Confidential information, 教育记录和用户帐户受联邦和州法律法规管辖, 基社盟信息安全政策和总理的行政命令, and University guidelines, 标准和行政政策及程序.
资讯科技保安及合规部负责协调资讯保安指引的发展及传播, 大学的标准和程序. 请参阅下面的链接访问科罗拉多州立大学的政策和大学的指导方针,标准和程序.
Confidential Information
Descriptions and Examples
Description
1级机密数据是由大学维护的信息,根据加州公共记录法或其他适用的州或联邦法律的规定,这些信息免于披露. Its unauthorized use, access, disclosure, acquisition, modification, loss, 或删除可能会对鉴证组造成严重损害, its students, employees or customers. Financial loss, 如果数据丢失,可能会对CSU的声誉和法律诉讼造成损害, stolen, 非法分享或以其他方式泄露.
第1级数据仅用于CSU内部,并且仅限于那些具有“业务需要知道”的人员.法规、规章、其他法律义务或授权保护了大部分此类信息. 向大学以外人士披露1级资料,须遵守为保护资料而设计的特定标准和控制措施.
保密信息必须结合计算机或电子存储设备中包含的所有信息进行解释,以确定是否发生了违规行为.
1级访问将仅在严格的“需要知道”的基础上授予,并且仅限于授权员工和执行批准的保密协议(NDA)的其他参与者。. 此信息包括组织联系人列表, internal processing procedures, 员工日程安排和其他组织内部运作所需的信息,但过于敏感而不能向公众公布.
示例(注意:列表提供示例,但并非全部)
- Passwords or credentials
- 个人识别号码
- 出生日期加上社会安全号码的最后四位数字和姓名
- 带有持卡人姓名或有效日期和/或信用卡验证码的信用卡号码
- Tax ID with name
- Driver’s license number, 国家身份证和其他形式的国家或国际身份证明(如护照), visas, etc.) in combination with name
- Social Security number and name
- 带有姓名的健康保险信息
- 与个人有关的医疗记录
- 与个人有关的心理咨询记录
- 银行账户或借记卡信息以及任何所需的安全码, access code, 或者允许访问个人金融账户的密码
- Electronic or digitized signatures
- Private key (digital certificate)
- 与校园或系统相关的漏洞/安全信息
- Attorney/client communications
- 大学进行的法律调查
- 根据合同协议的第三方所有权信息
- Sealed bids
- 员工姓名和个人可识别的员工信息
- Biometric information
- Electronic or digitized signatures
- Personal characteristics
Description
内部使用数据是由于专有而必须受到保护的信息, ethical or privacy considerations. 尽管不受法律的特别保护, 法规或其他法律义务或命令, unauthorized use, access, disclosure, acquisition, modification, 丢失或删除该级别的信息可能会造成经济损失, damage to cause financial loss, damage to the CSU’s reputation, 侵犯个人隐私权或采取必要的法律行动.
非目录教育信息不得发布,除非在某些规定的条件下.
2级访问将仅在严格的“需要知道”的基础上授予,并且仅限于授权员工和执行批准的保密协议(NDA)的其他参与者。. 此信息包括组织联系人列表, internal processing procedures, 员工日程安排和其他组织内部运作所需的信息,但过于敏感而不能向公众公布.
示例(注意:列表提供示例,但并非全部)
- Identity Validation Keys (name with)
- Birth date (full: mm-dd-yy)
- Birth date (partial: mm-dd only)
- 学生姓名与个人身份的教育记录
- Grades
- Courses taken
- Schedule
- Test scores
- Advising records
- Educational services received
- Disciplinary actions
- Employee Information
- Employee net salary
- Employment history
- Home address
- 个人电话号码(包括紧急联系人)
- Personal e-mail address
- Payment History
- Employee evaluations
- Disciplinary actions
- Background investigations
- Mother’s maiden name
- Race and ethnicity
- 父母和其他家庭成员的姓名
- Birthplace (city, state, country)
- Gender
- Marital Status
- Physical description
- 照片(自愿公开展示)
- Other
- 捐款人姓名、地址、电话、电邮及捐款额
- Library circulation information
- 商业秘密或知识产权,如研究活动
- 关键或受保护资产的位置
- Licensed software
Description
这些信息通常被认为是公开可用的. 这一级别的信息要么被明确定义为公共信息,要么旨在为校园内外的个人提供,要么没有在其他地方被明确归类为1级或2级.
了解这些信息不会使CSU遭受财务损失或危及CSU信息资产的安全.
可公开获得的数据可能仍需经过适当的校园审查或披露程序,以减轻不当披露的潜在风险.
1足彩外围网站可以披露“目录信息”,没有事先书面同意的学生. However, 在任何时候,学生都可以通过填写“向外部机构发布学生“目录信息””表格并将其提交给教育部,从而行使将这些信息视为机密的选择权 Admissions and Records Center, SSB 1st Floor. 所有获取学生目录信息的请求都必须直接向招生和记录中心提出.
示例(注意:列表提供示例,但并非全部)
- Campus Identification Keys
- Campus identification number
- 用户ID(不要在公共列表或大型聚合列表中列出,因为它与学生电子邮件地址不同)
- Student Information1
教育目录信息(FERPA)包括
- Name
- Address
- Telephone number
- Email address
- Photograph
- Major field of study
- 参加官方认可的活动和体育运动
- 运动员的身高和体重
- Dates of attendance
- Grade level
- Enrollment status
- Degrees, honors and awards received
- 学生最近就读的教育机构或机构
议价单位学生雇员名录信息
- 聘用该学生的院系名称
- 系内学生雇员的电话号码
- 系内学生雇员的电子邮件地址
- 学生雇员的工作分类
- 员工信息(包括学生员工)
- Employee title
- 学生员工身份(如TA、GA、ISA)
- Employee campus email address
- 员工工作地点和电话号码
- Employing department
- Employee classification
- Employee gross salary
- 名称(第一、中间、最后)(与受保护数据关联时除外)
- Signature (non-electronic)
- Donor Information
- Constituent code
- 班级、学位、学术组织、专业
- Employment information defined above
- Job title
CSU Information Security Policy
The CSU Information Security PolicY为管理和保护机密性提供高级指导, CSU信息资产的完整性和可用性.
- Identity Access Management
- Information Security
- Introduction and Scope
- Policy Management
- 建立信息安全计划
- Organizing Information Security
- Information Security Risk Management
- Privacy of Personal Information
- Personnel Information Security
- 资讯保安意识及训练
- Managing Third Parties
- Information Technology Security
- Configuration Management
- Change Control
- Access Control
- Information Asset Management
- 信息系统的获取、开发和维护
- 资讯保安事故管理
- Physical Security
- 业务连续性和灾难恢复
- Compliance
- Policy Enforcement
- Electronic and Digital Signatures
- Responsible Use Policy
- 资讯安全策略定义
policy, standards, and guidelines
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 5: Information Security Policy |
Cal State LA
Type | Title |
---|---|
Policy | 加州州立大学洛杉矶信息安全项目 |
Standard | 信息安全的角色和责任 |
Guideline | ID Theft Prevention Guidelines |
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 6:信息安全政策组织 |
Standard | ISO Domain 6:信息安全标准组织 |
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 7: Human Resource Security Policy |
Standard | ISO Domain 7: Human Resource Security Standard |
Cal State LA
Type | Title |
---|---|
Guideline | 分离的员工网络/电子邮件访问 |
Procedure | Criminal Records Check |
Procedure | Fingerprint Procedure |
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 8: Asset Management Policy |
Standard | ISO Domain 8: Asset Management Standard |
EO | 非法电子文件共享与电子版权材料保护 |
EO | 全系统记录/信息保留和处理时间表的实施 |
EO | 加州州立大学残疾支持和住宿政策 |
EO | 隐私和个人信息管理学生记录 |
Cal State LA
Type | Title |
---|---|
Standard | Securing Workstation Documents |
Standard | Utilization of Multi-function Devices |
Standard | 信息分类、处理和处置 |
Guidelines | 收集和处理信用卡信息 |
Guidelines | Data Sanitization |
Guidelines | Encryption Security |
Guidelines | Mobile Computing |
Guidelines | Portable Electronic Storage Media |
Guidelines | 安全处置电子存储介质 |
Guidelines | 保护电子版权材料 |
Procedure | Vulnerability Management for Servers |
Procedure | 保护关键和高风险工作站 |
Procedure | 记录保留、管理和处理程序 |
Procedure | Student Records Administration |
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 9: Access Control Policy |
Standard | ISO Domain 9: Access Control Standard |
Cal State LA
Type | Title |
---|---|
Standard | 身份和访问管理标准 |
Standard | Password Standards |
Standard | PeopleSoft User IDs and Passwords |
Standard | 分散系统的用户访问控制和风险管理 |
Guidelines | 使用行政资讯系统 |
Guidelines | Oracle Access |
Guidelines | Securing Shared Computing Resources |
Procedure | 行政系统访问控制和职责分离审查 |
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 10: Cryptography Policy |
Standard | ISO Domain 10: Cryptography Standard |
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 11:物理和环境安全 |
Standard | ISO Domain 11:物理和环境安全 |
Cal State LA
Type | Title |
---|---|
Guidelines | Data Center/Communication Room Access |
Guidelines | 保护办公室、工作区和文档 |
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 12: Operations Security Policy |
Standard | ISO Domain 12: Operations Security Standard |
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 13: Communications Security Policy |
Standard | ISO Domain 13: Communications Security Standard |
Cal State LA
Type | Title |
---|---|
Guideline | Electronic Communications |
Guideline | Network Traffic Management |
Guideline | Wireless Access |
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 14:系统获取、开发和维护政策 |
Standard | ISO Domain 14: Systems Acquisition Standard |
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 15: Supplier Relationships Policy |
Standard | ISO Domain 15: Supplier Relationships Standard |
Cal State LA
Type | Title |
---|---|
Guideline | 资讯保安合约语言 |
Guideline | IT Project and Procurement |
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 16:资讯安全事件管理策略 |
Standard | ISO Domain 16: Incident Management Standard |
Cal State LA
Type | Title |
---|---|
Standard | 电脑保安事故应变小组(CSIRT) |
Guideline | 报告丢失或被盗的计算机或电子存储设备 |
Procedure | 电子保安事故报告 |
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 17:业务连续性管理政策的信息安全方面 |
Standard | ISO Domain 17: Continuity Management Standard |
EO | 行政命令-业务连续性计划 |
Cal State LA
Type | Title |
---|---|
Document | ITS Business Continuity Plan |
Document | ITS Disaster Recovery Plan |
CSU ISO Domain
Type | Title |
---|---|
Policy | ISO Domain 18: Compliance Policy |
Standard | ISO Domain 18: Compliance Standard |
EO | CSU行政命令- 1996年医疗保健可移植性和责任法案 |
Cal State LA
Type | Title |
---|---|
Guideline | 收集和处理信用卡信息 |
Guideline | User Guidelines for HIPAA Compliance |
Standards 定义处理信息安全风险所需的最低要求和确保遵守法律法规的特定要求, CSU策略和信息安全最佳实践. 标准是理事会审计工作的最低依据. 标准在公布之前要经过正式的审查和批准过程
User Guidelines 为校园用户提供遵守信息安全标准和科罗拉多州立大学信息安全政策的一般建议和说明. 它们在本质上往往比政策和标准更具技术性, 并根据需要创建和更新,以解释技术的变化, regulations or University practices, 用户指南在出版前要经过正式的审查和批准程序.
Procedures 完成特定任务的分步说明是否经常包括执行这些任务的推荐工具. 过程是非正式的文档,对用户没有影响,因此, 出版前只经过内部技术审查和批准程序.