93.001:数据分类

状态:

批准

有效:

2013年9月9日

由:

马修·道尔顿|信息安全总监

认可:

Pam Benoit |执行副校长兼教务长

批准:

罗德里克J. 麦克戴维斯|总统

档案副本上的签名和日期

  1. 概述

    本政策规定,所有信息资产将根据其机密性进行分类, 完整性和可用性. 本政策规定了基于这些分类的程序,以便大学能够以适当的方式保护每项资产.

    该政策基于联邦信息处理标准(FIPS)第199号出版物。”联邦信息和信息系统安全分类标准“以及相应的NIST特别出版物,800-53修订版4,”联邦信息系统和组织的安全和隐私控制."

    该策略的关键要素是数据管理员的任命和数据元素或数据资产的分类.

  2. 安全目标

    作为大学数据分类方案的一部分, 数据将被分类, 在安全方面, 高, 媒介, 或低在三个方面:

    1. 保密

      “保密”是指保留对信息获取和披露的授权限制的要求和需要, 包括保护个人隐私和专有信息的手段. 例子包括学生社会安全号码, which require a high level of confidentiality; the contents of university work emails, which require a 媒介 level of confidentiality; and the university's "front door" web pages, 需要较低的保密性吗.

    2. 完整性

      “完整性”是指防止信息被不当修改或破坏的必要性, 并包括确保信息的不可否认性和真实性. 学生成绩和大学财务数据就是需要高度完整性的数据的例子.

    3. 可用性

      “可用性”是指确保及时、可靠地获取和使用信息的要求. 医疗信息, 比如个人对某些药物的潜在过敏反应, 是否有一个数据示例需要高度可用性.

  3. 的潜在影响

    1. 未能达到这一特定的安全目标可能对声誉构成重大威胁, 大学的使命, 知识产权, 遵守法律, 财务状况, 或生命或自由.

      不受“阳光”法律约束的信息通常具有高度机密性.

      有关职系的资料, 机密或专有研究, 卫生保健, 或者个人财务信息通常需要高度的完整性.

    2. 媒介

      未能达到这一特定的安全目标可能会对声誉造成中度威胁, 大学的使命, 知识产权, 遵守法律, 财务状况, 或生命或自由.

      通常情况下,这类物品是根据“阳光”法律发布的.

    3. 未能达到这一特定的安全目标可能对声誉构成很少或根本没有威胁, 大学的使命, 知识产权, 遵守法律, 财务状况, 或生命或自由.

      低机密程度通常用于供公众使用的信息.

  4. 数据管家

    数据管理员是大学指定的负责数据元素的质量和效用的个人. 数据管理员的主要职责是确保对其负责的所有数据进行适当的评级和分类. 数据管理员负责确保特定的数据元素对大学仍然有用, 根据角色定义,这些数据将提供给适当的各方.

    必须为具有中等或高度潜在影响的所有数据元素确定数据管理员. 数据管理员与newbb电子平台合作,确保正确的政策, 程序, 并且有适当的操作实践来保护数据元素.

  5. 大学信息安全主任

    信息安全主管, 履行大学信息安全官的职责, 负责协调, 开发, 实现, 并维护组织范围内的信息安全计划. 这包括对大学整体信息风险态势的责任, 并确保充分处理此策略中列出的安全目标.

  6. 数据级别的程序

    所有机构数据应根据其机密性维度的关键程度进行评级, 完整性, 和可用性. 这些评级将随着时间的推移而发生, 从那些对大学构成最大风险的数据元素开始, 或者有最大的遵从性需求.

    信息安全办公室将与大学各方合作,生成数据元素列表及其相应的数据分类排名, 至少包括本政策列出的审稿人, 并由newbb电子平台校长和行政人员批准. 这些官方分类的数据集和不同级别数据的指南, 包括符号和建议的保护方法将包括在 http://www.OHIO.edu/oit/security/storing-data-type.

    以下策略适用于这些特定级别的数据元素. 如果特定的数据元素具有多个评级组合,则最高的评级将优先. 不遵守以下规定也将被视为违反政策 91.003 并可能导致纪律处分.

    1. 处理高分类数据的用户角色或系统应由适当的数据管理员审查和批准, 资讯保安办事处, 每年担任首席信息官并听取全校相关部门的意见. 围绕数据元素的系统和业务流程应在投入生产之前进行审查, 或包含敏感信息, 之后每年都是这样, 信息安全办公室, 确保安全控制是适当的.

    2. 媒介

      用户角色或处理中等分类数据的系统,由信息安全办公室审核维护, 合适的数据管理员, 以及主管或部门主管. 围绕数据要素的系统和业务流程应定期进行审查, 顺序依据信息安全办公室, 确保安全控制是适当的.

    3. 处理低分类数据的用户角色或系统应由适当的主管或部门主管审查和维护. 资讯保安办公室可应要求提供处理这类资料的最佳实务指引. 在时间和资源允许的情况下,资讯保安办公室会应部门的要求,对保安等级较低的系统进行保安审查.

评论家

本政策的修订建议应由以下人员进行检讨:

  1. 首席信息官

  2. 资讯保障及私隐谘询小组

  3. 院长

表格、参考资料和历史

  1. 形式

    没有特定于此策略的表单.

  2. 参考文献

    下列事项与本政策有关:

    1. FIPS出版物199, 联邦信息和信息系统安全分类标准.

    2. NIST特别出版物800-53修订4; 联邦信息系统和组织的安全和隐私控制.

    3. http://www.OHIO.edu/oit/security/storing-data-type.

    4. 政策 91.003,“计算机和网络使用”."

  3. 历史

    本政策草案已分发以供审查, 他们的封面备忘录, 他们的形式, 评论者对它们的评论可以在有密码保护的评论网站上看到, at http://www.OHIO.edu/policy2/93-001/.

    本政策的先前版本是在:

    1. 2016年6月20日(重新格式化)

    2. 2013年9月9日