管理数据访问策略2020
数据访问 | 高校信息政策的范围 | 机构数据 | 机构数据使用 | 三类数据 | 访问类型 | 数据所有权 | 信息技术 | 违反此政策 | 数据标准
数据访问
m88|明升体育app认为,其机构的数据是宝贵的资源。这个资源可能只在法律,道德和负责任的方式使用。此数据访问策略建立和界定的责任和谁有权访问的机构数据用户的角色。
学院为员工提供他们需要做他们的工作信息。雇员将被授予的权限一致与他们的工作职责,以获取公众,有关教师,员工,学生,校友和捐助者的机密信息和私人信息。
谁授予机构数据访问的所有员工都必须完成,这在明升体育app高校学生概括数据安全措施,责任,政策网上年度保密培训(法案)。 scholastica。该 法案 位于在网络上 //www2.css.edu/app/ferpa/info/。每个用户都应该知道在本教程中定义的他/她的职责。每个用户应阅读,理解和接受提供访问八旗制度后两周内每年的保密培训结束签署保密声明。
高校信息政策的范围
本政策声明确立了保护,访问和明升体育app大学使用的措施。 scholastica的管理电子信息。
它还定义的所有谁访问的职责和管理这些数据和设备。办公室可能有单独的准则,补充,但不取代或矛盾,这一政策声明。数据委托给其他组织(例如,基金会和政府机构)的条款,并在与这些组织同意的条件管辖的大学。没有这样的约定条款约束的具体问题,由该政策管辖。
机构数据
(电子纸)机构数据由包含对过去,现在或将来的学生,员工,捐赠者或朋友的信息存储在任何大学数据库或纸上的信息。这一政策主要关注的是大学的存储服务器上的管理数据,横幅文档管理中的扫描图像,或在行政文件档案。在校园其他组织(即人类受试者审查委员会)负责研究或学术资料。
机构数据由该机构所有,是一个重要的资产大学。我们是大学的所有数据管家。所有机构的数据,是否保存在中央数据库或复制到其他数据系统,保持学院的财产,并受该政策声明管辖。
机构数据使用
机构数据只能用于明升体育app大学生的合法经营使用。 scholastica。如在工作职能性能所需的数据只应使用。在任何情况下都不得在任何出版物,研讨会,任何人使用个人身份的私密/保密机构的数据,或者专业的演示,或以其他方式发布数据,以任何形式,校外未经适当的数据管家和/或相应的行政事先书面批准长官)。数据必须从未留给该访问没有被控制的任何系统上(即,计算机硬盘驱动器,USB驱动器等)。
作为访问的一般原则,机构数据(无论谁收集的或维护它)应的员工,其工作可以通过这些信息的知识更有效地进行共享。虽然大学必须保护数据的安全性和保密性,程序允许访问的数据将不会不适当地高校企业的高效进行干涉。
所有谁使用机构的数据有预期的数据是准确的权利。所有谁维护机构的数据有责任让他们准确。
学院的员工必须具备的知识,坚持以家庭教育权利和隐私法案(FERPA)的规定。员工谁与保护健康信息工作一定要了解并遵守健康保险流通与责任法案(HIPAA)的规定。
三类数据
1)谁被允许访问,以及2)通过对处理,披露或使用的数据的限制:大学数据的类别由两个因素主要区分。大学数据分为三类:
机密信息 - 在明尼苏达州法律通道167定义,#2121,作为个人的名字或首字母和姓氏与任何一个或多个以下的:社会安全号码,驾驶执照或明尼苏达州身份证号码,银行或信用卡卡账户号码或访问代码。
机密信息,由于其性质,需要相对于访问或披露更多的控制。机密信息可以通过院校人员合法需要到专门进行访问的基础上,大学中的角色,或由相关学院的官方授权。
机密信息通常不会校外或那些没有必要方知予以披露。校外机密数据泄露将于只能用至少一个副总裁的相关数据管家和批准的提前授权。
机密数据必须存储在网络服务器上在安全的环境。机密数据必须从扫描到文件旗帜成像系统文件被删节,除非适当的保护。机密数据不能下载,或者,除非该计算机是加密保存在台式电脑或笔记本电脑。甚至删除的文件可以被回收和利用廉价的数据恢复工具进行访问。
机密数据不能被下载并且没有设备被正确地加密存储在USB驱动器或其他外围设备。加密的USB设备可以通过其采购官购买。
机密数据不能经由电子邮件,文件传输协议(FTP)或任何其它网络应用程序,而不进行加密传送。
含有机密数据的打印报告必须保持安全的,并应通过当不再需要切碎妥善处置。每个人负责安全,隐私和在他们身上的机密数据的控制
私人信息 - 包括,但不限于:宗教,婚姻状况,学生成绩,密码,员工电话,出生日期员工,员工的地址,捐助者的名字和捐款,性别,种族,国籍,公民签证代码,退伍军人和残疾状况,和紧急联系人信息。 m88体育认为这是私人信息和员工都必须遵守这一政策。
私人信息,因为还是因为法律限制它的高度敏感性质,需要严格的访问控制和有限的披露。私人信息可以通过院校人员合法需要到专门进行访问的基础上,大学中的角色,并授权由他们的上司或适当的数据管家。
学院室外或没有经过有关高校官方授权那些通常不会被允许私人信息的公开;然而,私人信息的任何公开将仅由至少一个副总裁的相关数据管家和批准的提前授权进行。
公开信息 - 信息或可自由访问或在相关学院负责人的自由裁量权发布的数据。公开信息通常被称为“目录信息”。例子包括:公共关系新闻发布,目录信息(尚未以其他方式公开披露的限制),一般的网站,与学术刊物。
例子包括姓名,出生的学生日期,学生家庭和学校地址,E-mail地址,学生的电话列表,学生家长的姓名和地址(ES),主要的研究领域,参与官方认可的活动和运动,体重和身高运动队的成员,考勤,学位和奖励日期收到,照片,最近的先前的教育机构或学校参加。应采取措施,以确保个人不具有保密性持有。
如果一个人既是雇员和学生的信息应被视为一个学生。
访问类型
查询 - 只 访问使用户能够查看,分析,并下载, 但不会改变,机构的数据。一旦信息被下载,但是,数据还可以,但不应该被在文字处理文档或电子表格改变。应使用下载的信息,负责任地表示。
保养 访问既提供查询和更新能力。维护被定义为添加,删除和更改。这种能力通常仅限于对数据的收集和管理直接负责的办事处。这种访问是提供给管理员和用户谁拥有的授权需要在自己工作职责的日常表现,以改变机构的数据。的管理信息每个用户分配的适当组合 查询只 和 保养 访问管理信息系统的特定部分。访问的类型由数据管理员确定(见下面的定义)。
每个用户被分配的查询只和维护访问管理信息系统的特定部分适当组合。的访问类型是由数据管理员确定。
数据所有权
机构持股 - 机构数据是一所大学的资源。虽然个别办事处,部门,项目,或学校可能上大学的部分数据的责任,学院本身保留的所有权和责任的数据。高校应任命数据管理员来管理机构数据的具体内容。小组学院的任命数据管理员和机构研究人员将包括数据监督委员会,通过企业信息系统学院的经理的带领下,负责执行这一政策,如下所述。
数据管家 - 数据管家职责是中央维护大学生的操作。数据管理员应确定备份。数据托管人有责任确保准确性,完整性,完整性,并酌情学院信息的保密性。
数据管理员是负责的准确性和数据文件的完整性在各自的领域。数据管家,在体制上的报告委员会和旗帜实施小组合作,还负责维护和管理信息系统的验证和规则表的控制,业务流程定义该业务是如何在ST进行。 scholastica,和所有编码和数据录入过程的完整性。数据托管人应提供教育和培训,个人相对于体制数据的访问和操作。
数据管家,通常是各大高校的办公室或部门的管理员,可以使数据他或她的职权范围内的单位的功能使用和支持中提供给他人。数据管理员应使用定义访问控制原则和限制,上述处理为它们指派专人负责数据与数据分类相一致。
授权访问数据之前,数据管理员应满足该保护要求已经付诸实施,一个“需要知道”被清楚地证明。通过批准最终用户机构的数据,数据管理员同意行政和学术机构的正常业务功能中使用这些数据的访问。除非有一个既定的“需要知道”进入大学的数据,不得被授予者。
数据管理员将需要至少每年检讨所有安全授权为他们的区域,并添加或缺失必要的。
数据管家为m88|明升体育app如下:
|
区 |
管家 |
|
招生 |
学籍管理数据系统经理 |
|
校友发展 |
执行董事,开发/年的礼物和运动的支持 |
|
人力资源 |
人力资源信息专家 |
|
金融 |
调节器 |
|
经济资助 |
主任,财政援助 |
|
学生 |
注册员 |
信息管理人员 - 行政各级管理人员应保证,他们的责任区,每个信息系统用户知道在这一政策,他们的办公环境是安全的关于机构的数据定义的他/她的职责。
监督管理者应确保考虑到所有机构信息系统安全的办公环境。管理者应当根据工作职能在提交提供接入的请求之前验证其工作人员的访问需求。
信息使用者 - 每个用户负责使用他/她的用户名和密码的过程中发生的所有交易。密码绝不能以任何理由来共享。
个人有责任了解所使用的所有数据元素。如果一个人不理解的数据元素的含义,他/她应该咨询适当的数据管家或他/她的上司。
用户必须在使用该机构的电子信息系统,以保护数据文件不被非法使用,披露,更改或销毁应有的谨慎。每个人负责安全,隐私,和他/她自己的数据的控制。
用户不得:
- 公开资料给别人,除非是他们的工作职责所需
- 利用数据为自己谋取私利,也没有为他人的收益或利润
- 访问数据,以满足他们的个人的好奇心
- 使用机构的数据(详细或摘要)在任何出版物,研讨会或专业的演示未经相关学院负责人的许可,
请参阅该学院的IT策略以提高安全性的相关政策和标准, //www.jxzphm.com/administration/information-technologies/computing-policies.html
误用或个人使用不当会导致用户的访问权限撤销。
信息技术
首席信息官应监督本政策声明的执行,审查请求例外的政策和管理有关使用和集中的电子数据的机构和体制范围内的信息系统的管理工作纠纷。
信息技术部门应确保各种保障措施落实到位。应当维护中央机构数据库,并保证数据的安全性,完整性和可用性,所有谁被授予访问权限。中央数据库系统备份将定期进行。灾难恢复计划将重点放在减少时引起中央计算设备不工作的中断。定期升级和中心的硬件和软件的维护会发生,以保护学院的信息。数据保护的成本应该与数据的价值,这样的数据丢失的法律意义相称。
信息技术部门处理通过数据管理员对数据的访问请求,并作为解决冲突的初始点在哪里情况与此政策冲突的访问请求。
违反此政策
适当的程序应遵循报告任何违反安全或保障的妥协。任何未经授权的使用,披露,更改或大学销毁数据违反这项政策的人参与应受到相应的纪律处分,包括适用的州和/或联邦法律下被解雇或起诉。
数据标准
目前正在建设中。立即疑问,请联系乔尔clasemann,218-723-6048。
