 | 禁止 | 为业务所有者授权 | 为业务所有者授权。 |
NEM-12 | 外部数据共享 | 根据适用的法律法规。 | 根据适用的法律法规。 | 没有要求。 |
NEM-13 | 复制 | 副本必须限于个人授权访问数据在他们的角色和责任。接收方未经许可不得进一步分发。 数据不应该离开无人值守在传真机上。立即检索或安全文档。 看到额外的控制下打印机/扫描仪/传真/多功能设备。 |
没有要求。 看到额外的控制下打印机/扫描仪/传真/多功能设备。 |
没有要求。 看到额外的控制下打印机/扫描仪/传真/多功能设备。 |
NEM-14 | 语言/口服 | 私人办公室或工作的地方不能听到了公众的信息。 |
私人办公室或工作的地方不能听到了公众的信息。 |
没有要求。 |
NEM-15 | 审查 | 每年或根据需要。 | 每年或根据需要。 | 每年或根据需要。 |
电子数据——大学拥有、维护或简约的服务器
控制编号 | 控制 | 高度受限的日期 | 限制数据 | 无限制的数据 |
s - 1 | 大学的电子邮件服务器上的邮件——存储在电子邮件服务器上,看来,在本地存储,发送或接收。 |
不允许 | 允许 | 允许 |
2, | 非大学的电子邮件服务器上的邮件——存储在电子邮件服务器上,看来,在本地存储,发送或接收。 |
不允许 | 不允许 | 允许 |
s 3 | 物理访问,服务器必须位于地区限制访问。 |
要求 | 要求 | 不是必需的 |
4 | 逻辑访问,数据捕获、维护和传播按照主人的访问计划。 |
要求 | 要求 | 要求 |
S-5 | 逻辑访问——当地企业和第三方系统传输和存储数据存储库(EDR)数据必须遵守的程序使用企业数据在当地和第三方系统。 |
要求 | 要求 | 要求 |
S-6 | 逻辑访问,服务器从互联网上不能直接访问。使用私人内部网络寻址。 |
要求 | 要求 | 不是必需的 |
S-7 | 逻辑访问,服务器必须在VLAN指定服务器。 |
要求 | 要求 | 要求 |
S-8 | 逻辑访问,访问非公开文件系统区域必须需要身份验证。 | 要求 | 要求 | 要求 |
S-9 | 配置和管理根据服务器的最低安全标准。 | 要求 | 要求 | 要求 |
S-10 | 配置和管理按照帐号和密码的标准。 |
要求 | 要求 | 要求 |
S-11 | 配置和管理按照远程访问的标准。 |
要求 | 要求 | 要求 |
12 | 所有账户,禁用或删除未使用的账户 |
要求 | 要求 | 要求 |
13个 | 所有账户——更改默认密码。 |
要求 | 要求 | 要求 |
S-14 | 二次使用的数据,使用数据请求的目的。 |
不允许 | 授权的数据管家 | 由数据管理员授权 |
施特 | 备份,建立和执行的程序进行定期的系统备份。 | 要求 | 要求 | 推荐 |
16个 | 备份——备份必须验证,通过自动化的验证,通过客户恢复,或审判恢复。 | 要求 | 要求 | 推荐 |
S-17 | 备份,保持记录的系统,这些系统上的数据恢复程序。 |
要求 | 要求 | 推荐 |
S-18 | 备份——备份媒体必须从未经授权的物理访问是安全的。如果备份媒体存储站外,它必须被加密或有一个文档化的过程,以防止未经授权的访问。 | 要求 | 要求 | 推荐 |
S-19 | 处置,结束生命,顺差——处理依照大学数据处理过程 |
要求 | 要求 | 要求 |
20 | RMA补发,贸易,销售,处理依照大学数据处理过程 |
要求 | 要求 | 要求 |
s - 21 | 丢失或被盗 |
报告ISUPD | 报告ISUPD | 报告ISUPD |
电子数据——ISU和个人工作站
控制编号 | 控制 | 高度限制的数据 | 限制数据 | 无限制的数据 | |||
ISU拥有 | 个人拥有 不允许 |
ISU拥有 | 个人拥有 | ISU拥有 | 个人拥有 | ||
w1 | 大学的电子邮件服务器上的邮件——存储在电子邮件服务器上,看来,在本地存储,发送或接收。 | NotPermitted | 允许 | 允许 | 允许 | 允许 | |
报税表 | 非大学的电子邮件服务器上的邮件——存储在电子邮件服务器上,看来,在本地存储,发送或接收。 |
不允许 | 不允许 | 不允许 | 允许 | 允许 | |
和 | 逻辑访问,数据捕获、维护和传播按照主人的访问计划 |
要求 | 要求 | 要求 | 要求 | 要求 | |
圆满填写完减免证明 | 逻辑访问——当地企业和第三方系统传输和存储数据存储库(EDR)数据必须遵守的程序使用企业数据在当地和第三方系统。 |
要求 | 要求 | 要求 | 要求 | 要求 | |
W-5 | 逻辑访问——工作站不能直接访问互联网。使用私人内部网络寻址。 | 要求 | 要求校园网络。 推荐校外 |
要求校园网络。 推荐校外。 |
要求校园网络。 推荐校外。 |
推荐 | |
W-6 | 逻辑访问——工作站VLAN必须在指定的工作站。 |
要求校园 | 要求校园网络。 推荐校外。 |
要求校园网络。 推荐校外。 |
要求校园网络。 推荐校外。 |
推荐 | |
若 | 逻辑访问,访问非公开文件系统区域必须需要身份验证。 |
要求 | 要求 | 要求 | 要求 | 推荐 | |
W-8 | 配置和管理工作站的最低安全标准一致。 |
要求 | 要求 | 要求 | 要求 | 推荐 | |
W-9 | 配置和管理按照帐号和密码的标准。 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
W-10 | 配置和管理按照远程访问的标准。 |
要求 | 要求 | 要求 | 要求 | 推荐 | |
W-11 | 所有账户,禁用或删除未使用的账户 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
W-12 | 所有账户——更改默认密码 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
W-13 | 二次使用的数据,使用数据请求的目的 | 不允许 | 由数据管理员授权 | 由数据管理员授权 |
由数据管理员授权 |
由数据管理员授权 |
|
W-14 | 处置,结束生命,顺差——处理依照大学数据处理过程 | 要求 | 要求 | 要求 | 要求 | 没有需求 | |
W-15 | RMA补发,贸易,销售,处理依照大学数据处理过程 | 要求 | 要求 | 要求 | 要求 | 没有需求 | |
- 16 | 丢失或被盗 | 报告ISUPD |
报告ISUPD |
报告ISUPD |
报告ISUPD |
没有需求 | |
电子数据——ISU和个人笔记本电脑系统
控制 数量 |
控制 | 高度限制的数据 | 限制数据 | 无限制的数据 | |||
ISU拥有 | 个人拥有 不允许 |
ISU拥有 | 个人拥有 | ISU拥有 | 个人拥有 | ||
LS-1 | 大学的电子邮件服务器上的邮件——存储在电子邮件服务器上,看来,在本地存储,发送或接收。 |
不允许 | 允许 | 允许 | 允许 | 允许 | |
LS-2 | 非大学的电子邮件服务器上的邮件——存储在电子邮件服务器上,看来,在本地存储,发送或接收。 |
不允许 | 不允许 | 不允许 | 允许 | 允许 | |
LS-3 | 逻辑访问,数据捕获、维护和传播按照主人的访问计划 |
要求 | 要求 | 要求 | 要求 | 要求 | |
律师4 | 逻辑访问——当地企业和第三方系统传输和存储数据存储库(EDR)数据必须遵守的程序使用企业数据在当地和第三方系统。 |
要求 | 要求 | 要求 | 要求 | 要求 | |
LS-5 | 逻辑访问——笔记本电脑系统不能直接访问互联网。使用私人内部网络寻址。 |
需要在校园 | 要求校园网络。推荐校外 | 要求校园网络。推荐校外 | 要求校园网络。推荐校外 | 推荐 | |
LS-6 | VLAN逻辑访问——笔记本电脑系统必须在指定的工作站或无线设备。 |
需要在校园 | 要求校园网络。推荐校外 | 要求校园网络。推荐校外 | 要求校园网络。推荐校外 | 推荐 | |
LS-7 | 逻辑访问,访问非公开文件系统区域必须需要身份验证。 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
LS-8 | 配置和管理根据笔记本电脑系统的最低安全标准。 |
要求 | 要求 | 要求 | 要求 | 推荐 | |
LS-9 | 配置和管理按照帐号和密码的标准。 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
LS-10 | 配置和管理按照远程访问的标准。 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
LS-11 | 所有账户,禁用或删除未使用的账户 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
LS-12 | 所有账户——更改默认密码 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
LS-13 | 二次使用的数据,使用数据请求的目的。 |
不允许 | 由数据管理员授权 | 由数据管理员授权 | 由数据管理员授权 | 由数据管理员授权 | |
LS-14 | 处置,结束生命,顺差——处理依照大学数据处理过程 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
LS-15 | RMA补发,贸易,销售,处理依照大学数据处理过程 |
要求 | 要求 | 要求 | 要求 | 推荐 | |
LS-16 | 丢失或被盗 | 报告ISUPD | 报告ISUPD | 报告ISUPD | 报告ISUPD | 没有需求 |
电子数据——ISU和个人移动设备
控制编号 | 控制 | 高度限制的数据 | 限制数据 | 无限制的数据 | |||
ISU拥有 | 个人拥有的不允许 | ISU拥有 | 个人拥有 | ISU拥有 | 个人拥有 | ||
MD-1 | 大学的电子邮件服务器上的邮件——存储在电子邮件服务器上,看来,在本地存储,发送或接收。 |
不允许 | 允许 | 允许 | 允许 | 允许 | |
MD-2 | 非大学的电子邮件服务器上的邮件——存储在电子邮件服务器上,看来,在本地存储,发送或接收。 |
不允许 | 不允许 | 不允许 | 允许 | 允许 | |
MD-3 | 逻辑访问,数据捕获、维护和传播按照主人的访问计划 |
要求 | 要求 | 要求 | 要求 | 要求 | |
MD-4 | 逻辑访问——当地企业和第三方系统传输和存储数据存储库(EDR)数据必须遵守的程序使用企业数据在当地和第三方系统。 |
要求 | 要求 | 要求 | 要求 | 要求 | |
MD-5 | 逻辑访问——移动设备不能直接访问互联网。使用私人内部网络寻址。 |
需要在校园 | 要求校园网络。推荐校外 | 要求校园网络。推荐校外 |
要求校园网络。推荐校外 |
推荐 | |
MD-6 | 逻辑访问VLAN中——移动设备必须指定的工作站或无线设备。 |
需要在校园 | 要求校园网络。推荐校外 | 要求校园网络。推荐校外 | 要求校园网络。推荐校外 | 推荐 | |
MD-7 | 逻辑访问,访问非公开文件系统区域必须需要身份验证。 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
MD-8 | 配置和管理根据移动设备的最低安全标准。 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
MD-9 | 配置和管理按照帐号和密码的标准。 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
MD-10 | 配置和管理按照远程访问的标准。 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
md - 11 | 所有账户,禁用或删除未使用的账户 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
MD-12 | 所有账户——更改默认密码 | 要求 |
要求 |
要求 |
要求 |
推荐 | |
MD-13 | 二次使用的数据,使用数据请求的目的。 |
不允许 | 由数据管理员授权 | 由数据管理员授权 | 由数据管理员授权 | 由数据管理员授权 | |
MD-14 | 处置,结束生命,顺差——处理依照大学数据处理过程 |
要求 | 要求 | 要求 | 要求 | 推荐 | |
MD-15 | RMA补发,贸易,销售,处理依照大学数据处理过程 |
要求 | 要求 | 要求 | 要求 | 推荐 | |
MD-16 | 丢失或被盗 | 报告ISUPD | 报告ISUPD | 报告ISUPD | 报告ISUPD | 没有需求 |
电子数据- ISU和个人打印机/扫描仪/传真/多功能设备,和电子监控设备
控制编号 | 控制 | 高度限制的数据 | 限制数据 | 无限制的数据 | |||
ISU拥有 | 个人拥有的不允许 | ISU拥有 | 个人拥有 | ISU拥有 | 个人拥有 | ||
PSF-1 | 大学的电子邮件服务器上的邮件——存储在电子邮件服务器上,看来,在本地存储,发送或接收。 |
不允许 | 允许 | 允许 | 允许 | 允许 | |
PSF-2 | 非大学的电子邮件服务器上的邮件——存储在电子邮件服务器上,看来,在本地存储,发送或接收。 |
不允许 | 不允许 | 不允许 | 允许 | 允许 | |
PSF-3 | 符合大学政策1.7使用电子设备监测的目的,在购买之前咨询ISU警察。 |
要求 | 要求 | 要求 | 要求 | 要求 | |
PSF-4 | 逻辑访问,数据捕获、维护和传播按照主人的访问计划 | 要求 | 要求 | 要求 | 要求 | 要求 | |
PSF-5 | 逻辑访问——当地企业和第三方系统传输和存储数据存储库(EDR)数据必须遵守的程序使用企业数据在当地和第三方系统。 | 要求 | 要求 | 要求 | 要求 | 要求 | |
PSF-6 | 逻辑访问-打印机/扫描仪/传真/多功能设备不能直接从互联网访问。使用私人内部网络寻址。 | 需要在校园 | 要求 | 要求校园网络。推荐校外。 | 要求校园网络。推荐校外。 | 推荐 | |
PSF-7 | 逻辑访问-打印机/扫描仪/传真/多功能设备必须在VLAN指定打印机或服务器设备。 |
需要在校园 | 要求 | 要求校园网络。推荐校外。 | 要求校园网络。推荐校外。 | 推荐 | |
PSF-8 | 逻辑访问,访问非公开文件系统区域必须需要身份验证。 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
PSF-9 | 配置和管理按照最低安全标准的打印机/扫描仪/传真,和多功能设备. . |
要求 | 要求 | 要求 | 要求 | 推荐 | |
PSF-10 | 配置和管理按照帐号和密码的标准。 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
PSF-11 | 配置和管理按照远程访问的标准。 | 要求 | 要求 | 要求 | 要求 | 推荐 | |
PSF-12 | 二次使用的数据,使用数据请求的目的。 | 不允许 | 由数据管理员授权 | 由数据管理员授权 | 由数据管理员授权 | 由数据管理员授权 | |
PSF-13 | 处置,结束生命,顺差——处理依照大学数据处理过程 |
要求 | 要求 | 要求 | 要求 | 推荐 | |
PSF-14 | RMA补发,贸易,销售,处理依照大学数据处理过程 |
要求 | 要求 | 要求 | 要求 | 推荐 | |
PSF-15 | 丢失或被盗 | 报告ISUPD | 报告ISUPD | 报告ISUPD | 报告ISUPD | 没有需求 |
定义:
服务器:一个系统,代表客户执行任务。例子包括但不限于:文件服务器、数据库服务器、web服务器、邮件服务器、打印服务器。
远程访问:访问系统的能力从一个位置除了系统本身。提供远程访问应用程序的例子包括但不限于:微软远程桌面服务、SSH、Telnet, RealVNC, pcAnywhere,朋友GoToMyPC,你。
最后回顾:2013年7月