93.001:数据分类
批准
2013年9月9日
马修·道尔顿,b|信息安全总监
Pam Benoit b|执行副总裁兼教务长
罗德里克·j·麦克戴维斯b|总裁
-
概述
本政策规定,所有信息资产将根据其保密性、完整性和可用性进行分类。本政策规定了基于这些分类的程序,以便大学能够以适当的方式保护每项资产。
本政策基于联邦信息处理标准(FIPS)第199号出版物“联邦信息和信息系统安全分类标准”和相应的NIST特别出版物800-53修订4“联邦信息系统和组织的安全和隐私控制”。
该策略的关键要素是数据管理员的任命和数据元素或数据资产的分类。
-
安全目标
作为大学数据分类方案的一部分,数据将根据安全性分为高、中、低三个方面:
-
保密
“保密”是指保留对信息获取和披露的授权限制的要求和需要,包括保护个人隐私和专有信息的手段。例如,需要高度保密的学生社会安全号码;大学工作邮件的内容,需要中等程度的保密;还有学校的“前门”网页,这需要较低的保密性。
-
完整性
“完整性”是指防止信息被不当修改或破坏的必要性,包括确保信息的不可否认性和真实性。学生成绩和大学财务数据就是需要高度完整性的数据的例子。
-
可用性
“可用性”是指确保及时、可靠地获取和使用信息的要求。医疗信息,例如个人对某些药物的潜在过敏反应,就是要求高度可用性的数据的一个例子。
-
-
的潜在影响
-
高
未能达到这一特定的安全目标可能对以下方面构成重大威胁:声誉、大学使命、知识产权、法律遵从、财务状况、生命或自由。
不受“阳光”法律约束的信息通常具有高度机密性。
有关成绩、机密或专有研究、医疗保健或个人财务信息的信息通常需要高度的完整性。
-
媒介
未能达到这一特定的安全目标可能会对以下方面构成中度威胁:声誉、大学使命、知识产权、法律遵从、财务状况、生命或自由。
通常情况下,这类物品是根据“阳光”法律发布的。
-
低
未能达到这一特定的安全目标可能对声誉、大学使命、知识产权、法律合规性、财务健康或生命或自由构成很少或根本没有威胁。
低机密程度通常用于供公众使用的信息。
-
-
数据管家
数据管理员是大学指定的负责数据元素的质量和效用的个人。数据管理员的主要职责是确保对其负责的所有数据进行适当的评级和分类。数据管理员负责确保特定的数据元素对大学仍然有用,并且根据角色定义将数据提供给适当的各方。
必须为具有中等或高度潜在影响的所有数据元素确定数据管理员。数据管理员与Ohio大学合作,确保采用正确的策略、过程和操作实践来保护数据元素。
-
大学信息安全主任
信息安全主任,履行大学信息安全官员的职责,负责协调、发展、实施和维护组织范围内的信息安全计划。这包括负责大学的整体信息风险态势,并确保本政策中列出的安全目标得到充分解决。
-
数据级别的程序
所有机构数据应根据其在保密性、完整性和可用性方面的重要性进行评级。这些评级将随着时间的推移而发生,从那些对大学构成最大风险的数据元素开始,或者有最大的遵从性要求。
信息安全办公室将通过与大学各方(至少包括本政策列出的审稿人)的合作,生成具有相应数据分类排名的数据元素列表,并由俄亥俄大学校长和执行人员批准。这些正式分类的数据集和针对不同级别数据的指南,包括符号和建议的保护方法,将包括在/oit/security/storing-data-type。
以下策略适用于这些特定级别的数据元素。如果特定的数据元素具有多个评级组合,则最高的评级将优先。未能遵守以下规定也将被视为违反政策91.003,并可能导致纪律处分。
-
高
用户角色或处理高分类数据的系统应每年由适当的数据管理员、信息安全办公室和首席信息官审查和批准,并得到全校相关方的适当输入。围绕数据要素的系统和业务流程,在投入生产或包含敏感信息之前,应由信息安全办公室进行审查,此后每年进行一次审查,以确保安全控制措施到位。
-
媒介
处理中等分类数据的用户角色或系统应由信息安全办公室、适当的数据管理员、主管或部门负责人酌情审查和维护。信息安全办公室应定期、连续地对围绕数据元素的系统和业务流程进行审查,以确保安全控制是充分的。
-
低
处理低分类数据的用户角色或系统应由适当的主管或部门主管审查和维护。资讯保安办公室可应要求提供处理这类资料的最佳实务指引。在时间和资源允许的情况下,资讯保安办公室会应部门的要求,对保安等级较低的系统进行保安审查。
-
评论家
本政策的修订建议应由以下人员进行检讨:
-
首席信息官
-
资讯保障及私隐谘询小组
-
院长