回到政策
   打印策略编号:2032
回到政策 打印策略编号:2032
十大彩票网投平台标志     
保单编号:2032
负责办公室:信息安全
覆检日期:2023年6月1日
下一次要求审查:2028年6月1日
保单编号:2032
负责办公室:信息安全
覆检日期:2023年6月1日
下一次要求审查:2028年6月1日

资讯系统保安

1. 目的

制定此一般安全政策是为了确保十大彩票网投平台所有管理计算机系统的数据完整性和机密性. 本文档将为数据资源的分类提供指导, 然后由不同的用户组检索和传播这些数据. 这些指引将允许个别部门批准其数据的数据访问授权(一般情况下). 本一般政策所涵盖的用户访问情况的任何例外情况将由大学计算机服务中心特别考虑.

越来越多的大学员工可以通过电脑接触到机密信息. 本安全政策无意妨碍使用电脑获取大学所需的信息, 大学, 或部门业务. 然而, 它的目的是鼓励负责任的使用电脑和自由裁量权在传播学生和雇员的信息.

2. 适用性

这一政策适用于除美国卫生部以外的所有大学部门.

3. 定义

不适用.

4. 政策指导方针

4.1保密数据

机密数据, 也被称为个人身份信息或PII, 包括联邦中定义的任何信息, 状态, 大学数据隐私法律法规. Examples include but are not limited to: Social Security; Driver’s License; Passport Numbers; Birth Date; financial information; individual’s medical or academic information; any data covered by FERPA, HIPAA, pci dss标准, 或《十大彩票网投平台》. 禁止未经授权的访问、传输、收集或存储机密数据. 访问和存储个人(用户拥有)设备上的机密信息可能对大学(以及个人)构成重大风险,是禁止的.

4.2数据来源

就本政策而言,数据类型分为以下几类:

    • 学生信息;
    • 学生资助信息;
    • 学生宿舍信息;
    • 行政财务信息;
    • 人力资源信息;
    • 机构研究信息.

在这些一般类别中, the different types of data are broken down into subsets; a University source is provided for each.

4.3学生信息

4.3.数据所有者:大学注册处

注册办公室是学生个人信息的官方来源. 出于安全考虑, 学生信息分为目录和学术两大类.

4.3.2目录信息

大学工作人员可以访问目录信息,并且可以, 没有限制, 在校内和校外传播官方使用的信息. 1974年的《十大彩票网投平台》和《十大彩票网投平台》规定了以下目录信息:

      • 学生的姓名、地址、电话号码、电子邮件地址、照片、出生日期和地点;
      • 专业,入学日期,授予学位和授予日期,任何毕业成绩;
      • 在被十大彩票网投平台录取之前就读的院校;
      • 参加官方认可的活动和体育项目以及大学运动队成员的体重和身高. 

目录信息可在横幅屏幕上获得,如SPAIDEN, SPAPERS, SGASTDN, SHADEGR等.

如学生不希望将上述任何资料发放给非机构人士或组织, 目录信息保密必须在注册主任办公室填写. 一旦学生填写完表格,保密标志将被标记在横幅上. “机密”评论将出现在所有Banner屏幕的左上角. 此请求将一直有效,直到学生通知, 以书面形式, 通知登记官办公室取下旗帜.

4.3.3学术信息

学术信息,包括成绩、学籍、课程表等.,未经学生书面许可不得向第三方发布. 学术信息可以被十大彩票网投平台的员工使用,他们对学生有合法的教育兴趣,并且在他们需要知道的范围内行事,可以在未经学生事先同意的情况下访问学生的教育记录. 这包括学术办公室和学生支持办公室的人员, 比如招生, 学生会计, 金融援助, 注册商, 等.). 即使学生被允许保密,情况也是如此.

班纳大学无法提供的学术信息应向注册主任办公室索取. 学生或大学以外的机构或个人的信息要求也应提交给教务处.

4.3.4学生概况

机构研究办公室是汇总或总结学生信息的官方来源, 如招生或学分的数据,打算在校内或校外传播. 通过班纳制作的涉及学生数据摘要的报告和分析请求将与机构研究办公室一起开发. 这将确保报告和分析是基于最准确的信息,并将加强由学院和部门产生的信息的一致性和完整性.

4.学生经济援助信息

资料拥有者:财务援助办公室主任

经济援助办公室是从各种援助计划中获得经济援助的个别大学生的官方信息来源, 包括助学金、奖学金和贷款. 此类信息的所有请求都应提交给财政援助主任.

通过学生贷款获得财政援助的学生信息由财政援助办公室维护,应向该部门主任提出要求.

4.5学生宿舍信息

资料拥有者:住房署署长

任何有关学生宿舍的信息都应该向住房部主任询问. 通过学生贷款获得经济援助的学生信息由学生账户办公室维护,应向该部门主任提出要求.

4.6工资信息

资料拥有者:薪资办公室主任

薪资办公室是大学员工个人财务信息的官方来源. 所有要求保密财务信息的请求都应提交给薪资主管.

4.7人力资源信息

数据所有者:财务助理副总裁 & 行政/人力资源

有关具体工作职位的信息(分类、描述等).),由人力资源部管理. 所有十大彩票网投平台员工信息(不包括工资单信息)的请求都应发送给副总裁助理, 人力资源.

4.8机构研究信息

数据所有者:研究合规执行董事 & 保证

机构研究信息包括学生入学数据, 教师报告, 学时生产, 调查(e.g.(保留学生)、政府报告等. 这类信息的官方来源是机构研究办公室, 所有索取该等资料的要求均应提交该办事处处长.

4.9财务会计信息

数据所有者:业务办公室控制员

每个账户的收入、支出和预算信息都要保存. 查阅资料的请求应提交给财务总监.

4.10分类标准

数据分类

数据分类表明用户能够对数据做什么. 具体限制由负责数据的各个部门概述和执行. 访问许可的具体级别包括:

    • 只读;
    • 维护(更新、添加、删除).

不同的用户分类将可以通过这些许可级别中的一个或多个级别访问数据. 每个用户ID都受到授予用户访问权限的表单的限制.e.,他们的许可级别将使他们能够访问有限数量的表格. 如果用户试图访问与他/她的权限级别不合适的表单, 屏幕上将出现安全违规消息.  

未经该等资料的部门拥有人许可,不得将该等资料下载至其他储存媒介. 下载管理数据需要数据所有者的单独授权. 个人用户将对任何违反本程序的行为负责.

4.11部门安全

每个部门将为其维护的数据指定一个“所有者”. 如前一节所述,将遵循检索和传播大学数据的适当程序, 数据检索和发布.

受大学规管而储存资料的部门,有责任确保所有资料均按照大学规管而受到保护. 这适用于来自任何来源的所有此类数据, 是否以电子方式从行政系统转移, 或由个别部门从打印的文件中输入. 

具体地说, 部门必须确保能够访问包含这些信息的个人工作站或服务器,或访问部门系统生成的输出, 是否仅限于获得授权的个人访问数据. Password security on individual stations or 服务器s is not sufficient to ensure compliance; any such systems on which regulated data is stored must also be in secure, 监督区域, 例如部门或个人办公室. 

备份磁带、磁盘或印刷或电子媒体上的数据副本也必须受到类似的保护. 在任何情况下,未经适当的行政办公室的明确书面授权,不得向其他部门的人员或非大学人员授予机密资料或访问机密资料的权限. 任何未经授权储存及/或复制大学机密资料(例如.g.、成绩、成绩单等.)是严格禁止的.

为了维护部门或学术实体的敏感信息的机密性和完整性, 在设备所有者的员工分类发生变化时,必须采取以下步骤:

    • 设备不得转移到一个新的部门,除非该设备已由适当的部门技术人员维修,并且硬盘驱动器已被粉碎和更换. 
    • 如果一个设备在一个部门内改变所有权, 需要通知相应的部门技术人员. 如果有问题的设备在具有相同数据访问权限的员工之间传输, 硬盘需要进行出厂重置. 如果设备在具有不同数据访问权限的员工之间传输, 硬盘将被粉碎并更换

任何与上述规定的偏差必须得到信息安全办公室主任的书面批准.

就第4节而言.11, 设备被定义为美国拥有的工作站, 移动PC。, 服务器, 或由员工或代表十大彩票网投平台的任何人操作的任何其他计算设备.

4.12物理安全

院长和部门/部门主管负责确保其管辖的部门和办公室的计算机的物理安全和负责任的使用. 下列政策声明应提供及/或张贴在显眼位置,以便所有使用电脑的人员了解他们的责任范围:

    • 电脑将放置在物理上安全的地方,不使用时可以上锁;
    • 电脑的使用将仅限于从事大学公务的个人;
    • 学生工作人员使用电脑应限于那些学生工作人员绝对需要补充大学正式工作人员的情况. 应全面指导学生如何正确和负责任地使用电脑;
    • 每个有权访问管理信息的个人都被分配了他/她自己的帐户凭据(用户id和密码). The owner of the account is not to share this information with anyone else; the owner is responsible for any misuse of his/her sign-on credentials;
    • 在任何情况下,账户凭证都不得张贴在电脑上或电脑附近;
    • 已“登录”的电脑绝不能无人看管;
    • 要求改善电脑保安, 以及涉嫌违规行为, 应向资讯保安署署长提交, 美国信息安全办公室.

未获准许查阅该等资料的个人经常使用的电脑,并不适合存放机密资料(例如.g. 学生实验室或其他公共场所的计算机.在这种性质的系统上放置机密信息明显违反了大学的规定.

因为有可能被窃取和发现数据, 也不是便携式电脑(笔记本电脑), 笔记本电脑, 等.)或便携式存储设备, 包括USB密钥和移动磁盘, 应该用来存储机密或受监管的数据吗, 除非这些数据是加密的.

4.13计算机安全

机密数据只能从非公开的地方访问, 分配给员工的大学自有电脑. 计算机应安装大学发布的杀毒软件,并定期激活Windows更新和应用补丁.

在某些情况下, 系统应安装大学提供的PII搜索软件(请参阅下面的数据安全). 如果访问大学信息系统, 除非您的计算机由USADIR/Active Directory控制并要求在使用前登录,否则不应将软件配置为使用存储的密码或以其他方式绕过输入密码. 用户在不积极使用计算机时(例如, (当离开办公室去开会或吃午饭时). 建议将屏幕锁定配置为在非活动状态超过10分钟后自动锁定计算机.

4.14数据安全

任何访问大学数据的个人, 通过电脑或报告, 谁对这些数据的机密性负责. 同样的, 任何将大学数据存储在个人电脑上的个人都将对该信息的机密性负责.

在任何情况下,机密数据都不应该存储在Dropbox这样的云服务上, OneDrive, 盒子, 等. 该大学与Google (G Suite)签订了商业合作协议,Google Drive可能是FERPA和HIPAA数据的合适存储位置. 但是,不建议在Google中存储机密数据. 了解更多信息, 参见“G Suite HIPAA商业伙伴修正案”和“G Suite for Education隐私声明”。.

包含社会安全号码的电子文件不得存储在桌面上, 笔记本电脑, 部门的服务器, 云服务, 便携式媒体设备, 或在未经资讯保安署署长明确书面许可的情况下储存于电邮内. The files containing SSNs approved for local storage must be encrypted; all unapproved files must be deleted (Please refer to the 社会安全号码保护 Policy). 对于必须访问ssn的部门, 作为基本商业目的的一部分, 大学提供PII搜索软件,安装在员工电脑上,帮助删除PII. 如需更多资料,请联络资讯保安署署长.

4.15 Web服务器和部门服务器

未经相应的行政办公室和网络服务经理事先书面批准,不得将受大学或保密规定约束的信息放在大学的主网络服务器上. 这些资料应, 在一般情况下, 只有在对大学业务绝对必要的情况下,并在适当的保障措施下,才可将网站或其他部门服务器放置, 包括适当的文件权限, 访问控制和安全补丁程序已到位.

4.16电子邮件系统安全

电子邮件在处理机密数据时带来了额外的风险. 由于寻址错误或类似的错误,数据很容易被传输到意想不到的接收者. 除了, 邮件系统的日常维护可能需要或无意中导致邮件系统管理员查看某些邮件片段. 计算机服务中心将尊重所有此类邮件的隐私,不会向任何其他方透露此类邮件的内容. 然而, 通过此程序发现违反法律或学校规定的活动, CSC可将此类信息报告给有关当局. 

各部门应注意,未经有关行政办公室事先书面批准,不得通过电子邮件传送受保密条例约束的资料.

5. 程序

每组大学数据将被分类为具有一个“所有者”。. 该所有者将由负责该数据的大学部门内的特定个人代表. 任何时候一个部门或个人希望访问另一个部门的数据, 他们必须遵循以下程序:

  • 如果您要求访问学生信息, 请填写相应的Banner Security访问表格,这些表格可在第7节的以下链接中找到.1的“相关文件”部分,并将其提交给注册办公室;
  • 如果您要求访问财务信息, 请填写相应的Banner Security访问表单,该表单可在第7节中的以下链接中找到.2 .将“相关文件”提交至营业处;
  • 一旦你的查阅资料要求已获业主/主管部门批准, 您将被要求签署一份“责任声明”表格,以便从计算机中心获得登录代码和密码. (如果您正在访问学生记录系统, 你将被要求签署一份注册办公室的“保密/责任声明”, 也。.)

6. 执行

每个部门负责执行此数据安全策略. 大学政策规定,机密信息仅在大学需要时使用, 大学, 或部门业务. 拒绝遵守这一政策显然违反了1974年的《十大彩票网投平台》. 违规者将受到纪律处分,并可能将违规者移交有关当局.

7. 相关文档

7.1  校友/发展系统校旗保安访问表

7.2  学生系统横幅安全访问表

7.3  Banner财务担保表格

7.4  社会安全号码保护 (政策)

7.5  保密资料保护 (政策)