政策库


存档政策

打印此策略

830数据安全与管理

授权:由校董会批准
最后更新日期:2022年5月6日

830.1机构数据和义务-概述

机构数据是电子游戏试玩的宝贵资源.  数据安全的环境是复杂且不断变化的.  各种各样的国际, 联邦和州法律, 行业法规确立了个人和机构对数据安全的责任.  除了这些, 道德和电子游戏试玩方面的考虑使国际滑联社区的所有成员都有义务以最高水平的认识和最佳做法来关心机构数据.

830.1.1范围. 机构数据被认为是大学的资源,因此, 控制创建的策略, 收据, 传输, 处理, 使用, 存储, 印刷, 或资料的发布由大学订定.  这些政策将根据需要由适用于机构一级的具体标准和程序加以加强. 本政策中的任何内容均不否定政策图书馆政策370知识产权的规定.

830.1.2机构数据的定义. 电子游戏试玩机构数据是满足以下一个或多个标准的数据元素:

  • 创建, 收到了, 加工过的, 维护, 传播, 或储存为教育的结果, 临床, 研究, 病人护理, or service activities; or
  • 直接或间接用于规划, 管理, 操作, 记录, 人员配备, or auditing of one or more major administrative functions of the University; or
  • 用于派生符合上述标准的任何数据元素.
  • 包括在正式的大学行政报告中,或
  • 由大学工作人员或代理人使用上述任何数据生成.

无论创建数据的形式或媒介如何,该定义都适用, 收到了, 加工过的, 传播, 或存储.

830.2数据类型

ISU承认下列机构数据的类别和分类

830.2.1数据类别.  数据类别是根据机构数据的功能和/或用途来定义的.  一般机构数据类别包括:

  • 校友数据
  • 合约及拨款资料
  • 研究数据
  • 员工及福利数据
  • 设施数据
  • 教师数据
  • 财务和预算数据
  • 健康数据
  • 国际项目数据
  • 库数据
  • 采购和旅行数据
  • 学生及申请人资料 
  • Instruction-related数据      

830.2.2数据分类.  数据分类是根据确保机构数据的安全和隐私的需要来定义的.  数据分类如下:

830.2.2.1公共数据.  供公众查阅的信息和数据.

830.2.2.2大学内部数据.  大学内部使用的数据,或与选定的大学任命人员或合作伙伴一起使用的数据,用于ISU的业务目的.  访问大学内部数据应根据员工的工作职责来确定, 任命, 或合作伙伴.

830.2.2.3数据限制.  敏感或机密数据,因此需要特定授权才能访问.

830.2.2.4. 高度受限的数据.  高度机密的数据, 如果发布, 可能导致刑事或民事处罚, 身份盗窃, 个人经济损失, 或者侵犯隐私.  受联邦或州法规保护或由于专有的数据, 道德, 或隐私方面的考虑通常会被列为高度限制. 

830.3数据的访问和处理

所有ISU员工都有责任根据分类正确处理机构数据.  数据处理包括与创建相关的所有活动, 存储, 传输, 印刷, 备份, 保留, ISU数据的处理和发布. 

830.3.1数据访问控制.

830.3.1.1访问.   对非公开数据的访问,应当使用用户名(ID)和密码. 用于控制数据访问的元素(如id和密码)不能与其他员工共享. 如上所述, 数据传播是由1)数据分类驱动的, 2)需要知道.

830.3.1.2学生监督. 学生 who access ISU data other than public data will be supervised by full-time ISU personnel; student and student employee access to data other than public data shall be the responsibility of the full-time employee responsible for supervision of the student or student employee. 学生和学生雇员必须完成适当的培训,才能访问非公开的大学数据.

830.3.2数据处理和使用.  机构数据的使用者必须:

  • 只访问与他们的大学业务有关的数据, 并以与推进大学教育使命相一致的方式, 研究, 公共服务
  • 尊重他们可能查阅的个人记录的保密性和隐私
  • 遵守适用于他们有权访问的数据的任何道德或法律限制
  • 遵守适用法律, 规定, 标准, 以及准入方面的政策, 使用, 信息披露, 保留, 和/或信息的处理

机构资料使用者不得:

  • 向他人披露资料,但工作职责所要求的除外
  • 使用数据为自己或他人的个人利益或利润, 除非国际滑联政策允许, 包括  政策370知识产权.
  • 访问数据以满足个人好奇心.

数据处理的大学标准和程序在电子游戏试玩数据存储策略矩阵中提供, 作为信息技术办公室标准的一部分.

830.4数据安全事件

830.4.1数据安全事件的定义.  数据安全事件是一个事件, 威胁, 或涉及非公共数据的机构数据的可能妥协.   这样的威胁可能与硬件组件(例如硬件组件)相关联.g. (笔记本电脑,智能手机)或账户.  经常, 当病毒或恶意软件感染了机构计算机时,就会发生此类事件, 或者当犯罪分子使用社会工程技术窃取用户凭证并进入大学系统时, 因此,该设备上的数据或可访问的数据或在该设备上使用的帐户都会受到损害.  在其他情况下, 雇员或学生采取的行动, 比如盗窃, 损失, 或公开含有非公共数据的机构数据的印刷材料, 可能构成妥协. 有关更多信息,请参阅政策651 红旗.

830.4.数据安全事件的发现.  发现可能的数据安全事件可能有多种方式.  下面是一些例子:

  • ISU安全或其他软件或网络协议表明,一个可能的妥协已经发生
  • 外部安全机构通知国际滑联可能发生了妥协
  • 计算机用户注意到意外行为并请求OIT支持资源的帮助, 谁发现可能的妥协发生了
  • 事务性或程序性活动表明数据已被泄露或泄露.

在某些情况下, discovery is made by information technology and/or security professionals; in others, 发现可以由个别员工和/或该员工的管理层进行.

830.4.3数据安全事件报告.  所有拥有ISU信息技术资源的用户必须使用OIT网站上公布的事件报告程序,及时向信息技术办公室报告所有信息或数据安全事件. 

大学报告数据安全事件的程序可在此找到 在这里

相关信息

策略管理员:
教务长和学术事务副校长办公室
政策联系:
资讯科技署
吉勒姆大厅103室
(812) 237-2100
程序及标准:
相关政策及资料:
政策370知识产权
政策的历史:
932号政策于2003年7月18日由国际滑联董事会批准. 2011年2月1日,作为国际滑联手册整体修改的一部分进行了修订. 政策932于2017年5月11日进行了重大修订. 2018年12月14日,国际滑联董事会批准将该政策重新编号为政策830. 2022年5月6日,国际滑联董事会批准了对第830条的修改.1, 830.2, 830.3和830.4.