保护类别的标准 - 私人数据

类别:信息技术

负责任的办公室:信息安全办公室

负责任执行:副总裁兼首席信息官(VPCIO)

建立日期:2019年3月5日

在本页面:

概括

标准陈述

本标准的安全意图是(1),以定义维护类别2私人数据的机密性所需的保障措施,并最大限度地降低公开可用的2类私人数据的风险。

需要以下保障措施来维护2类私人数据的机密性:

  1. 实施UB桌面的最低安全标准,笔记本电脑,移动和其他端点设备
  2. 实施UB最小服务器安全性和硬化标准
  3. 保护类别2私人数据免于意外或有意的更改,盗窃,未经授权的访问和其他风险。
  4. 保护存储,处理,传输或在其他容量句柄类别2私人数据的数据系统和设备。保护应与与数据相关的预期用途和风险相称。但是,2类私有数据所需的最低保护是限制它通过UB登录授权访问。

最小特权和最低限度的原则

为了保护第2类 - 私人数据,大学遵守最小特权的信息安全原则(“需要了解”)和最小必要的(“无需或预期任务或使用所需的”)。遵守最小特权的原则和最低必要的保护免受无意的包容,共享或可能出版2类别的2私人数据以及第3类公共数据。

最小权限的示例包括但不限于:

  • 利用预期的个人或组限制电子文件或文件夹的共享。默认情况下不要与所有用户共享。
  • 限制文件访问,对无需编辑或更改文档的单个的个人访问。
  • 当只有一个人需要提供信息来完成预期任务时,请勿将附件发送给整个部门或个人列表。

最小必要的例子包括但不限于:

  • 仅包括要完成任务所需的电子表格或数据集中的数据点。不包括填写函数/任务的数据点。
  • 不要在调查,表格或文件中询问个人信息,除非需要执行或完成函数/任务。
  • 在复制或使用它们以获得另一个目的之前从数据存储(表,电子表格,数据库等)中提取信息。

处置

在不再需要/当保留期对大学满足时,正确处理第2类 - 私人数据记录保留和处置政策

背景

类别2 - 私有数据包含各种数据类型,这些类型属于1类限制的数据和3类公共数据。第2类 - 私人数据通常用于大学业务和相关的相关要求。因此,根据存储或组合的上下文或数据以及使用数据的方式,等级2的特定实例或多或少敏感。

适用性

本标准适用于访问,管理,商店或其他能力的所有大学员工,学生和第三方供应商使用大学数据。

定义

类别2 - 私人数据

包括未被识别为第1类限制数据的大学数据,以及受国家和联邦法规保护的数据。这包括家庭教育权和隐私法案(FERPA) - 保护的学生记录和电子记录,特别是NYS箔的披露。第2类 - 必须保护私有数据,以确保它们未在箔请求中披露。箔不包括如果披露将构成无名的个人隐私的侵犯的数据。国家研究所标准与技术(NIST)特别出版物800-171保护非婚信息系统和组织中的受控未分类信息地图到第2类 - 私有数据风险分类。然而,住房数据的系统应采取合理的措施来保护其准确性。

责任

数据受托人

  • 负责确保其各自区域中的数据管制,数据管理器和数据用户符合数据治理原理。
  • 按照数据风险分类政策对大学数据进行分类。
  • 通过授予访问,续订访问和撤消对数据管制,数据管理器和/或数据用户的访问来控制大学数据。数据受托人可以将此责任委托给数据管理员或数据管理器。
  • 确保其区域中的数据管制符合数据治理原则。
  • 遵守最小特权的原则和最低限度。
  • 报告对管理的适当机构评估和反应的担忧和可能的事件。

数据管家

  • 负责规划和政策级别职责在其功能区域中的数据。
  • 对机构数据的定义要素有监督职责。
  • 可以授予,续订和撤消对数据管理器和/或数据用户的访问(按数据受托人委派)。
  • 开发和维护明确和一致的数据访问程序,并与大学政策一起使用。
  • 遵守最小特权的原则和最低限度。
  • 报告对管理的担忧和可能的事件,以获得适当的机构评估和反应。

数据用户

  • 遵循适当的保障措施以保护数据基于其分类。
  • 坚持最小特权和最低必要原则
  • 报告担忧和可能的事件,以管理适当的机构评估和反应

信息安全官员

  • 根据其分类,审核和批准部门收集,存储和数据传输。
  • 服务于云服务审查委员会。
  • 对批准存储和处理受保护数据的系统进行定期安全审查。

副总裁兼首席信息官

  • VPCIO为向大学的信息技术(IT)服务提供了发展和交付的领导。VPCIO监督企业IT服务组织,计算和信息技术(CIT),并与UB的学校,学院和行政IT部门合作,为学生,教师和员工提供统一和生产的IT体验。

联系信息

副总裁兼首席信息官办公室
517 Capen Hall.
布法罗,NY 14260
电话:716-645-7979
电子邮件:vpcio@buffalo.edu
网站://www.btlpos.com/ubit.html.

信息安全办公室
201计算中心
布法罗,NY 14260
电话:716-645-6997
电子邮件:sec-office@buffalo.edu
网站:http://security.buffalo.edu

相关信息