一、宗旨和范围
A.本数据分类和加密规则的目的是描述管理大学电子数据和信息资产的要求。2017年IT监督批准
2。定义
A.电子资源-任何用于电子通信的资源,包括但不限于互联网、电子邮件和社交媒体。B.信息资产-以任何电子方式存储的数据或知识,并被认为具有使大学能够履行其业务职能的价值。D. IT技术员——IT技术员开发、管理、管理和监控支持大学IT基础设施的IT资源、信息系统和电子资源,对他们管理的IT资源、信息系统和电子资源的安全负责。并确保与安全相关的活动以一致和可审计的方式被很好地记录和完成。E. IT资源-服务器、工作站、移动设备、医疗设备、网络设备、网络摄像头或其他监控设备,或其他设备/资源,A)由大学拥有或用于开展大学业务,无论所有权如何;b)连接到大学的网络;和/或c)创建、访问、维护或传输信息资产,并用于任何数据或信息的电子存储、处理或传输。F.移动设备-一种便携式手持电子计算设备,具有与工作站类似的功能(例如iPhone、Android手机、Windows手机、Blackberry、Android平板电脑、iPad、Windows平板电脑等)。G.服务器-用于向多个用户提供信息和/或服务的硬件和软件和/或工作站。H.工作站-一种电子计算设备、终端机或任何其他设备,其功能相当于装有微处理器的通用计算机,并为个人用户(如笔记本电脑、台式电脑、PC机、Mac机等)运行商业软件(如文字处理应用程序或互联网浏览器)。
3。规则
A.数据分类
1. 大学电子数据必须按照本规则所述的数据分类模型进行分类,并应不断评估以确定适当的分类。数据分类模型将用于确定使用整个大学的IT资源、信息系统和电子资源创建、维护、处理或传输的数据的适当数据分类。在本模型下,数据将根据外部法规、内部法规和其他合同要求进行分类。此数据分类模型不以任何方式取代任何州或联邦政府的分类。2. 这些数据分类适用于大学拥有或保管的电子数据,无论这些数据存储在何处。这可能包括存储在数据中心的数据,由IT资源访问或远程存储的数据,以及存储在合同第三方(包括业务伙伴、云服务提供商、供应商、承包商和临时员工)的大学数据。本数据分类方法不以任何方式取代任何州或联邦政府分类或其他合同分类。3. 当一组特定的日期被归类为符合两种或两种以上数据分类的组合时,该数据应根据最严格/最安全的适用数据分类进行管理。
B.数据分类模型
|
|
|
|
|
|
|
|
|
|
| 访问 |
|
|
|
| 数据类型 |
|
|
|
C.受限制的数据类型(包含该数据类型的所有记录、系统和存储设备必须经数据管理员批准并在信息安全办公室注册)
1. 个人身份资料(PII)
a.个人身份信息受联邦和州法律法规保护,包括由美国国土安全部(DHS)管理的联邦法规,国土安全部将其定义为“允许直接或间接推断个人身份的任何信息,如果丢失、泄露或未经授权披露,可能会对个人造成重大伤害、尴尬、不便或不公平。”根据犹他州政府记录访问管理法(GRAMA)或法律要求的其他披露,PII在发布之前必须受到保护。
b. PII包括但不限于以下内容:
2. 受保护的健康信息(PHI)
a. PHI受联邦《健康保险流通与责任法案》(HIPAA)保护,包括与个人健康或医疗保健相关的所有个人可识别信息,具体包括但不限于以下内容:
3. 支付卡行业(PCI)数据
a. PCI数据是受支付卡行业数据安全标准(PCI- dss)约束的数据,由PCI安全标准委员会制定并由大学遵守,包括但不限于以下内容:
4. 财务信息
a.财务信息由财务会计准则委员会(FASB)管理,包括犹他谷大学和/或与大学进行金融交易的其他各方的财务事实,这些财务事实用于计费、信用评估、贷款交易和其他类似活动,必须在根据GRAMA或法律要求的其他披露发布之前加以保护。财务信息包括但不限于:
5. 捐赠者的信息
a.捐赠人信息是关于在捐赠人遗赠时具有明确目的的金融资产捐赠的信息,包括但不限于:
D.敏感数据类型
1. 知识产权
a.知识产权是支持发明的电子数据,如UVU政策[136]所定义。
2. 指定非公开学术活动信息(DNPAAI)
a.指定的非公开学术活动信息(DNPAAI)是关于大学社区个人成员(包括教师、非教师学术人员、工作人员或学生)的学术活动的信息,个人通过批准的程序,特别指定了不打算向公众提供的信息。这些信息可能会报告给大学管理人员,以评估个人的表现,并与有限的其他人分享,以促进学术活动,但根据政策的要求和限制[####]被视为敏感信息,不打算向公众开放。
i.根据政策[####]和相关法规的条款,个人可以选择指定的信息类型可能包括,例如:
(一)涉及使用活体动物研究对象的学术研究或教学活动,或其他有争议的事项;涉及危险物质控制的学术研究或教学活动,或对人身或财产造成高度危害的技术。与某一组织有关联的学术服务活动,如果被公众所知,可能会对个人造成身体或其他伤害的风险。
2。正如政策[####]和相关法规中更全面描述的那样,个人希望指定特定信息为非公开信息,可以通过适用于定期报告学术活动信息的适当大学程序进行。例如,一名教员通过教员活动报告(FAR)系统向大学管理部门提交信息,为每一组提交的信息指定是作为大学发布的关于该个人的教员简介的一部分向公众开放,还是不打算向公众开放
1. {起草说明:它将在本项目后期制定的相关政策[####]中解释,即使对于个人指定为非公开的信息,大学限制公众访问该信息的能力和义务也受到联邦和州法律的限制,这些法律允许应请求获得某些类型的信息,例如犹他州政府记录访问管理法}。
3. 员工信息
a.员工信息由人力资源部管理,受州或联邦法律法规保护,包括美国劳工部的法规,并且是与员工或就业申请人直接相关的数据,必须根据《政府记录访问管理法》(GRAMA)在发布之前加以保护。员工信息包括但不限于以下内容:
4. 学生信息
a.学生信息受联邦《家庭教育权利和隐私法》(FERPA)的保护,包括记录、文件、文件和其他材料,这些材料包含与学生直接相关的信息,作为学生教育记录或治疗记录的一部分,由犹他谷大学或代表大学的一方维护。学生信息包括但不限于以下内容:
5. 当前诉讼材料
a.当前诉讼材料是电子存储的信息,与大学总法律顾问办公室实施的当前诉讼有关。这些包括但不限于:
6. 合同
a.大学作为一方的协议的电子副本,产生法律强制执行的义务。
7. 实体建筑和公用设施详细文档,包括图像{对仍待开发的建筑信息的解释}
E.数据加密
1. 所有的数据加密决定都必须有正式的文件,并应在静态数据和动态数据的背景下进行考虑。IT专业人员必须与信息安全办公室合作确定加密要求,因为这些要求可能会因大学的技术设备,新出现的威胁和/或响应监管要求而改变。2. 静态数据要求
a.对于存储在大学以外的大学数据:
i.受限数据:根据适用的州或联邦安全港指南,需要以支持举证责任的方式进行加密。2。敏感数据:强烈建议加密,并应符合数据管理员的要求。3。公共数据:鼓励加密,并且应该符合数据管理员的要求。
b.对于存储在大学内的大学数据:
i.所有移动设备和笔记本电脑上的受限数据必须按照适用的州或联邦安全港指南以支持举证责任的方式进行加密。2。服务器和信息系统上的受限数据将按照风险分析的指示进行加密,并按照适用的州或联邦安全港指南支持举证责任。3。敏感数据:强烈建议加密,并应符合数据管理员的要求。iv.公共数据:鼓励加密,并应符合数据管理员的要求。
3. 动态数据要求:
a.对于在大学网络之外传输的大学数据:
i.受限数据:根据适用的州或联邦安全港指南,需要以支持举证责任的方式进行加密。敏感数据:强烈建议加密,并应符合数据管理员的要求。3。公共数据:加密是可选的,应该符合数据管家的要求。
b.在大学网络内传输的大学数据:
i.受限数据:根据适用的州或联邦安全港指南,需要以支持举证责任的方式进行加密。2。敏感数据:强烈建议加密,并应符合数据管理员的要求。3。公共数据:鼓励加密,并且应该符合数据管理员的要求。
F.信息安全程序数据保留
1. 资讯保安计划文件
a.首席信息安全官应负责维护所有信息安全项目文件。本文档应提供给所有大学工作人员和用户。b.首席信息安全官应负责确保信息安全计划文件要求的任何行动、活动或指定均以纸质和/或电子形式保存。所有此类文件均应按具体要求保存。
2. 信息安全程序文件保存
a.所有信息安全项目文件,以及信息安全项目文件的所有修订,应自实施之日起保留六(6)年。b.在咨询总法律顾问办公室、首席合规官和首席信息安全官之前,不得销毁任何信息安全项目文件。
四、参考文献
A. 45 C.F.R. 164:健康保险可携性和责任法案(HIPAA):安全和隐私B. 1974年家庭教育权和隐私法案(“FERPA”,20 U.S.C.§1232g) C. 2002年联邦信息安全管理法(“FISMA”,44 U.S.C.§3541)D. ISO 27002:2013,信息技术-安全技术-信息安全控制实践准则E. NIST 800系列,联邦信息安全标准F.政策457:PCI/DSS合规G.政策445:机构数据管理和访问H.政策371:员工的纠正措施和解雇I.政策541:学生权利和责任法典J.政策635:教师权利和职业责任K. Pub. 111-5, A分部,标题XIII,副标题D:卫生信息技术促进经济和临床健康法案(HITECH法案)L.综合HIPAA规则45 CFR part 160和164 -根据HITECH法案和遗传信息非歧视法案对HIPAA隐私、安全、执行和违约通知规则的修改;HIPAA规则的其他修改;最后的规则
