数据分类策略
发行日期:2022年6月13日
I. 政策声明
本政策建立了根据敏感程度对大学数据(定义见下文)进行分类的标准, 法律要求, 以及其保密性的本质,同时保持数据的完整性和可用性. 这些分类将为大学社区如何管理提供指导, 处理, 维护, 商店, 根据适用的联邦和州法律法规使用和访问数据, 以及学校的其他政策. 像这样, 这项政策适用于所有大学教员, 学生, 工作人员, 代理, 承包商, 游客, 以及任何被NJIT允许访问大学数据的人, 信息资源和资产.
大学资料的保护必须符合所有适用的法律法规. 该政策提出了促进这些目标的两个要求. 第一,信息服务 & 技术部应为每一类数据制定最低安全标准, 实施安全控制, 并为大学社区提供支持,帮助他们遵守这些标准. 第二个, 大学社区的成员, 谁受托保管大学资料, 必须熟悉这些最低安全标准(定义如下), 以及与未经授权的披露有关的相关风险, 更改或销毁大学资料.
II. 定义
- Data为参考或分析而收集、观察、生成或创建的任何信息. Data, 作为一个定义, 是非常广泛的,包括在教学中使用的信息, 研究, 和管理, 并且可以保存在任何介质中, 包括, 但不限于电子文件和纸质文件. 数据包括原始文件以及所有备份和副本.
- 大学的数据: 创建或接收的数据 数据用户 同时代表威尼斯人娱乐城, 或新泽西理工学院学生创建或接收的数据, 教师, 工作人员, 研究人员, 或任何个人或团体为威尼斯人娱乐城或他人提供服务,作为其教育或培训的一部分. 大学数据不包括法律或威尼斯人娱乐城版权所拥有的知识产权, 许可, 或以其他方式受资料使用者合法控制.
- 数据用户:为履行指定的职责或履行指定的角色或职能而获准访问大学资料的大学部门或个别大学社区成员.
- 最低保安标准:描述确保和保护大学数据所需的最低控制的标准. 这些标准因数据分类而异,适用于除公共数据以外的所有数据分类. 见附录A.
3. 数据分类
威尼斯人娱乐城的大学数据分为四类, 如附录B所述, 哪些是由资料的敏感程度及与资料披露及/或遗失有关的风险所决定的.
- 限制: 当未经授权披露时,数据被归类为受限, 更改或销毁这些数据可能对大学或其附属机构构成高风险, 对大学造成重大不利影响. 限制数据, 在很多情况下, 是否也需要受到联邦或州法律法规的保护. 限制性数据的例子:
- 受家庭教育权利和隐私法案(FERPA)约束的学生教育记录, 包括但不限于成绩单.
- 社会安全号码
- 护照号码
- 驾驶执照号码
- 受保护的健康信息(PHI)和健康保险流通与责任法案(HIPAA)涵盖的数据
- 银行/财务/信用卡账号
- 大学财务数据
- 大学研究数据1.e. 出口管制数据,ITAR/CUI
- 与诉讼有关的信息和享有特权的法律沟通
- 警方记录
- 敏感: 如果未经授权披露,则将数据归类为敏感数据, 更改或销毁该数据可能会对大学或其附属机构造成中等程度的风险. 敏感资料的例子:
- 登录凭据- UCID和密码
- 非公商业传播, 电子邮件, 以及内部备忘录, 包括相关的非公开文件和表格
- 任何非公开的学生、员工或校友的个人资料均不在此限制范围内
- 大学知识产权
- 大学赞助商和捐赠者的信息
- 员工家庭住址和个人电话号码或个人电子邮件地址
- 要求保密的员工的目录信息
- 根据FERPA要求保密的学生的目录信息
- 内部: 如果未经授权披露,则将数据分类为内部数据, 更改或销毁这些数据可能会对大学或其附属机构造成低水平风险. 内部数据示例:
- 授权软件
- NJIT ID号(员工ID,学生ID)
- 没有要求保密的员工的目录信息
- 专为非公立大学使用的网络资源
- 没有根据FERPA (i)要求保密的学生的目录信息.e.、目录.威尼斯人娱乐城.学校,姓名,电话)
- 公众: 公众可以随时获得的数据, 和/或根据《威尼斯人娱乐城》归类为公共信息, 无需特别授权即可公开. 公共数据不需要额外的保护. 公共数据的例子:
- UCID
- 课程目录
- 员工名录信息
- 公众访问网站
- 公开访问的研究数据(由数据所有者自行决定)
- 新闻稿
- 董事会决议及公开会议纪要
被分类为受限数据的用户, 敏感的, 或内部人员必须遵守威尼斯人娱乐城最低安全标准中概述的安全措施.
大学数据的分类并不表明根据新泽西州的《威尼斯人娱乐城》可能产生的文件的范围和性质.J.S.A. [07:11 . 1]等等.).
IV. 数据处理
- 与外部机构的合作作为一所公立研究型大学, 教职员工可以与国防部(DoD)等外部机构合作, 美国国立卫生研究院, 国家环境健康科学研究所(NIEHS),以及其他机构. 在这些情况下, 根据合同义务,可以适用额外的数据处理要求, 监管要求, 政策, 和/或与数据分类相关. 所有与外部机构合作的大学社区成员都需要了解并遵守相关义务.
- 提供给第三方服务的资料: 提供给第三方服务的任何数据都需要得到保护, 至少, 以这样的方式满足数据分类的要求. 被归类为限制的数据, 敏感的, 在没有书面协议的情况下,不得向外部第三方提供内部信息,该书面协议已经过威尼斯人娱乐城总法律顾问办公室的审查和批准.
V. 事故报告
任何潜在的数据泄露的限制, 敏感的, 或内部数据必须按照NJIT的数据事件响应计划立即报告. 潜在的数据泄露包括但不限于未经授权的使用, 信息披露, 损失, 或者窃取数据.
VI. 合规
大学数据资源是威尼斯人娱乐城的财产或授权给威尼斯人娱乐城,并作为有限特权或直接责任提供给大学社区. 任何违反此政策的行为都可能导致拒绝或取消访问大学电子系统的权限, 以及可能的纪律处分.
7. 更新
企业分析治理委员会, 并听取数据治理小组委员会的意见, 会否定期检讨资料分类政策. 因此,此政策可能会相应更新.
7. 政府
在教务长办公室的指导下, 该政策将由企业分析管理委员会在大学利益相关者的支持下实施.
本政策自采纳之日起生效, 并取代和撤销任何先前管理该主题的政策.
附录A: 最低保安标准
注意: 最低保安标准将在资讯科技署网页公布. 本节将提供与已公布标准网页的连结.
如需查阅,请参阅“最低安全标准- Excel”文件.
附录B
表1. 数据分类与描述
信息分类 |
描述 |
例子 |
限制 |
当未经授权的披露时,数据被归类为限制, 更改或销毁该数据可能会导致 高风险 给大学或其附属机构. 受限制数据的用户必须遵循敏感数据的所有保护措施以及为受限制数据确定的额外保护措施. 必须对受限制的数据应用高水平的安全保障. |
|
敏感的 |
如果未经授权披露,则将数据归类为敏感数据, 更改或销毁该等资料可能导致 中度风险 给大学或其附属机构. 默认情况下, 所有未明确归类为受限制的机构数据, 内部或公共数据必须被视为敏感数据. 必须对敏感数据应用合理级别的安全保障. |
|
内部 |
如果未经授权披露,则将数据分类为内部数据, 更改或销毁该等资料可能导致 低风险 给大学或其附属机构. 与大学社区成员或大学社区子集共享的数据. 内部数据不属于 限制 也不 敏感的 ——然而, 它仍然受到保护,你必须小心保护它, 并防止非新泽西理工学院学生的未经授权访问, 教师, 或员工. |
|
公共 |
公众可以随时获得的数据. 这些数据不需要保密. |
|