政策

此政策的目的是保护学院的信息资源不受未经授权的访问或破坏. 保护信息资源的需求必须与支持追求合法学术和业务目标的需求相平衡. The value of data as an institutional resource increases through its widespread and appropriate 使用; its value diminishes through mis使用, 误解, 或者对其访问进行不必要的限制.

College data is information generated by or for, 所拥有的, 或由赌博正规的十大网站拥有的与学院活动有关的物品. 大学资料可以以任何格式存在(例如.e. 数字/电子或纸质)，包括, 但不限于, 所有学术, 行政, 研究数据, 以及支持学院业务的计算基础设施和程序代码.

All college data is classified into defined access levels. Data may not be accessed without proper authorization. Some data may be subject to specific protection requirements under a contract or grant, or according to a law or 监管 not described here. In those circumstances, the most restrictive protection requirements should apply. If there are questions, contact the 资讯保安办事处.

1. 数据分类

所有的大学数据都被划分为不同的敏感级别，以便为理解和管理这些数据提供基础.  Accurate classification provides the basis to apply an appropriate level of security.  These classifications of data take into account the legal protections (by statute, 监管, 或由资料当事人选择), 合同协议, 道德的考虑, 和/或战略或专有价值.  Data can also be classified as a result of the application of “prudent stewardship,除了减少对个人和/或机构造成伤害或尴尬的可能性外，没有理由保护数据.

By default, all institutional data will be designated as "sensitive.”  College employees will have access to the data for 使用 in the conduct of college business.

2. 分类的水平

The classification level assigned to data will guide data stewards, data custodians business and technical project teams, 以及任何其他可能在安全保护和访问授权机制中获取或存储数据的人. 这种分类鼓励讨论和随后对所显示或操纵的数据的性质的充分理解.  数据被分类为以下其中一种:

• 公众(低敏感度)
  Access to public institutional data may be granted to any requester. 公共数据不被视为机密. 公共数据的例子包括新闻稿, 已发布的目录信息, 以及学术课程描述. The integrity of public data must be protected to prevent unauthorized modification, 意想不到的使用, 或无意/不当分发, and the appropriate data manager must authorize replication of the data. 即使数据被认为是公开的, it cannot be released (copied or replicated) without appropriate approvals.
• 敏感(中度敏感)
  Access to “sensitive” data must be requested from, 并由, the data steward who is responsible for the data.  Data may be accessed by persons as part of their job responsibilities. The integrity of this data is of primary importance, and the confidentiality of this data must be protected. Examples of sensitive data include purchasing records, financial transactions that do not include restricted data, information covered by non-disclosure agreements, 图书馆事务.
• 限制(最高敏感级别)
  对“受限制”数据的访问必须从创建到销毁进行控制，并且只允许学院附属人员为履行其工作而需要访问这些数据或法律允许的个人访问这些数据. The confidentiality of data is of primary importance, although the integrity of the data must also be ensured. Access to restricted data must be requested from, 并由, the data steward who is responsible for the data. 受限制的数据包括受法律法规保护的信息，这些信息的不当使用或披露可能:
  • Adversely affect the ability of the college to accomplish its mission.
  • 通过公布大学成员的个人身份信息导致身份盗窃的可能性.
  • 将学院置于不遵守各种州和联邦法规的状态，如FERPA, HIPAA, 和GLBA.
  • Put the college into a state of non-compliance with contractual obligations such as PCI-DSS.

限制数据的说明应包括对需要限制的法律或外部施加的约束的参考, the categories of 使用rs typically given access to the data, and under what conditions or restrictions access is typically given.

Examples of restricted data include 社会安全号码, 学生注册, 成绩, 财政援助数据, 银行账号.

3. 角色和职责

资讯保安办事处

信息安全办公室执行政策和程序，以遵守1996年《赌博正规的十大网站》(HIPPA)。, Family 教育 Rights and Privacy Act (FERPA), and others governing the treatment of individually identifiable information.

受托人的数据

数据受托人是对数据负有决策和规划责任的内阁成员或其高级指定人员. 资料受托人的责任包括:

• Designating data stewards and assigning data management roles for their units.
• 在数据完整性和数据报告流程的维护方面发挥领导作用.
• Setting priorities for external reporting for their academic or 行政 units.

数据管家

数据管理员是对一种或多种机构数据负有直接操作责任的管理员. 个别单位或部门对数据的特定元素和/或方面负有管理责任. Data stewards are designated by the respective data trustees, 他们的职责包括, 但不限于:

• Determining data access in the 行政 unit.
• Creating and managing processes to ensure data integrity.
• Certifying data entered in the college’s 存储 systems.
• 验证分析和发布的报告.
• 与校园利益相关者沟通管理单位对数据相关政策或实践的变化.
• 批准, 与数据受托人合作, 该股参与外部调查和监督所收集数据的完整性, 由单位管理和汇报.

• Developing and maintaining an inventory of external surveys submitted by the unit.
• Working with the Office of Institutional Planning and Effectiveness, 适当的, 确保适当Definitions机构数据元素，并确定公共共享数据标准和结构, 记录, 所有用户都可以使用.
• 熟悉并紧跟与他们所负责的数据相关的法规遵从性要求.
• 执行定期评估程序，以确保数据的完整性，并评估特定检查点的有效性.
• 向数据治理委员会提交关于遵守数据管理政策和程序的年度报告.
• 为数据保管人和数据用户建立适当的培训协议, Definitions, 以及机构数据的使用 and academic or 行政 unit data policies.
• 协调, 直接或通过指定人, 与行政系统咨询委员会(ASAC)合作，确保所有第三方供应商合同已经过审查，并符合必要的数据保护和合规要求.
• Ensuring all data custodians and data 使用rs receive proper training in the structure, Definitions, 以及机构数据的使用, as well as relevant academic or 行政 unit data policies.
• 确保对数据保管人和数据使用者的所有培训都有适当的记录，并注意到任何缺陷.
• Overseeing the establishment of data policies in their areas.
• Classifying data using the college’s data classification system.
• 确定限制数据的保障措施.

在多个数据管理员收集和维护相同的受限数据元素的情况下, the data stewards must work together to implement a common set of safeguards.

数据管理者

数据管理员是负责数据管理的学术或行政单位雇员. 数据保管人的职责包括:

• 管理活动，例如创建, 存储, 维护, 编目, 使用, 集成, 传播, 数据的处理, as well as any data administration activities assigned to them by the data stewards.
• 确保执行数据政策的程序到位，并符合学院批准的标准.

数据用户

数据用户是单位雇员或社区成员谁访问大学的数据，以履行其指定的职责. 因为数据可能跨越功能线, data 使用d by any one data 使用r may have different data custodians and data stewards. 资料使用者的责任包括:

• Complying with institutional data policies and for following established procedures.
• Reporting any unauthorized access or data mis使用 to the 资讯保安办事处, 适当的数据管理员, or the college’s online anonymous reporting system for remediation.

教育

提高对数据分类重要性的认识是建立一种环境的重要组成部分，在这种环境中，每个人都感到有责任并有权为社区的最佳利益采取行动. 所有部门都将为个人提供机会，让他们了解自己在创建安全数据环境中的角色.

程序

没有一个

Definitions

FERPA:家庭教育权利 & Privacy Act protects the privacy of student educational records.

GLBA: Gramm-Leach Bliley Act protects non-public financial information, 包括学生贷款信息.

HIPAA:健康保险可移植性 & Privacy Act protects personal health information.

PCI DSS:支付卡行业数据安全标准保护信用卡和借记卡信息

PII: Personally Identifiable Information includes, 但不限于, 地址, 电话号码, 电子邮件地址, 社会安全号码, 财务和银行账号, 等.