Informationssikkerhedskontor

formål

formålet med denne retningslinje er at etablere en ramme for klassificering af institutionelle data baseret på dets niveau af følsomhed, værdi og kritik over for universitetet som krævet af universitetets informationssikkerhedspolitik. Klassificering af data vil hjælpe med at bestemme basissikkerhedskontrol til beskyttelse af data.

gælder for

denne politik gælder for alle fakulteter, Personale og tredjepartsagenter på universitetet såvel som ethvert andet universitetsforetagende, der er autoriseret til at få adgang til institutionelle Data. Denne retningslinje gælder især for dem, der er ansvarlige for klassificering og beskyttelse af institutionelle Data, som defineret af Informationssikkerheds roller og ansvar.

definitioner

fortrolige Data er et generaliseret udtryk, der typisk repræsenterer data klassificeret som begrænset i henhold til dataklassificeringsskemaet defineret i denne retningslinje. Dette udtryk bruges ofte om hverandre med følsomme data.

en Dataforvalter er en højtstående medarbejder på universitetet, der fører tilsyn med livscyklussen for et eller flere sæt institutionelle Data. Se roller og ansvar for informationssikkerhed for at få flere oplysninger.

institutionelle Data defineres som alle data, der ejes eller licenseres af universitetet.

ikke-offentlig Information defineres som enhver information, der er klassificeret som privat eller begrænset Information i henhold til det dataklassificeringsskema, der er defineret i denne retningslinje.

følsomme Data er et generaliseret udtryk, der typisk repræsenterer data klassificeret som begrænset i henhold til det dataklassificeringsskema, der er defineret i denne retningslinje. Dette udtryk bruges ofte om hverandre med fortrolige data.

Dataklassificering

Dataklassificering er i forbindelse med informationssikkerhed klassificeringen af data baseret på dets følsomhedsniveau og virkningen for universitetet, hvis disse data afsløres, ændres eller destrueres uden tilladelse. Klassificeringen af data hjælper med at bestemme, hvilke grundlæggende sikkerhedskontroller der er egnede til at beskytte disse data. Alle institutionelle data skal klassificeres i et af tre følsomhedsniveauer eller klassifikationer:

klassifikation Definition
begrænset Data skal klassificeres som begrænset, når uautoriseret videregivelse, ændring eller ødelæggelse af disse data kan medføre et betydeligt risikoniveau for universitetet eller dets tilknyttede virksomheder. Eksempler på begrænsede data inkluderer data beskyttet af statslige eller føderale privatlivsbestemmelser og data beskyttet af fortrolighedsaftaler. Det højeste niveau af sikkerhedskontrol bør anvendes på begrænsede data.
Private Data skal klassificeres som Private, når uautoriseret videregivelse, ændring eller ødelæggelse af disse data kan resultere i et moderat risikoniveau for universitetet eller dets tilknyttede virksomheder. Som standard skal alle institutionelle Data, der ikke udtrykkeligt klassificeres som begrænsede eller offentlige data, behandles som Private data. Der bør anvendes en rimelig grad af sikkerhedskontrol af Private data.
offentlige Data skal klassificeres som offentlige, når uautoriseret videregivelse, ændring eller ødelæggelse af disse data ville resultere i ringe eller ingen risiko for universitetet og dets tilknyttede virksomheder. Eksempler på offentlige data inkluderer pressemeddelelser, kursusinformation og forskningspublikationer. Mens der kun kræves ringe eller ingen kontrol for at beskytte fortroligheden af offentlige data, kræves der et vist niveau af kontrol for at forhindre uautoriseret ændring eller ødelæggelse af offentlige data.

klassificering af data skal udføres af en passende Dataforvalter. Datastyrere er medarbejdere på seniorniveau på universitetet, der fører tilsyn med livscyklussen for et eller flere sæt institutionelle Data. Se roller og ansvar for informationssikkerhed for at få flere oplysninger om rollen som Dataforvalter og tilhørende ansvarsområder.

dataindsamlinger

Datastyrere kan ønske at tildele en enkelt klassificering til en samling af data, der er almindelig i formål eller funktion. Ved klassificering af en dataindsamling bør den mest restriktive klassificering af et af de enkelte dataelementer anvendes. Hvis en dataindsamling f.eks. består af en studerendes navn, adresse og personnummer, skal dataindsamlingen klassificeres som begrænset, selvom den studerendes navn og adresse kan betragtes som offentlig information.

omklassificering

periodisk er det vigtigt at revurdere klassificeringen af institutionelle Data for at sikre, at den tildelte klassificering stadig er passende baseret på ændringer i juridiske og kontraktlige forpligtelser samt ændringer i brugen af dataene eller dens værdi for universitetet. Denne evaluering bør foretages af den relevante Dataforvalter. Der tilskyndes til at foretage en evaluering på årsbasis; imidlertid, Dataforvalteren bør bestemme, hvilken hyppighed der er mest passende baseret på tilgængelige ressourcer. Hvis en Dataforvalter bestemmer, at klassificeringen af et bestemt datasæt er ændret, bør der foretages en analyse af sikkerhedskontroller for at afgøre, om eksisterende kontroller er i overensstemmelse med den nye klassificering. Hvis der findes huller i eksisterende sikkerhedskontroller, bør de rettes rettidigt i forhold til det risikoniveau, som hullerne udgør.

beregning af klassificering

målet med informationssikkerhed, som anført i universitetets informationssikkerhedspolitik, er at beskytte fortroligheden, integriteten og tilgængeligheden af institutionelle Data. Dataklassificering afspejler niveauet for indflydelse på universitetet, hvis fortrolighed, integritet eller tilgængelighed kompromitteres.

Desværre er der ikke noget perfekt kvantitativt system til beregning af klassificeringen af et bestemt dataelement. I nogle situationer kan den relevante klassificering være mere indlysende, såsom når føderale love kræver, at universitetet beskytter visse typer data (f.eks. Hvis den relevante klassificering ikke i sig selv er indlysende, skal du overveje hvert sikkerhedsmål ved hjælp af følgende tabel som en vejledning. Det er et uddrag fra Federal Information Processing Standards (FIPS) publikation 199 udgivet af National Institute of Standards and Technology, der diskuterer kategorisering af informations-og informationssystemer.

potentiel indvirkning
sikkerhedsmål lav moderat høj
fortrolighed
bevarelse af autoriserede begrænsninger for adgang til og videregivelse af oplysninger, herunder midler til beskyttelse af privatlivets fred og proprietære oplysninger.
uautoriseret videregivelse af oplysninger kan forventes at have en begrænset negativ indvirkning på organisatoriske operationer, organisatoriske aktiver eller enkeltpersoner. uautoriseret videregivelse af oplysninger kunne forventes at have en alvorlig negativ indvirkning på organisatoriske operationer, organisatoriske aktiver eller enkeltpersoner. uautoriseret videregivelse af oplysninger kan forventes at have en alvorlig eller katastrofal negativ indvirkning på organisatoriske operationer, organisatoriske aktiver eller enkeltpersoner.
integritet
beskyttelse mod uretmæssig information ændring eller ødelæggelse, og omfatter sikring af oplysninger ikke-afvisning og ægthed.
uautoriseret ændring eller destruktion af oplysninger kan forventes at have en begrænset negativ indvirkning på organisatoriske operationer, organisatoriske aktiver eller enkeltpersoner. uautoriseret ændring eller destruktion af oplysninger kan forventes at have en alvorlig negativ indvirkning på organisatoriske operationer, organisatoriske aktiver eller enkeltpersoner. uautoriseret ændring eller destruktion af oplysninger kan forventes at have en alvorlig eller katastrofal negativ indvirkning på organisatoriske operationer, organisatoriske aktiver eller enkeltpersoner.
tilgængelighed
sikring af rettidig og pålidelig adgang til og brug af oplysninger.
afbrydelse af adgang til eller brug af information eller et informationssystem kan forventes at have en begrænset negativ indvirkning på organisatoriske operationer, organisatoriske aktiver eller enkeltpersoner. forstyrrelsen af adgangen til eller brugen af information eller et informationssystem kan forventes at have en alvorlig negativ indvirkning på organisatoriske operationer, organisatoriske aktiver eller enkeltpersoner. afbrydelse af adgang til eller brug af information eller et informationssystem kan forventes at have en alvorlig eller katastrofal negativ indvirkning på organisatoriske operationer, organisatoriske aktiver eller enkeltpersoner.

da den samlede potentielle indvirkning på universitetet stiger fra lav til høj, bør klassificeringen af data blive mere restriktiv, der går fra Offentlig til begrænset. Hvis en passende klassificering stadig er uklar efter at have overvejet disse punkter, skal du kontakte Informationssikkerhedskontoret for at få hjælp.

Appendiks A – foruddefinerede typer af begrænset Information

Informationssikkerhedskontoret og Office of General Counsel har defineret flere typer begrænsede data baseret på statslige og føderale lovkrav. De er defineret som følger:

Authentication Verifier
en Autentificeringsverifikator er et stykke information, der holdes fortroligt af en person og bruges til at bevise, at personen er den, de siger, de er. I nogle tilfælde kan en Godkendelsesverifikator deles mellem en lille gruppe individer. En Autentificeringsverifikator kan også bruges til at bevise identiteten af et system eller en tjeneste. Eksempler inkluderer, men er ikke begrænset til:

  • adgangskoder
  • delte hemmeligheder
  • kryptografiske private nøgler
dækkede finansielle oplysninger
se universitetets Gramm-Leach-Bliley informationssikkerhedsprogram.
elektronisk beskyttet sundhedsinformation (“EPHI”)
EPHI er defineret som enhver beskyttet sundhedsinformation (“PHI”), der er gemt i eller transmitteret af elektroniske medier. Med henblik på denne definition omfatter elektroniske medier:

  • elektroniske lagringsmedier inkluderer computerharddiske og ethvert flytbart og/eller transportabelt digitalt hukommelsesmedium, såsom magnetbånd eller disk, optisk disk eller digitalt hukommelseskort.
  • transmissionsmedier, der bruges til at udveksle information allerede i elektroniske lagringsmedier. Transmissionsmedier inkluderer for eksempel internettet, et ekstranet (ved hjælp af internetteknologi til at forbinde en virksomhed med information, der kun er tilgængelig for samarbejdende parter), faste kredsløb, opkaldslinjer, private netværk og fysisk bevægelse af flytbare og/eller transportable elektroniske lagringsmedier. Visse transmissioner, herunder af papir, via faksimile, og af stemme, via telefon, anses ikke for at være transmissioner via elektroniske medier, fordi de oplysninger, der udveksles, ikke eksisterede i elektronisk form før transmissionen.
eksport kontrollerede materialer

Eksportkontrollerede materialer defineres som alle oplysninger eller materialer, der er underlagt USA ‘ s eksportkontrolbestemmelser, herunder, men ikke begrænset til, Eksportadministrationsreglerne (EAR) offentliggjort af USA. Department of Commerce og International Traffic in Arms Regulations (ITAR) udgivet af det amerikanske udenrigsministerium. Se Office of Research Integrity and Compliance ‘ s Ofte stillede spørgsmål om eksportkontrol for at få flere oplysninger.

føderale skatteoplysninger (“FTI”)
FTI er defineret som ethvert afkast, returoplysninger eller skatteydernes returoplysninger, der er betroet universitetet af Internal Revenue Services. Se Internal Revenue Service publikation 1075 udstilling 2 For mere information.
betalingskortoplysninger

betalingskortoplysninger defineres som et kreditkortnummer (også kaldet et primært kontonummer eller PAN) i kombination med et eller flere af følgende dataelementer:

  • kortindehaverens navn
  • servicekode
  • udløbsdato
  • CVC2, CVV2 eller CID værdi
  • PIN eller PIN-blok
  • indholdet af et kreditkort magnetstribe

betaling kortoplysninger er også underlagt universitetets PCI DSS politik og retningslinjer (login påkrævet).

personligt identificerbare Uddannelsesregistre
personligt identificerbare Uddannelsesregistre defineres som alle Uddannelsesregistre, der indeholder en eller flere af følgende personlige identifikatorer:

  • den studerendes navn
  • navnet på den studerendes forælder(er) eller andet familiemedlem(er)
  • personnummer
  • Studentnummer
  • en liste over personlige egenskaber, der ville gøre den studerendes identitet let sporbar
  • enhver anden information eller identifikator, der ville gøre den studerendes identitet kan let spores

se Carnegie Mellons politik om studerendes privatlivsret for mere information om, hvad der udgør en uddannelsesrekord.

personligt identificerbare oplysninger
med henblik på at opfylde krav til underretning om sikkerhedsbrud defineres PII som en persons fornavn eller for-og efternavn i kombination med et eller flere af følgende dataelementer:

  • CPR-nummer
  • statsudstedt kørekortnummer
  • Statsudstedt identifikationskortnummer
  • finansielt kontonummer i kombination med en sikkerhedskode, adgangskode eller adgangskode, der giver adgang til kontoen
  • medicinske og/eller sundhedsforsikringsoplysninger
beskyttede sundhedsoplysninger (“PHI”)
PHI er defineret som “individuelt identificerbare sundhedsoplysninger” transmitteret af elektroniske medier, vedligeholdt i elektroniske medier eller transmitteret eller vedligeholdt i enhver anden form eller medium af en omfattet komponent, som defineret i Carnegie Mellons HIPAA-politik. PHI betragtes som individuelt identificerbar, hvis den indeholder en eller flere af følgende identifikatorer:

  • navn
  • Adresse (alle geografiske underopdelinger mindre end staten inklusive gadenavn, by, amt, distrikt eller postnummer)
  • alle elementer af datoer (undtagen år) relateret til en person inklusive fødselsdato, optagelsesdato, udskrivningsdato, dødsdato og nøjagtig alder, hvis de er over 89)
  • telefonnumre
  • cpr-numre
  • elektroniske postadresser
  • CPR-numre
  • medicinske journalnumre
  • sundhedsplanmodtagernumre
  • kontonumre
  • certifikat/Licens numre
  • Køretøjsidentifikatorer og serienumre, herunder nummerpladenummer
  • enhedsidentifikatorer og serienumre
  • Universal Resource Locators (URL ‘ er)
  • internetprotokol (IP) adresser
  • biometriske identifikatorer, herunder finger-og stemmetryk
  • fotografiske billeder med fuld ansigt og eventuelle sammenlignelige billeder
  • ethvert andet unikt identifikationsnummer, karakteristik eller kode, der kunne identificere en person

per Carnegie Mellons HIPAA-politik inkluderer Phi ikke Uddannelsesoptegnelser eller Behandlingsoptegnelser omfattet af Family Educational Rights and Privacy Act eller ansættelsesjournaler, som universitetet har i sin rolle som arbejdsgiver.

kontrolleret Teknisk Information (“CTI”)
kontrolleret Teknisk Information betyder “teknisk information med militær-eller rumapplikation, der er underlagt kontrol af adgang, brug, reproduktion, ændring, ydeevne, visning, frigivelse, videregivelse eller formidling” i henhold til DFARS 252.204-7012.
kun til officiel brug (“FOUO”)
dokumenter og data, der er mærket eller kun markeret til officiel brug, er en forudmarkør for kontrolleret uklassificeret Information (cui) som defineret af National Archives (NARA)
personoplysninger fra Den Europæiske Union (EU)

EU ‘ s generelle databeskyttelsesforordning (GDPR) definerer personoplysninger som enhver information, der direkte eller indirekte kan identificere en fysisk person ved henvisning til en identifikator, herunder

  • navn
  • et identifikationsnummer
  • placeringsdata
  • en online identifikator
  • en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet

alle personoplysninger, der indsamles fra enkeltpersoner i Det Europæiske Økonomiske Samarbejdsområde (EØS), er underlagt GDPR. For spørgsmål, send e-mail til [email protected].

Revision Historie

Version udgivet forfatter beskrivelse
0.1 07/02/2008 Doug Markevitj oprindelige udkast
0.2 09/25/2008 Doug Markiserer erstattede Kategoriseringsafsnittet med dataindsamlinger og tilføjede sektioner om omklassificering og beregning af klassifikationer.
0.3 10/20/2008 omskrev afsnit om beregning klassifikationer på grund af fejl i oprindelige system. Opdateret formål, gælder for og definitioner.
0.4 11/04/2008 fjernet ligning, lavede en mindre opdatering til definitionen af offentlige Data og opdaterede yderligere oplysninger. Sorteret bilag A, så udtryk vises i alfabetisk rækkefølge og tilføjet dækkede finansielle oplysninger som et udtryk.
0.5 02/20/2009 tilføjede en manglende kugle til den sidste identifikator, der er anført i bilag A Definition G. selve definitionen blev ikke ændret.
0.6 02/26/2009 forskellige opdateringer baseret på Feedback. Større ændringer inkluderer tilføjelse af ‘Dataforvalter’ til definitionerne, tilføjelse af henvisninger til Informationssikkerhedsroller & ansvar og tilføjelse af føderale skatteoplysninger til bilag A.
0.7 03/18/2009 Doug Markevic opdateret definition af PHI i bilag A til henvisning til HIPAA informationssikkerhedspolitik. Tilføjet Autentificeringsverifikator til bilag A.
0.8 09/17/2009 Doug Markie opdateret anvendt til for sammenhæng med relaterede publikationer. Fjernet Uddannelsesoptegnelser fra bilag A i henhold til anbefaling fra General Counsel. Opdateret personligt identificerbare Uddannelsesoptegnelser i bilag A for at henvise til politikken om studerendes privatlivsrettigheder.
0.9 01/22/2010 Doug Markie opdateret bilag A til at omfatte eksport kontrollerede materialer.
1.0 09/15/2011 opdateret definition af beskyttede sundhedsoplysninger for at tilpasse sig den nye HIPAA-politik. Fjernet udkast betegnelse.
1.1 04/07/2015 Laura Raderman

opdateret bilag A til at omfatte kontrolleret Teknisk Information.

1.2 03/20/2018 Laura Raderman

opdateret bilag A til at omfatte FOUO og CUI.

1.3 05/23/2018 Mary Ann Blair

opdateret bilag A til at omfatte personoplysninger fra Den Europæiske Union

Status: udgivet
udgivet: 07/02/2008
Sidst revideret: 05/23/2018
sidst opdateret: 05/23/2018

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.

Previous post Hvordan Amish Lever Uforsikrede, Men Forbliver Sunde
Next post Andre Karmann Ghia: typen 34