信息安全

保单号码: 8.2

政策部分: 信息技术

修订日期: 2023年7月28日

1.  定义

大写术语的定义见附录A.

2.  政策声明

管理和保护所有学生的隐私和个人身份信息是大学的政策, 符合联邦和州隐私法的员工和大学社区的其他成员. 个人身份信息受联邦法律保护,包括但不限于保护非公开信息的《威尼斯人博彩》(“GLBA”), 家庭教育权利和隐私法案(“FERPA”),以保护学生记录中的信息, 和, 在适用范围内, 《威尼斯人博彩》(HIPAA),用于管理受保护的健康信息.

信息安全计划旨在(i)协助大学员工识别个人身份信息和大学数据安全方面合理可预见的内部风险, 评估这些风险的潜在损害和评价现有程序的充分性, 商业行为, 和 other safeguards; (ii) to create 程序, 商业行为, or safeguards to minimize those risks; 和 (iii) to monitor 和 improve of the effectiveness of those 程序, 商业惯例和保障措施. 本政策为保护个人身份信息和大学数据提供了最低安全标准,并不限制个别大学行政或学术单位制定和执行更严格的政策, 但该等附加政策须符合本政策.

3.  目的

这一政策的目的是促进有效的行政管理, 技术, 以及保护大学保存在大学资源上的个人身份资料和大学资料的实际保障措施. 资源是宝贵的大学资产,大学必须妥善管理资源,以确保资源的完整性, 保密, 并可获得合法的大学教育, 研究, 服务及行政活动.

4.  适用性

此策略适用于所有用户和所有资源, 无论是由信息技术办公室(“OIT”)还是由另一个人或实体管理. 除了处理存储在计算资源上的信息, 本政策涉及保护存储在纸质记录中的个人身份信息和保护

5.  一般

  1. 所有用户都有责任为本政策中所述的目的管理资源. 每个用户至少必须遵守以下要求:
  2. 所有大学拥有的笔记本电脑必须加密;
  3. 所有大学拥有的计算机必须按照OIT最低安全标准进行配置, 包括防病毒, 启用密码的屏幕保护程序, 和库存. 此安全锁定功能必须在计算机在预定义的时间段后处于用户交互空闲状态后自动启动.
  4. 用户必须立即在help@smu向OIT帮助台报告.edu:
    1. 被盗的笔记本电脑和其他安全漏洞;
    2. suspected unauthorized access to Resources or other suspected security breaches; or
    3. 披露或涉嫌披露个人身份信息.
  5. 使用者必须遵守资讯科技署资讯安全事件回应程序的所有规定, 可在http://www下载.applehy.com/OIT/Infosec/Policy. 因为已经建立了特定的流程来处理安全漏洞, 任何可疑的安全漏洞都应立即报告GiveIT帮助台, help@applehy.com.
  6. 规范和管理选拔是学校的政策, 分布, 使用, 修改和测试计算机访问认证解决方案,如生物识别和/或智能卡. 有效的密码管理是确保大学资讯系统整体安全及保护其资讯资产的关键因素. 未经授权使用计算机密码是违反大学政策的行为,可能导致纪律处分.
  7. OIT应为其负责的所有多用户系统建立最低基准密码标准. 这些标准应包括最小长度, 特征, 所有资源的过期周期. 信息科技处负责监察大学资讯科技环境的整体安全,包括测试所有多用户系统的密码强度. 作为新大资讯科技资源使用程序的一部分,资讯科技署制定的电脑登入认证解决方案标准已上载新大网页(http://uwwcost.applehy.com/OIT/Infosec/Password).

     

  8. 除了遵守本政策的要求外, 用户被引导到大学政策8.1、可接受的使用.4、资金募集.3 .移动设备和移动服务.6、机构数据治理的额外要求.

6.  责任

  1. OIT负责建立和维护存储在资源和网站上的个人身份信息和大学数据的安全性, 和警察局一起, 建立和维护服务器的安全. 作为大学信息安全计划的一部分, OIT将为访问资源和存储在资源上的大学数据建立基线标准. 自动化程序用于评估和处理潜在的安全相关威胁活动或漏洞,以确保大学数据和资源受到保护.
  2. 为了保护个人身份信息和大学数据, 教职员工必须定期接受全面的安全培训,包括保密最佳做法, 隐私的意识, 以及所需的程序. 培训被纳入所有全职员工和教职员工的新入职要求,必须在6个月内完成,之后每年一次.
  3. 大学行政或学术单位的用户和管理者对资源的安全负责, 个人身份信息和大学数据存储在他们的个人领域. 大学行政或学术单位的每位用户和每位管理人员负责决定是否必须对特定的大学数据保密和保密, 在石油资讯署的协助下, 实施和执行对大学机密数据的限制,相当于本政策中关于个人身份信息的限制.
  4. 用户必须遵守所有适用的大学指导方针, 政策和程序以及所有适用的联邦和州法律法规.
  5. 系统管理员必须监督并确保系统管理员的行政或学术单位遵守此政策. 系统管理员也有责任及时发现并向信息科技署报告可疑的滥用行为, 尤其是对文件或系统的任何损坏或问题. 所有安全问题和相关事项的电子日志必须由每个系统管理员维护.
  6. 用户必须配合系统管理员在任何调查系统滥用.
  7. 总保安主任(“方案”), 或首席信息官(“首席信息官”)指定的人, 会否成立一个资讯安全谘询委员会,并担任主席,其中包括学术事务的代表, 大学内部审计员, 校园服务, 发展及对外事务, 学生事务, 和大学的其他部门. 独立审计咨询委员会应定期举行会议,审查和建议政策变化, 添加或请求例外. 理事会的每一位成员都将作为该成员的行政或学术单位以及由首席安全官指派的其他单位的联络人,负责与信息安全计划相关的沟通和培训.
  8. 的方案, 或资讯科技总监指定的人士, 口译的主要联系人是谁, 执行和监督这一政策,并解决问题, 包括解决大学行政或学术单位的安全政策和程序与本政策之间的冲突. CSO负责管理大学的信息安全计划,并将为大学行政或学术单位提供技术数据安全支持,以制定单位安全政策和程序. 首席安全官负责监督内部安全和风险评估, 渗透测试. 如果本政策与大学行政或学术单位的任何安全政策或程序发生冲突, 此策略控制. 法律问题必须提交Give法律事务厅.
  9. 任何用户如未能配合系统管理员及/或首席安全官调查系统滥用,可能会被取消访问权限或面临其他纪律处分及/或法律行动. 大学政策第8条第19款规定了额外的制裁措施.1、可接受的使用. 如果资源受到威胁, CSO将通过确保资源的安全,以大学的最佳利益行事. 在可能的情况下,首席安全官将遵守事件处理程序,以减轻威胁. 在紧急情况下,需要立即采取行动,没有时间进行合作, CSO被授权断开任何受影响的设备与网络的连接. 大学资源将接受CSO的脆弱性评估和保障验证.

7. 个人身份资料的保护

  1. 用户将保护和防止非法披露或非法使用大学在正常业务过程中收集或维护的任何个人身份信息,根据身份盗窃保护计划提供 http://uwwcost.applehy.com/OIT/Infosec/Policy.
  2. 收集或处理数据的每个大学行政或学术单位将确定哪些用户有权访问个人身份信息. 个人身份信息将被存储在尽可能少的地方,以保护个人身份信息, 同时继续有效和高效地开展大学业务. 对资源和包含个人身份信息的任何其他记录或文件的访问仅限于需要此类信息以履行其工作职责的人员.
  3. 用户必须遵守以下要求:
    1. 个人身份信息只能在符合大学政策的情况下发布, OIT程序, 以及大学行政或学术单位的政策和程序;
    2. 任何自称为执法人员或以其他方式为执法目的请求信息的个人联系的校园社区成员都必须将请求者指示Give大学警察局. 参见大学政策1.9、传票和机构信息请求的送达.
  4. 个人身份信息将按以下方式处理:
    1. 未经首席信息官或其指定人员的书面许可,不得将任何个人身份信息存储在非大学拥有的资源上. 如果首席信息官或其指定人员批准, CSO必须批准非学校拥有的资源的安全配置.
    2. 存储个人身份信息的大学自有资源或经批准的第三方服务必须按照OIT制定的安全程序进行保护,具体规定如下: http://uwwcost.applehy.com/OIT/Infosec/Policy
    3. 已被批准存储个人身份信息的非大学所有资源和所有大学所有资源必须按照OIT制定的安全程序进行保护,这些程序可在: http://uwwcost.applehy.com/OIT/Infosec/Policy
  5. 除了与计算资源有关的需求之外, 包含个人身份信息的纸质记录或文件将保存在大学场所的安全位置,未经大学校长或副校长批准,不得将任何包含个人身份信息的纸质记录或文件存储在大学场所以外.
  6. 负责个人身份信息的各大学行政或学术单位将安排销毁不保留的包含个人身份信息的记录或文件, 通过分解, 擦除, 或以其他方式修改个人身份信息,使信息无法通过任何手段读取或无法破译. 资讯科技署核准的销毁电子媒体的程序载于: http://uwwcost.applehy.com/OIT/Infosec/Policy.

8. 研究

这是大学的政策,所有参与大学研究的个人, 包括教师, 工作人员, 和学生, 按照研究赞助者的要求进行与研究相关的活动和交易, 联邦和州法律法规, 以及大学的政策和程序. 研究包含敏感数据的数据, 专有的大学信息或商业秘密, 或包括受管制的非机密信息或出口管制信息, 必须有足够的安全保护措施. 首席研究员有责任正确确定其保管的研究数据的分类, 并与CSO和OIT协调,与研究办公室协调,以确保适当的保护措施到位. 首席研究员有责任立即向首席研究员报告任何可疑或已证实的个人身份信息或其他由首席研究员保管的受限数据的披露或暴露.

9. 问题

首席信息官或其指定人员应负责本政策的解释, 解决与部门政策相冲突的问题, 特殊情况下. 首席信息官可在进行下文规定的正式审查后,批准对本政策和/或标准的例外情况.

附录A:定义

“违反” 指未经授权的访问, 未经授权使用, 或公开未加密数据或加密数据以及用于解密加密数据的密钥,从而危及安全性, 保密, 或个人身份信息的完整性. 出于合法目的而善意但未经授权地获取个人身份信息不被视为违规行为,除非该信息以未经授权的方式使用或将被进一步未经授权的披露.

“首席信息官” 指大学的首席信息官.

“资讯保安计划” 包括信息安全程序, 日常操作任务, 以及学校的安全意识教育和培训计划, 出发于 http://uwwcost.applehy.com/OIT/Infosec/Policy.

“直接督导下的” 指根据本政策设立的信息安全咨询委员会.

“方案” 指大学的首席安全官.

“移动设备” 指移动电话, 智能手机, 数据卡, 热点设备, 平板电脑, 需要接入电信服务提供商网络的附件和其他电信设备.

“OIT” 指大学资讯科技办公室.

“纸记录” 指由大学创建或维护的包含个人身份信息的实体文件.

“个人身份资料” 指单独或与其他信息一起识别个人的信息, 包括:

  1. 独立信息-单独识别个人的信息,包括:
    1. 社会保险号码;
    2. driver’s license number or government-issued identification number; or
    3. 单独识别个人或允许访问大学或个人财务账户的“综合信息”下描述的任何信息.
  2. 组合信息-个人的名字或名字的首字母和姓氏, 或其他唯一标识符, 与下列任何一项或多项结合使用, 如果名称和项未加密(或, 如果加密, 都附有用于解密加密信息的密钥):
    1. 独特的生物特征数据, 包括个人的指纹, 声纹, 视网膜或虹膜图像;
    2. 个人医疗信息;
    3. 母亲的娘家姓;
    4. 出生日期;
    5. financial information pertaining to an individual; or
    6. 信用卡或借记卡号码(包括学校颁发的采购卡号), 唯一电子识别码, address, 路由代码或金融机构的帐号, 与任何必需的安全码结合使用, 访问代码, 或密码,将允许访问大学或个人的金融账户.
  3. 识别个人身份的敏感个人信息,涉及:
    1. 个人的身体或精神健康或状况;
    2. the provision of health care to the individual; or
    3. 向个人提供保健服务的费用.

个人身份信息不包括策略1中描述的目录信息.10(教育记录隐私(FERPA))(将该定义Apply于大学受托人, 军官, 员工, 学生, Alumni, 申请人, 志愿者, 捐助者, 客人, 从事大学赞助活动的客户和承包商)或从联邦政府或州或地方政府合法向公众提供的公开信息.

“首席研究员/项目总监” 指对赞助项目的技术行为完全负责的个人, 与主办方的技术联系, 获资助项目的开支, 履行技术表现和报告义务. “首席研究员”(PI)包括在奖项中被指定为“项目总监”(PD)的个人。, 在履行首席调查员的职责时, 或其他履行首席调查员职能的个人. 在奖项有效期内, 首席研究员/项目主任必须是全职员工, 终身或, 终身教职员工, 研究教授, 研究副教授, 研究助理教授, or, 经教务长或其指定人员批准, 非终身教职, 根据大学政策2任命的非终身教职人员.3、教师职级、职称和投票权.

“资源” 指大学的电脑, 通信, 和其他信息技术系统,包括所有硬件, 软件(包括数据和文档), 局域网, 网络系统, 以及存储在此类信息技术系统和任何其他可存储的电子设备或服务上的Apply程序和数据, 传输, 或者接收信息. 资源包括, 但不限于, 服务器, 电脑, 个人电脑, 工作站, 笔记本电脑, 大型机, 微型计算机, 移动设备, 座机电话, 无线设备, 媒体播放器, 存储介质, 计算机网络, 连接到网络服务,如Internet和网页, 订阅外部计算机服务, 网络设备, 以及任何相关的外围设备和软件, 不管是否用于教育, 研究, 服务, 行政或其他用途.

“负责人” 这个政策的负责人是CIO.

“服务器” 是否有计算机共享Apply程序, 外围设备, 文件存储和其他资源, 使用网络上的客户端计算机.

“系统滥用” 指政策8所述的受禁止活动.(可接受的使用)和CIO认为滥用的任何其他活动.

“系统管理员” 指受委托负责运作的大学雇员, 维护和管理服务器或其他资源. 术语“系统管理员”可以适用.

修改后: 2023年7月28日

采用: 2002年2月25日

官方的大学政策手册存放在大学秘书办公室. 大学秘书负责维护新的和更新的政策,并维护本网站. 官方的大学政策手册是否与任何内部政策冲突, 程序, 部门管理规章, 或指导方针, 这可能包含在学校提供的手册中, 部门, 或大学内部的部门, 官方的大学政策手册控制.