数据访问程序

类别:信息技术

负责办公室:信息安全办公室

负责任执行:副总裁兼首席信息官(VPCIO)

建立日期:2013年7月6日

更新日期:2020年1月16日

在这个页面:

概括

数据访问程序

  • 定义授予UB非公共数据的访问权限,职责,数据管理环境和过程。
  • 适用于大学数据的硬拷贝和电子格式。
  • 补充大学数据策略的保护和数据风险分类政策。

访问、检索、更新、处理、分析、存储、分发或以其他方式使用大学数据的个人有责任按照《大学数据保护政策》和《数据风险分类政策》保护和保护数据。

布法罗大乐动安卓学是所有大学数据的数据所有者。个人单位或部门对数据的一部分具有管理职责。个人分配了用于访问,检索,更新,进程,分析,商店,分发或其他方式的数据角色使用大学数据来进行机构业务,以便与数据风险分类政策保持一致。

所有大学数据必须按照风险分类政策进行分类和保护:

  • 非公共数据被分类为第1类限制数据和第2类 - 私有数据。
  • 在非公共数据的整个生命周期中,必须以与其分类一致的方式对其进行保护。
  • 公共数据被分类为3类数据。公共数据没有对机密性的要求,但是,房屋的系统应采取合理的措施来保护其准确性。

数据访问程序不适用于研究数据、教师和学生的学术工作以及知识产权。

独立的政策和程序适用于HIPAA监管的数据。联络HIPAA合规部主任(hipaa-符合@buffalo.edu)以获取更多资料。

的指导方针

数据用户访问,检索,更新,进程,分析,商店,分发或其他方式使用大学数据的合法和记录大学企业的信息必须同意以下指导方针。作为适用的,数据受托人和/或数据管制为各自的数据发出详细指导方针。

  1. 数据受托人和他们的代表授予和撤销访问第1类-限制数据和第2类-私人数据(非公共)大学数据。访问权限只授予那些对数据有合法业务需求的人。
  2. 数据访问每年更新一次,或者根据需要更频繁。
  3. 数据访问仅授予合法目的,并在适用的大学政策中表达的条款内。
  4. 查阅资料的权利不可转让。
  5. 除为获准许查阅资料的合法商业目的外,资料使用者不得向他人发布、分享或传送资料。
  6. 除了授予数据访问的目的之外,可以明确禁止使用数据来明确禁止数据用户。
  7. 资料使用者必须成功填写处理数据安全,才能接收数据
  8. 在UB InfoSource中,社会安全号码(SSN)的访问受到高度限制,只授予具有特定法律或业务需求的员工,而这些需求无法通过其他方式得到满足。
  9. 个人如欲访问UB信息源内的ssn,必须填写社会安全号码数据访问请求为SSNS说明法律法规和/或业务需求。由几个数据受托人组成的委员会和ISO评论所有SSN访问请求。
  10. 暗影系统中的数据,数据馈送和数据中的数据提取,分机系统,扩展器系统或存储大学数据的其他适用系统具有相同的分类级别,并利用与记录系统中的相同数据相同的保护措施。
  11. 任何阴影系统,扩展系统,扩展系统或其他适用的系统都必须向适当的数据受托人公开,并且是必需的。
  12. 用于支持数据的计算机系统和设备必须遵守《专利法》中规定的具体保护措施UB最低安全标准的台式机,笔记本电脑,移动和其他终端设备UB最小服务器安全性和硬化标准

定义、角色和职责

角色和职责
术语 定义,角色和职责
数据管理 数据管理活动的责任包括详细数据定义,在数据管制,数据管理器和VPCIO之间共享。
数据管理器 负责信息管理活动的大学官员和他们的工作人员,这些活动与获取、维护和传播数据有关。数据管理人员可以将数据管理活动委托给数据管理人员。
数据所有者 布法罗大乐动安卓学是所有大学数据的数据所有者;个人单位或部门对数据的一部分具有管理职责。
数据管家
  • 由数据受托人分配。
  • 负责规划和政策级别职责在其功能区域中的数据。
  • 对机构数据的定义要素负有监督责任。
  • 可以授予,续订和撤消对数据管理器和/或数据用户的访问(按数据受托人委派)。
  • 开发和维护明确和一致的数据访问程序,并与大学政策一起使用。
  • 防止未经授权访问第1类限制数据和第2类私人数据。
  • 提供提供此程序的培训和意识。
  • 监控遵守此程序。
数据受托人
  • 大学的高级领导(副校长、副教务长和院长),他们负责有记录系统的领域。
  • 负责确保各自领域内的数据管理员、数据管理人员和数据用户遵守数据治理原则。
  • 按照数据风险分类政策对大学数据进行分类。
  • 通过授予访问,续订访问和撤消对数据管制,数据管理器和/或数据用户的访问来控制大学数据。数据受托人可以将此责任委托给数据管理员或数据管理器。
  • 分配如上所述的功能的数据管理员。
  • 数据受托人可以直接使用数据管制,数据管理器和/或数据用户。
数据用户
  • 获资料受托人或资料管理人准许查阅资料的个人。
  • 成功完成处理数据安全,才能接收数据。
  • 访问、检索、更新、处理、分析、存储、分发或以其他方式使用大学数据进行合法和书面的大学业务活动。
  • 使用数据以获取访问权限。
  • 滥用数据和/或非法访问数据的数据用户符合员工关系政策的制裁或处罚。制裁或处罚是基于大学政策,州或联邦法规的标准以及适当的集体议价协议。
  • 符合数据风险分类策略和安全类别1限制数据和类别私有数据。
资讯保安及私隐谘询委员会 ISPAC负责评估,开发和推荐对保护和维持大学使命的信息安全和隐私政策,程序和运营。
信息安全官(ISO) ISO负责开发和交付企业信息安全战略,治理和支持机构目标的政策。信息安全事件必须向ISO报告。
非公开数据 根据数据分类风险策略,第1类限制数据和第2类 - 私有数据被视为非公共数据。
高级管理人员

指定总统、教务长、副教务长、执行副校长、副校长、副副校长和院长,他们有资格访问企业范围内的大学汇总和总结数据。

高级管理层被授权委托企业范围的总和和摘要大学数据的访问,如适当。

影子系统,扩展系统,扩展系统 最终用户开发的小规模数据库和/或电子表格,以外控制组织官方信息访问,管理和/或安全协议的直接控制。
大学数据 定义为大学收集,维护和利用的信息项目,以便进行机构业务。包括集中存储的数据,以及在大学部门和划分的数据中生成的数据,所有大学数据都需要具有识别的数据受托人。
副总裁兼首席信息官(VPCIO) VPCIO为向大学的信息技术(IT)服务提供了发展和交付的领导。VPCIO监督企业IT服务组织,计算和信息技术(CIT),并与UB的学校,学院和行政IT部门合作,为学生,教师和员工提供统一和生产的IT体验。

合规

违反此程序的行为将根据大学政策,适用的集体谈判协议以及国家和联邦法律来实现适当的纪律措施。有关健康保险便携性和法案(HIPAA)调节的数据,请参阅适用的HIPAA政策或UB HIPAA遵从董事。

联系信息

副总裁兼首席信息官办公室
517年Capen大厅
布法罗,NY 14260
电话:716-645-7979
电子邮件:vpcio@buffalo.edu
网站://www.btlpos.com/ubit.html.

信息安全办公室
201计算中心
布法罗,NY 14260
电话:716-645-6997
电子邮件:sec-office@buffalo.edu
网站:http://security.buffalo.edu

相关文件