部门资讯保安行动计划
机密信息被定义为根据州或联邦法律不得向公众发布的信息, 而且可以合理地用来进行身份盗窃, 构成对个人隐私的严重且毫无根据的侵犯, 危害大学员工或财产的人身安全, 或破坏大学的电脑系统.
大学内的所有学术和行政办公室都有主要责任和权力确保各自部门遵守大学对特定类型机密信息的隐私和安全要求(例如.g., 学生教育记录, 人事记录, 健康记录,客户信息和金融交易数据). 这些单位负责一般安全问题(如.g., 法律问题, 安全合规, 物理安全和通信),以及完成风险评估和协助制定大学的IT安全政策, 在其职责范围内的标准和最佳实践.
ITS要求各部门采取必要措施,确保其数据不被不当披露. 具体而言,各部门负责完成以下行动计划:
- 完成对存储在各自区域的电子机密信息的审计. 对于每个符合保密标准的文件或数据库,填写并提交 机密信息-数据审计报告请求. 将生成帮助台票证并将其转发给ITS,以便识别其安全存储. 在可行的情况下,删除或编辑机密信息.
- 审核ITS审核报告,以进一步识别存储在部门机器上的机密数据. 在可行的情况下,删除或编辑机密信息.
- 将所有现有机密文件转移到ITS指定的集中机密文件存储空间,该存储空间需要网络认证才能访问. 将所有新创建的包含机密信息的电子文件存储在此机密文件存储空间中. 有关集中机密文件存储的更多信息,请参阅此 报告(PDF).
- 一旦包含机密信息的文件已成功移动到安全存储空间, 将其从本地存储中删除,然后清空回收站.
- 对于任何在场外传输的机密文件或数据,请填写并提交 机密信息-数据传输报告. 该报告允许建立一个专用站,在那里文件可以使用最新的安全协议安全地传输.
- 为你的区域制定程序和指导方针,以实施持续的信息安全过程,包括参考本行动计划的定期安全评审.