有效: 11/07/2012上次更新: 03/13/2018参议院提案:否大学负责官员:首席财务官兼行政副总裁负责办公室:信息技术服务
政策声明
足球比赛结果将在全校范围内采取信息安全方法来帮助 识别并防止信息安全的损害和大学的滥用 所有大学教职员工和学生必须遵守的信息技术 处理信息时。
政策要求
足球比赛结果的信息安全是通过实施一套合适的 控制;包括政策、流程、程序和软件/硬件功能 保护信息资产并保护足球比赛结果员工的隐私, 学生、赞助商、供应商和其他相关实体。
大学将任命一个信息安全审查委员会来制定、批准、 并维护信息安全计划以确保遵守相关法规 信息安全,包括《家庭教育权利和隐私法案》(FERPA), 《Gramm-Leach-Bliley 非公开个人信息披露法案》(GLBA),健康 经济和临床健康信息技术法案 (HITECH)、健康保险 便携责任法案 (HIPAA)、支付卡行业数据安全标准 (PCI DSS) 服务和危险信号规则 (RFR)。
所有信息技术人员和有权访问敏感数据的用户都需要 在雇用时签署大学保密协议并注明日期,以及 此后每年。
任何有权进入大学的大学员工、学生或非大学个人 未经授权使用、披露、更改或销毁数据的数据 违反本计划并将受到适当的纪律处分, 包括可能的解雇和/或法律诉讼。
政策原因
足球比赛结果有义务遵守法律、法规、政策和标准 与信息安全相关,以保护机密性、完整性和 大学拥有或委托的信息资产的可用性。信息 已制定安全政策和程序,以使大学能够满足 其有关 IT 资源的法律和道德责任。
相关政策信息
足球比赛结果信息技术资源可接受使用政策包含 有效和高效地使用大学计算的管理理念, 大学社区所有成员的沟通和信息资源。
与各部门合作的信息技术服务将发展 培训和教育计划,以实现技术熟练程度和适当使用 适用于所有有权访问信息资产的员工。
排除
联系人
| 办公室/单位名称 | 电话号码 |
|---|---|
| 信息技术服务 | 906-487-1111 |
定义
信息资产的可用性— 及时、可靠地访问和使用信息。
信息资产的机密性— 对信息访问和披露的授权限制,包括 保护个人隐私和专有信息。
数据保管人— 承担行政和/或运营责任的大学员工 超过信息资产。
数据所有者— 被正式指定负责的个人或团体 对于在一个或多个系统上传输、使用和存储的特定数据 大学的院系、学院、学校或行政单位。
数据用户— 一个人(可能包括但不限于:管理员、教职员工、 已获得明确授权的学生、临时雇员、志愿者或访客) 由所有者访问数据。
执行官、管理员和经理— 包括其任务需要主要(和主要)责任的所有人员 用于机构或通常认可的部门或分支机构的管理 其中。任务要求执行与管理直接相关的工作 机构部门或分支机构的政策或一般业务运营, 等等。假设此类作业通常需要 个人行使自由裁量权和独立判断力并指导工作 其他人的。此类别包括所有拥有总统、 副院长、院长、主任或同等人员以及下属官员 任何具有副院长、助理院长等头衔的行政人员, 学术部门的执行官(主席、负责人或同等职位),如果他们 主要活动是行政活动。
信息资产— 任何形式的可定义信息,记录或存储在任何介质上 被认为对大学“有价值”。
信息技术资源— 数据、应用程序、信息资产和相关来源,例如人员、 大学的设备、网络和计算机系统。
信息安全— 保护大学的数据、应用程序、网络和计算机系统 防止未经授权的访问、更改或破坏。
信息资产的完整性— 防止不当信息修改或破坏,包括 确保信息的不可否认性和真实性。
信息安全审查委员会 (ISBR)— 指定的行政机构,其职责是提供监督和指导 关于校园范围内的信息系统安全和隐私保证。
IT 安全从业者— 网络、系统、应用程序和数据库管理员;计算机专家; 证券分析师;安全顾问。
职责
首席信息官 (CIO) — 负责大学的 IT 规划、预算和绩效,包括 其信息安全组件。
数据保管人— 向用户授予仅限于完成任务所必需的资源的访问权限 分配的职责或职能,仅此而已。
数据所有者— 确保采取适当的控制措施来解决信息资产的完整性问题, 他们拥有的 IT 系统和数据的机密性和可用性。
数据用户— 仅将数据用于所有者指定的目的,符合安全要求 所有者或保管人指定的措施(即保护登录 ID 和密码), 除非特别授权,否则不会披露信息或对数据的控制 由数据所有者书面记录。
执行官、管理员和经理— 确保遵守信息安全实践,保护大学资源 通过采用和实施安全标准和程序,并应确保 他们的部门采用的标准超出了最低保护要求 完全由其部门控制的大学资源。
政府关系副总裁— 通过形成信息来建立治理和控制的总体方法 安全审查委员会 (ISBR) 提供战略方向,确保目标 已实现,确定风险得到适当管理,并验证大学的 负责任地使用资源。
信息安全审查委员会 (ISBR)— 提供有关信息系统安全和隐私的监督和指导 确保整个大学范围内。
信息安全与合规官— 向大学管理层传达信息安全法规的要求 和员工,作为大学合规性的技术资源,确保 信息安全计划正在按照监管要求有效实施 达到或超过信息行业标准的大学要求 安全。
IT 安全从业者— 在 IT 系统发生变化时实施安全要求。
信息技术办公室 (OIT)— 制定并实施良好的内部控制并确保晋升 以及整个大学对 IT 要求和计划的认识。
使用或提供信息资源的个人或组织— 维护和保护信息资产,谨慎使用这些共享资源 对于其他人,并且必须遵守所有大学政策、州和联邦 法律、法规和合同义务。
程序
表格和说明
附录
信息安全政策、程序和指南:
其他信息
- https://www.ed.gov/laws-and-policy/ferpa
- https://business.ftc.gov/privacy-and-security/gramm-leach-bliley-act
- https://www.hhs.gov/hipaa/for-professionals/special-topics/hitech-act-enforcement-interim-final-rule/index.html
- https://www.cms.gov/Regulations-and-Guidance/Administrative-Simplification/HIPAA-ACA/index.html
- https://www.pcisecuritystandards.org/security_standards/index.php
领养日期
| 09/13/2007 | 总统批准的政策 |
修订
| 3/13/2018 | 政策更新:为了反映当前的做法,更改了“首席技术官 (CTO)” 至“首席信息官 (CIO)” |
| 04/10/2017 | 将政策页面从 HTML 转移到 CMS。一般保单号码从“2.1000”更名 到“1.00 普通大学”。具体摘自《2.1009——信息安全合规》 至“1.09—信息安全合规性”。 |
| 11/07/2012 | 将信息技术服务和安全更改为信息技术服务; 将计算机使用政策的名称更改为信息技术的可接受使用 资源;将首席信息官变更为首席技术官;已删除 ITSS 主管因该职位不再存在而免除责任; 更改了用户必须遵守的法律缩略语列表才能阅读全部内容 大学政策、州和联邦法律、法规和合同义务。 |
| 05/01/2012 | 为了反映当前的大学名称和实践,MTU 现在更名为足球比赛结果 提问的电子邮件地址现在是 hbwebmaster。 |
| 01/31/2011 | 修订了整个政策并链接到信息安全计划。 |