一、目的和范围
雷竞技app最新版raybet雷竞技东北大学认识到,重要的是大学社区获得准确、可靠的数据来完成他们的工作职责。同时,也认识到东北大学保护信息资产的重要性和保护数据的保密性和完整性。提供广泛而有效的访问数据,适当平衡数据访问的敏感性和服务员风险为不同类别的数据,这一政策建立内部访问大学数据标准,目的是保护数据隐私和数据保护机构对滥用或传播没有适当的授权。
这一政策适用于所有机构数据,如下定义,通过大学信息系统中存储或传输。它适用于所有大学社区的成员,包括学生、教师、员工、校友、承包商、供应商、以及志愿者与大学有关的活动。
二世。定义
对这一政策的目的,
数据分类指南——大学的组织框架、分类,保护,和分享机构数据类型的数据的基础上,风险水平和机密性要求。
访问-用户、系统或过程被认为有对数据的访问,如果有一个或多个以下特权:阅读或查看数据的能力,更新现有数据,创建新数据、删除数据或数据复制的能力。访问可以在持续的基础上或提供,另外,在一次性的或临时的基础。任何数据从一方转移到另一个在任何媒介相当于允许访问这些数据。
机构数据或数据——大学获得的数据,创建、处理或存储在大学业务的性能。机构数据不包括数据的个人财产大学社区的一员,如果这些数据或创建独立的收购业务和没有大学大学的资源。机构数据的例子包括学生教育记录、工资记录,记录,人力资源和企业目录记录。
访问请求者-大学员工请求访问数据被定义为一个个体从以下类别:
- 全部或部分时间每小时或薪水的员工或教师
- University-directed承包商
- 临时员工
访问后授予用户访问请求者成为Accountholder /数据。
Accountholder /用户数据个体被授权访问数据的表现他/她的工作职责。
数据保管大学员工负责数据的使用和访问的主题领域。他/她已为所有数据最终批准和授权相关政策决定和特许学校新的机会或是计划业务/数据相关的问题。数据托管人可能负责一个区域,结合几个大学的数据单位。
数据管家-大学员工负责数据在一个特定主题领域。数据管家是高级管理层成员,艾滋病在制定大学的战略方向的数据治理项目等领域的数据政策、业务流程改进,数据安全,数据质量管理,维护机构数据的可用性和完整性。这通常是大学创造或产生的机构的数据。
主题领域,大学行或商业惯例的领域,它也可以称为业务领域或业务领域(例金融、研究学生,人力资源,等等)。业务领域可能包含多个功能区域(例功能区域内金融是:采购服务,应付账款,税收、财政服务,投资,和会计)。
三世。政策
答:数据分类
大学数据保护在整个生命周期的方式与它的数据类型一致,风险水平,和临界,采用了东北数据分类指南(“指南”)。机构数据应当分类按照指导方针来识别用户的保密级别,法律要求,最低保护数据的整个生命周期。所有机构数据,不管它在哪里存储和维护,或(s),它的作用是什么,将分类的适当水平的敏感性,机密性和适用的法律要求。提取物和备份的数据都有相同的分类水平,需要相同的保护措施的源数据在系统中记录。该指南通知参数为每个类别的数据的访问。
b访问数据
个人不得访问、使用或存储关键或高风险(水平4和3)数据从适当的数据只有授权托管人,基于合法业务用的演示符合他们的责任,以及培训在适当的地方或需要。请求授权应该直接相关的业务需求,按照已建立的标准和程序使用的每个业务领域。一旦授予访问,数据用户委托应有的谨慎使用大学的信息,保护数据免受未经授权的使用、披露、变更、或破坏,处理数据按照指导方针。
B1。托管人负责维护数据的访问控制领域的关键,高风险和中等风险数据。他们的监管者和主题领域负责的数据主管过渡责任人员移交。
B2。数据托管人负责提供指导和协助确定如何最好地提供授权的人进入大学的数据在请求者的工作所需的权限,批准和同意由账户持有人的经理。
B3。数据管理必须保留记录的所有访问审批和处理数据托管人执行定期检查访问和删除不再需要时对数据的访问。
c .访问授权的范围
人的整个生命周期授权访问数据必须只使用数据的方式符合批准的大学的目的(s)授予的访问权。
个人与他人共享数据未授权人没有批准访问相同的数据,直到显式授权访问请求的一部分。
符合最低安全标准适当的数据层面的指导方针,大学员工必须使用university-issued设备和设备访问关键,高,中等风险数据,必须完成所有指定的认证课程相关的数据安全性和数据分类。
人授权访问主题领域(s)在源系统通常有权访问相同的数据报告和分析系统。然而,它不应该认为如果一个人有访问报告和分析系统将自动获得底层的源系统。
如果一个人被授权向外部提供信息方(供应商和其他组织),个人必须与信息安全适当和总法律顾问办公室的合同和技术安全措施要求这些实体遵守指导方针。
d .系统管理员访问
信息技术专业人士和其他系统管理员有管理访问操作系统,数据库,或应用程序支持的一部分,他们的工作职责可能只使用此类访问按照特定的工作职责和大学的政策,和大学的业务。所有这些访问由他们的经理必须审查和更新或删除的要求在完成任何项目或任务或之后的任何变化的角色和责任。要求他们必须遵循相同的过程和获取访问所有其他大学的员工。
e .供应商访问
提出访问机构数据由外部方应当事先审查由信息安全办公室(与总法律顾问办公室协商,适当),限于最少的数据必须满足大学的特定的业务目标,并由个人合同协议,包括保密和数据维护的需求。
承包商代表供应商应该执行工作的最小访问和大学应该在主协议条款定义他们的责任和数据访问。
f .访问为研究目的
大学相关数据研究分为两类:
- 行政研究数据的跟踪,使研究成果(如建议、奖项、预算、支出)
- 学术研究研究的输入或输出的数据(如测试结果、数据分析、主题数据库)。
行政研究数据机构的定义中包含数据和被这一政策覆盖。
第二类,学术研究数据,应当由其他东北政策以及任何合同的条款或格兰特,数据使用协议,和IRB-approved协议。研究人员必须遵循东北NU-RES研究出具合规政策和指导对于任何学术研究的数据定义为控制非保密信息(崔)或可能受出口管制。有关更多信息,请参阅https://research.northeastern.edu/research-compliance/。
g .访问评论
数据访问的定期评审所有选区将由数据管理与数据管理者和经理协商重新验证访问是合适的。个人的访问数据时,必须立即撤销性能的大学不再是必要的职责。所有数据用户必须立即报告任何可疑的未经授权的访问,妥协,或数据丢失信息安全办公室。
h .培训
所有新员工都必须得到训练数据安全访问机构数据之前和数据分类。
我不符合
不恰当的访问、使用或披露的关键,高,中等风险大学适用授权范围以外的数据可能会受到纪律处分,包括终止原因在加拿大(或终止)。
四、附加信息
数据分类指南适用于所有机构数据,无论格式,不管这些数据是否包含在定义“大学记录”。看到大学的记录和信息的保密政策。
诉的联系信息
报告风险、灭失/敏感或未经授权的披露个人资料:信息安全办公室。
在数据分类指导指南:dataadministration@northeastern.edu
关于政策的问题:dataadmnistration@northeastern.edu
对隐私相关的问题:privacy@northeastern.edu
相关的程序
取代
N /一个
关键字
数据;访问;安全;分类;隐私;数据保管;数据管家;数据共享
版本历史
最后修订日期:N / A
发布:02/22/2022