数据安全策略

政策声明

澳门皇冠体育(“JSU”或“大学”)信息技术部(“DIT”)发布数据安全政策的意图是为了确定, 定义, 并概述数据以及如何安全处理, 丢弃, 并举报不当使用大学资料的行为. 某些类型的数据受法律保护，如果处理不当，会有很高的安全风险. 本政策概述了大学处理和处置这些数据的要求.

目的

此策略的目的是定义各种类型的数据，并确定在处理受限制的数据时应应用的可接受的安全措施，例如, 个人识别信息, HIPAA要求的学生和员工财务数据和个人健康信息, FERPA, GLBA行为, 以及电子和纸质格式的公立大学数据.

定义

• 大学数据-大学数据(电子和纸质)包括存储在任何学院数据库中的信息或包含过去信息的纸质信息, 当前的, 或者未来的学生, 员工, 捐赠者或朋友.  所有大学资料, 无论是在中央数据库中维护还是复制到其他数据系统中, 仍然是大学的财产，并受本政策声明的约束.
• Data Ownership – JSU is considered the data owner of all institutional data; individual units or departments may have stewardship responsibilities for portions of the data.
• 资料使用者-需要及使用大学资料的个人，作为其指定职责的一部分，或履行其在大学社会中的角色.
• Confidential data – data which is legally regulated; and data that would provide access to confidential or restricted information.
• Restricted data – data which DIT has not decided to publish or make public; and data protected by contractual obligations.
• 公共数据-没有隐私或机密性期望的数据.
• 学生雇员-独立承包商，没有资格享受包括退休在内的大学附带福利, 医疗保险, FICA匹配捐款, 等.

员工坚持

这项政策适用于大学教职员工和学生雇员.

政策

• 根据FERPA和GLBA法案的保障规则，JSU社区的任何成员都不允许以电子方式存储或维护信用卡或借记卡号码, 到期日期, 和/或与JSU或JSU赞助的活动有关的任何方式的安全代码. DIT或必须批准使用电子处理的任何系统或应用程序, 商店, 或传输信用卡数据.
• 包含信用卡数据的纸质文件应放在上锁的办公室里，并存放在柜子里. 在开放式办公环境中，纸质文件应存放在上锁的橱柜中. 下班后，纸质文件不应留在没有保安的办公室.
• 所有信用卡处理(例如.g., 在线, 电话, 邮件, 场外交易, (刷卡)必须由商务办公室执行主任审核和批准.
• 以下机密数据类型只能以电子方式存储在DIT管理的服务器上，并且只能从DIT管理的计算机访问.
• 社会安全号码
• 驾驶执照号码
• 州/联邦身份证号码
• 护照号码
• 财务账号(支票、储蓄、经纪、定期存单等).)
• 如果为了开展大学的业务而需要例外, 用户必须得到他/她的副总裁和信息安全官的书面批准.
• 建议所有其他机密数据和受限制的数据类型都以电子方式存储或从以下设备列表之一访问, 按偏好顺序:
  • DIT托管服务器
  • DIT管理桌面电脑
  • 加密的笔记本电脑
  • 加密移动存储设备
• 任何加密设备必须使用DIT记录并批准的流程进行加密，该系统的管理员必须向首席信息安全官报告系统安全相关事宜.
• 当处理包含任何机密和/或限制数据类型的物理文档时, the documents must be in your possession at all times; otherwise they should be stored in a secure location (e.g. 房间，文件柜)只有经过特别批准的个人才能通过锁和钥匙进入.
• 当信息不再需要时, the physical documents must be shredded using a University-approved device prior to being 丢弃ed; or destroyed by a University-approved facility.
• 除非用户得到副校长的特别授权，并将授权通知发送给信息安全官，否则不得将机密数据和受限数据带出或存储在校外.
• JSU保留电子扫描所有大学拥有的资源和连接到澳门皇冠体育网络的资源的机密数据的权利. 在未经授权的地点发现机密资料, 信息安全官将与负责的副总裁跟进，以纠正这种情况.
• 机密资料不能透过任何电子讯息传送(例如.e. 电子邮件，即时消息，文本消息)甚至其他授权用户.
• 物理格式的机密数据不能通过无跟踪的交付方式传输. 校园邮件和普通邮政服务均不采用跟踪投递方式.
• 所有教职员工和学生的大学帐户密码必须是复杂的. 复杂密码的定义如下:
• 密码长度必须至少为15个字符.
• 至少一个大写字母.
• 至少一个特殊字符.

大学密码将在90天后过期.

被授权访问或维护机密数据或受限制数据的用户必须确保其受到GLBA保障规则的保护, FERPA, 和HIPPA法案在他们获得该法案后，在杰克逊州政策或法律要求的范围内进行. 所有资料使用者应:

根据GLBA和FERPA法案:

• 只有在处理大学事务时才能访问受限制的个人身份信息.
• 只要求提供执行大学业务所需的最低限度的机密数据或受限制的数据.
• 尊重个人的机密性和隐私，他们的教育和财务记录可以访问.
• 遵守适用于他们有权访问的数据的任何道德限制.
• 了解并遵守有关访问的适用GLBA和FERPA法律或政策, 使用, 或数据披露.
• 立即通知相应的安全官员, 和个人在数据泄露事件发生时.

根据HIPAA法案:

• 只有在处理大学事务时才能访问受限制的个人身份信息.
• 只要求提供执行大学业务所需的最低限度的机密数据或受限制的数据.
• 尊重个人的机密性和隐私，他们的教育和财务记录可以访问.
• 遵守适用于他们有权访问的数据的任何道德限制.
• 了解并遵守有关访问的适用HIPPA法律或政策, 使用, 或数据披露.
• 保持安全措施，确保学生PHI和医疗记录保密.
• 只有在必要或紧急情况下才向大学官员披露或释放学生的医疗记录.
• 立即通知相应的安全官员, 如果发生数据泄露(包括学生的PHI或受限制的数据)，则应向个人提供保护.

政策合规

• 遵守这些数据保护政策是大学社区所有成员的责任.
• 违反这些政策的行为将受到严肃处理，包括制裁, 直至并包括终止雇佣关系.
• 涉嫌违反这些政策的用户可能会在调查涉嫌滥用期间暂时拒绝访问数据以及大学的信息技术资源.
• 违反规定的行为也可能受到州和联邦当局的起诉.
• 涉嫌违反JSU数据保护政策的行为必须报告给首席信息安全官.

相关标准、政策和流程

• 数据安全定义
• 资料保安分类