建立日期:2010年6月6日
日期上次修订:4/4/2018
类别:信息技术
负责任的办公室:信息安全办公室
负责任执行:副总裁兼首席信息官
必须保护UB数据以保护隐私,减少身份盗窃的威胁,并保持遵守国家和联邦法律法规。
布法罗大乐动安卓学(UB,大学)致力于正确和安全地收集,处理,存储和使用大学数据。该政策建立了保障措施的框架:
大学数据的访问,集合,存储或传输必须由数据受托人批准。批准使用大学数据取决于该股的经营需求,以及保护数据的风险缓解措施。风险缓解措施包括但不限于第三方服务提供商(例如云服务)的收集,存储和传输这些数据。
必须立即向信息安全官员(ISO)立即报告一名涉嫌或确认的大学数据或安全违反大学数据的安全违规。
违反第1类限制的数据或第2类别的机密性的员工或学生 - 私人数据可能会根据大学政策和程序进行纪律处分。
大学信息是一个有价值的资产,需要适当的保护。大学政策和程序必须包括控制,以保护数据的机密性,完整性和可用性,并遵守法律和合同义务。
此政策适用于访问,管理,商店或其他能力的所有大学员工,学生和第三方供应商使用大学数据。
有关健康保险便携性和法案(HIPAA)调节的数据,请参阅适用的HIPAA政策或UB HIPAA遵从董事。
第1类 - 限制数据
法律或法规要求保护资料。数据或系统的保密性、完整性或可用性的丢失可能会对我们的任务、安全、财务或声誉产生重大的不利影响。
限制数据包括纽约州(NYS)中的私人信息的定义安全和违反通知法案作为基础:银行账户,信用卡和借记卡号码;社会安全号码;国有驾驶执照号码;和国家发出的非驱动程序识别号码。对于此列表,大学策略添加受保护的健康信息(PHI),计算机密码,其他计算机访问保护数据和护照号码。
第1类-受限制的数据是豁免披露或发布的nyys信息法则自由(挫败)。nys信息安全漏洞和通知法案要求该大学向纽约居民披露任何数据泄露的情况。(国家实体还必须通知非居民;看到NYS信息安全策略.)
访问,流程,商店或以任何其他方式处理1类限制数据的个人必须根据相关法律,法规和大学政策执行控制和安全措施。在法律和/或法规与大学政策冲突的情况下,更严格的政策,法律或法规治理。
类别2 -私人资料
包括未被识别为第1类限制数据的大学数据,以及受国家和联邦法规保护的数据。这包括家庭教育权和隐私法案(FERPA) - 保护的学生记录和电子记录,特别是NYS箔的披露。
第2类 - 必须保护私有数据,以确保它们未在箔请求中披露。必须保护私人数据,以确保它们仅根据法律要求披露,包括箔。关于披露的决定必须由记录管理人员作出。
国家研究所标准与技术(NIST)特别出版物800-171保护非婚信息系统和组织中的受控未分类信息地图到第2类 - 私有数据风险分类。
数据受托人
大学的高级领袖(即,副总裁,副总裁,院长,院长)负责有记录系统的领域。
数据用户
个人需要和使用大学数据作为其分配的职责的一部分,或履行其在大学社区的角色。
联系 | 电话 | 电子邮件 |
---|---|---|
副总裁兼首席信息官办公室 | 716-645-7979 | cio@buffalo.edu |
信息安全办公室 |
716-645-6997. | sec-office@buffalo.edu |
UB HIPAA合规导演 | 716-829-3172 | hipaa-符合@buffalo.edu |
记录管理人员 |
716-645-1786 | carriewo@buffalo.edu |
2018年4月 | 完全审查。更新了策略: •更改标题保护受监管的私人数据策略至保护大学数据政策 •更新内容以反映修订后的数据风险分类政策 •更新相关信息部分中的引用 •删除程序语言 •更新数据角色术语 •添加HIPAA遵从参考 •直接读者数据风险分类政策用于数据类别 |
4/4/2018