富兰克林 & 马歇尔头标志

资讯科技政策

首页。 / 大学政策 / 技术 / 富兰克林 & 马歇尔-数据分类策略

数据分类策略

资讯科技政策

I. 政策的理由和陈述

富兰克林的所有成员 & 冰球突破正规网站社区有责任 保护机构数据不受未经授权的访问、修改或披露 理解并遵守这一政策.

通过正常的业务过程,所有的学院和大学都有联系 带有个人信息、财务细节和其他敏感信息 或者是保密性质的. 而有些数据是由行业或政府管理的 条例,其他类型的信息可能不包括在具体的条例. 即便如此,采取合理和负责任的措施符合社会的最大利益 保护私人资料.

该政策定义了机构数据的分类——i.e.,类别 学院负责保护的数据,以及相关措施 哪些是保护每个分类所必需的. 机构数据 以多种形式存在,包括电子、磁性、光学和传统纸张 文档. 常见的电子数据类型包括电子邮件信息、电子表格和word 处理文档、PDF报告,以及集中管理数据库和文件 存储系统.

II. 范围

本政策适用于所有学院教职员工、学生、学生雇员、志愿者、 以及有权接触敏感或机密信息的承包商 在本文档中. 此策略涵盖存储、访问或传输的数据 以任何和所有格式,包括电子,磁性,光学,纸张或其他非数字格式 格式.

除受法律、合约明文保护的资料外, 或行业规则,下面提供的数据分类示例是指导方针. 数据管理员最终负责对其下属的数据进行分类 或者她的管理. 对特定数据集的分类可以根据 风险评估或记录业务需求.

此政策不适用于版权由个别教员拥有的数据 学院知识产权政策规定的成员、员工或学生.

3。. 定义

数据管家: 学院的高级员工,负责监督一个或多个项目的生命周期 机构数据集. 数据管理员负责数据的维护 元素以及部门外各方使用这些元素的授权 或机构. 数据管理员的职责通常落在部门经理身上 谁拥有正在考虑的数据收集. 数据管理员由高级官员命名 负责某一部门、部门或职责的官员. 因此,数据管理 责任首先在于学院的高级管理人员.

数据分类和定义

由学院创建、处理、收集或维护的数据是保密的 分为以下三类:

  1. 公共

  2. 敏感的

  3. 保密

1:公共数据

公共数据是机构信息,可以或必须免费提供给公众 公众. 它被定义为没有现有的地方、国家、国际、 或者对访问或使用的合同限制.

常见的公共数据类型包括:

  • 教职员工和学生目录

  • 校园地图

  • 课程目录

  • 事件日历

2:敏感数据

敏感数据是机构信息,由于专有,必须加以保护。 道德、隐私或业务流程方面的考虑. 必须保护敏感数据 禁止未经授权的访问、修改、传输、存储或释放. 这种分类 适用于即使可能没有法律或合同控制要求这样做 保护. 默认情况下,大多数管理数据属于此分类.

常见的敏感数据类型包括:

  • 入学申请

  • 受《冰球突破官网》保护的教育记录和信息 隐私法(FERPA)

  • 就业申请、人事档案、福利信息、工资、出生日期、 以及个人冰球突破官网

  • 捐款人信息:个人冰球突破官网,捐款人和捐款额 向公众披露

  • 律师与当事人之间的保密沟通

  • 非公立大学政策

  • 大学内部备忘录和电子邮件,内部报告,预算,计划和财务 信息

  • 非公开的合同

  • 教师、职员和学生的身份证号码

  • 没有被有意公布的研究数据

3:保密数据

机密数据是受政府法规保护的机构信息, 法规、行业法规、合同义务或具体的学院政策. 管理员和数据管理员可以指定机构数据的其他类型 是保密的. 机密数据应向个人和企业披露 严格保密的合作伙伴. 向学院以外的各方披露 是否应由适当的数据管理员明确授权.

常见的机密数据类型包括:

  • 受支付卡行业(PCI)保护的数据,包括信用卡号码、卡 安全码(CVV2码)和授权码

  • 受《冰球突破官网》(HIPAA)保护的数据 包括医疗保健信息和保险单号码

  • 用于身份验证的密码、密码散列、加密密钥和加密令牌 任何学院的信息系统或任何其他机密的加密 data

  • 个人独特的身份信息,包括社会保障、驾照、 护照和学生/旅游签证号码

  • 磁条,条形码,或接近(RFID, NFC等.)被编码的数据 身份证或钥匙扣,用于身份验证,销售点,或 物理安全系统.

  • 财务账户详细信息,包括支票、投资或退休账户号码

  • 根据适用法律属于出口管制信息的任何数据

IV. 政策

富兰克林 & 冰球突破正规网站有以下指导方针来保护每个人 数据分类.

1:公共数据

虽然对访问公共数据没有限制,但这些数据应该是适当的 保护以防止未经授权的修改、意外使用或分发. 应当理解,在本网站广泛传播的任何信息 校园社区可能对广大公众开放.

以下准则适用于用于存储和共享的信息系统 F&M的公共数据.

  • 在可行的情况下,公共数据只应通过学院所使用的系统共享 保持完全的管理控制,包括删除或修改的能力 有问题的数据

  • 用于公共共享的信息系统,如网络服务器,必须是正确的 保护以防止未经授权修改已发布的公共数据

  • 对包含公共数据(如在线目录)的数据库的交互式访问 或图书馆目录应使用查询率限制、验证码、 或者类似的技术来阻止整个数据集合的批量下载

2:敏感数据

敏感数据需要一定程度的保护,因为未经授权的披露, 更改或毁坏会对书院造成损害. 的要求 处理敏感数据的方法如下.

除了对公共数据的要求外,敏感数据还必须:

  • 保护以防止丢失,盗窃,未经授权的访问和/或未经授权 信息披露

  • 储存在密闭容器内(如.e. 文件柜、封闭的办公室或部门等 电子门禁控制系统到位),以防止泄露 不使用时

此外,敏感数据:

  • 未经明确的书面授权,不得向学院以外的人披露 由适当的数据管理员.

  • 不能存储在任何没有管理或合同的云信息系统上 学院. (见第6节有关批准的存储和传输的更多详细信息 敏感数据.)

3:保密数据

由于风险和规模,机密数据需要高度保护 由于披露、更改或毁坏资料而可能造成的损失或伤害 data. 处理机密数据的要求如下.

除了敏感数据的要求外,机密数据还必须 be:

  • 有强密码保护,并存储在有保护和加密的设备上 资讯科技服务(ITS)提供的措施,以防止 丢失、被盗、未经授权访问和未经授权披露

  • 当存储在任何设备或媒体上时,受its批准的加密保护 没有物理连接到学院,如移动设备,光学或闪存媒体, 或者备份磁带. 看手机 & 有关移动设备的详细信息 设备.

  • 通过公共网络传输时,受its认可的加密保护 作为互联网

  • 受多因素身份验证保护(只要存在这种功能)

  • 当从远程位置查询时,通过its批准的VPN访问

  • 仅存储在学院拥有的设备上-机密数据不允许存储 在任何个人拥有的设备上,包括手机、笔记本电脑或家用电脑. (参见手机 & 有关远端设备策略的详细信息.)

  • Must be stored only in a locked drawer; a locked room; an area where access is controlled by a guard, cipher lock, and/or card reader; or an area that has sufficient physical 访问控制措施,以提供充分的保护和防止未经授权的访问 公众成员、访客或其他不需要知道的个人

资讯科技服务参考指引

下面的图表旨在作为IT服务的快速参考. 如果不是 在使用某项服务前,请先联络资讯科技服务(ITS) 存储、处理或传输本策略定义的敏感或机密数据.

类别

服务

公共

敏感的

保密

内部托管服务

共享个人文件夹

是的

是的

是的

 

共享公用文件夹

是的

是的

No

 

共享部门文件夹(通过组保护)

是的

是的

是的

 

语音信箱

是的

是的

No

云服务

机构提供的Google Drive

是的

是的

是的

 

其他个人提供的云服务

是的

No

No

 

-----
政策维护人员:信息技术服务部副总裁兼首席信息官 官
原生效日期:2016年9月1日
最后审查:2023年9月14日