Formål
Formålet med Denne Retningslinjen er å etablere et rammeverk for klassifisering av institusjonelle data basert på nivået av følsomhet, verdi og kritikk Til Universitetet som kreves Av Universitetets Informasjonssikkerhetspolitikk. Klassifisering av data vil bidra til å bestemme baseline sikkerhetskontroller for beskyttelse av data.
Gjelder
Denne Policyen gjelder for alle fakultet, ansatte og tredjepartsagenter Ved Universitetet, samt alle Andre Universitetsagenter som er autorisert til å få tilgang Til Institusjonelle Data. Spesielt gjelder Denne Retningslinjen for de som er ansvarlige for å klassifisere Og beskytte Institusjonelle Data, som definert Av Informasjonssikkerhetsrollene og-Ansvaret.
Definisjoner
Konfidensielle Data Er Et generalisert begrep som vanligvis representerer data klassifisert som Begrenset, i henhold til dataklassifiseringsordningen definert i Denne Retningslinjen. Dette begrepet brukes ofte om hverandre med sensitive data.
En Data Steward er en senior-nivå ansatt Ved Universitetet som overvåker livssyklusen til ett eller flere sett Med Institusjonelle Data. Se Roller Og Ansvar For Informasjonssikkerhet for mer informasjon.
Institusjonelle Data er definert som alle data som eies eller lisensieres Av Universitetet.
Ikke-offentlig Informasjon er definert som enhver informasjon som er klassifisert Som Privat Eller Begrenset Informasjon i henhold til dataklassifiseringsordningen definert i Denne Retningslinjen.
Sensitive Data Er et generalisert begrep som vanligvis representerer data klassifisert som Begrenset, i henhold til dataklassifiseringsordningen definert i Denne Retningslinjen. Dette begrepet brukes ofte utveksling med konfidensielle data.
Dataklassifisering
dataklassifisering, i sammenheng med informasjonssikkerhet, er klassifisering av data basert på sensitivitetsnivået og virkningen For Universitetet dersom dataene blir avslørt, endret eller ødelagt uten tillatelse. Klassifiseringen av data bidrar til å bestemme hvilke baseline sikkerhetskontroller som passer for å beskytte dataene. Alle institusjonelle data skal klassifiseres i ett av tre følsomhetsnivåer, eller klassifikasjoner:
Klassifisering | Definisjon |
Begrenset | Data skal klassifiseres Som Begrenset når uautorisert avsløring, endring eller ødeleggelse av disse dataene kan føre til et betydelig risikonivå for Universitetet eller dets tilknyttede selskaper. Eksempler på Begrensede data inkluderer data som er beskyttet av statlige eller føderale personvernregler og data som er beskyttet av konfidensialitetsavtaler. Det høyeste nivået av sikkerhetskontroller bør brukes På Begrensede data. |
Privat | Data skal klassifiseres Som Privat når uautorisert avsløring, endring eller ødeleggelse av disse dataene kan føre til et moderat risikonivå for Universitetet eller dets tilknyttede selskaper. Som standard Skal Alle Institusjonelle Data som ikke eksplisitt klassifiseres Som Begrensede eller Offentlige data, behandles Som Private data. Et rimelig nivå av sikkerhetskontroller bør brukes På Private data. |
Offentlig | Data skal klassifiseres Som Offentlig når uautorisert avsløring, endring eller ødeleggelse av disse dataene vil resultere i liten eller ingen risiko For Universitetet og dets tilknyttede selskaper. Eksempler på Offentlige data inkluderer pressemeldinger, kursinformasjon og forskningspublikasjoner. Selv om det kreves lite eller ingen kontroller for å beskytte konfidensialiteten Til Offentlige data, er det nødvendig med en viss grad av kontroll for å forhindre uautorisert endring eller ødeleggelse av Offentlige data. |
Klassifisering av data skal utføres av en passende Dataforvalter. Data Forvaltere er senior-nivå ansatte Ved Universitetet som overvåker livssyklusen til ett eller flere sett Med Institusjonelle Data. Se Roller Og Ansvar For Informasjonssikkerhet for mer informasjon om Rollen Som Dataforvalter og tilknyttede ansvarsområder.
Datainnsamlinger
Dataforvaltere kan ønske å tildele en enkelt klassifisering til en samling av data som er felles i formål eller funksjon. Ved klassifisering av en innsamling av data, bør den mest restriktive klassifiseringen av noen av de enkelte dataelementene brukes. For eksempel, hvis en datainnsamling består av en students navn, adresse og personnummer, bør datainnsamlingen klassifiseres Som Begrenset selv om studentens navn og adresse kan betraktes Som Offentlig informasjon.
Omklassifisering
det er regelmessig viktig å revurdere klassifiseringen Av Institusjonsdata for å sikre at den tildelte klassifiseringen fortsatt er hensiktsmessig basert på endringer i juridiske og kontraktsmessige forpliktelser, samt endringer i bruken av dataene eller verdien Til Universitetet. Denne evalueringen skal utføres av den aktuelle Dataforvalteren. Det oppfordres til å gjennomføre en årlig evaluering, Men Dataforvalteren bør bestemme hvilken frekvens som er mest hensiktsmessig basert på tilgjengelige ressurser. Hvis En Dataforvalter bestemmer at klassifiseringen av et bestemt datasett er endret, bør det utføres en analyse av sikkerhetskontroller for å avgjøre om eksisterende kontroller er i samsvar med den nye klassifiseringen. Hvis det oppdages hull i eksisterende sikkerhetskontroller, bør de korrigeres i tide, i samsvar med risikonivået som presenteres av hullene.
Beregning Av Klassifisering
målet med informasjonssikkerhet, som angitt I Universitetets Informasjonssikkerhetspolitikk, er å beskytte konfidensialitet, integritet og tilgjengelighet Av Institusjonelle Data. Dataklassifisering gjenspeiler graden Av innvirkning På Universitetet hvis konfidensialitet, integritet eller tilgjengelighet er kompromittert.
Dessverre er Det Ikke noe perfekt kvantitativt system for beregning av klassifisering av et bestemt dataelement. I noen situasjoner kan den riktige klassifiseringen være mer åpenbar, for eksempel når føderale lover krever At Universitetet beskytter visse typer data(f. eks. personlig identifiserbar informasjon). Hvis den riktige klassifiseringen ikke er iboende åpenbar, bør du vurdere hvert sikkerhetsmål ved å bruke følgende tabell som en veiledning. Det Er et utdrag Fra Federal Information Processing Standards (FIPS) publikasjon 199 utgitt Av National Institute Of Standards and Technology, som diskuterer kategorisering av informasjon og informasjonssystemer.
POTENSIELL INNVIRKNING | |||
Sikkerhetsmål | LAV | MODERAT | HØY |
Konfidensialitet Bevare autoriserte restriksjoner på informasjonstilgang og avsløring, inkludert midler for å beskytte personlig personvern og proprietær informasjon. |
uautorisert avsløring av informasjon kan forventes å ha en begrenset negativ effekt på organisatoriske operasjoner, organisatoriske eiendeler eller enkeltpersoner. | uautorisert avsløring av informasjon kan forventes å ha en alvorlig negativ effekt på organisatoriske operasjoner, organisatoriske eiendeler eller enkeltpersoner. | uautorisert avsløring av informasjon kan forventes å ha en alvorlig eller katastrofal negativ effekt på organisatoriske operasjoner, organisatoriske eiendeler eller enkeltpersoner. |
Integritet Vokter mot uriktig informasjon endring eller ødeleggelse, og inkluderer å sikre informasjon ikke-fornektelse og autentisitet. |
uautorisert endring eller ødeleggelse av informasjon kan forventes å ha en begrenset negativ effekt på organisatoriske operasjoner, organisatoriske eiendeler eller enkeltpersoner. | uautorisert endring eller ødeleggelse av informasjon kan forventes å ha en alvorlig negativ effekt på organisatoriske operasjoner, organisatoriske eiendeler eller enkeltpersoner. | uautorisert endring eller ødeleggelse av informasjon kan forventes å ha en alvorlig eller katastrofal negativ effekt på organisatoriske operasjoner, organisatoriske eiendeler eller enkeltpersoner. |
Tilgjengelighet Sikre rettidig og pålitelig tilgang til og bruk av informasjon. |
forstyrrelsen av tilgang til eller bruk av informasjon eller et informasjonssystem kan forventes å ha en begrenset negativ effekt på organisatoriske operasjoner, organisatoriske eiendeler eller enkeltpersoner. | forstyrrelsen av tilgang til eller bruk av informasjon eller et informasjonssystem kan forventes å ha en alvorlig negativ effekt på organisatoriske operasjoner, organisatoriske eiendeler eller enkeltpersoner. | forstyrrelsen av tilgang til eller bruk av informasjon eller et informasjonssystem kan forventes å ha en alvorlig eller katastrofal negativ effekt på organisatoriske operasjoner, organisatoriske eiendeler eller enkeltpersoner. |
Som den totale potensielle effekten Til Universitetet øker Fra Lav Til Høy, klassifisering av data bør bli mer restriktiv flytte Fra Offentlig Til Begrenset. Hvis en passende klassifisering fortsatt er uklar etter å ha vurdert disse punktene, ta kontakt Med Informasjonssikkerhetskontoret for å få hjelp.
Vedlegg A-Forhåndsdefinerte Typer Begrenset Informasjon
Informasjonssikkerhetskontoret og Kontoret For Generell Rådgivning har definert Flere typer Begrensede data basert på statlige og føderale regulatoriske krav. De er definert som følger:
Autentisering Verifier | |
En Autentiseringsbekreftelse er et stykke informasjon som holdes i tillit av en person og brukes til å bevise at personen er som de sier de er. I noen tilfeller kan En Autentiseringsverifikator deles mellom en liten gruppe individer. En Autentiseringsverifikator kan også brukes til å bevise identiteten til et system eller en tjeneste. Eksempler inkluderer, men er ikke begrenset til:
|
|
Dekket Finansiell Informasjon | |
Se Universitetets Gramm-Leach-Bliley Informasjonssikkerhetsprogram. | |
Elektronisk Beskyttet Helseinformasjon («EPHI») | |
EPHI er definert Som Enhver Beskyttet Helseinformasjon («PHI») som lagres i eller overføres av elektroniske medier. For denne definisjonen inkluderer elektroniske medier:
|
|
Eksportkontrollerte Materialer | |
Eksportkontrollerte Materialer er definert som all informasjon eller materiale som er underlagt usas eksportkontrollforskrifter, inkludert, Men ikke begrenset Til, Eksportadministrasjonsforskriften (EAR) utgitt AV USA. Department of Commerce og International Traffic In Arms Regulations (ITAR) utgitt av Det Amerikanske Utenriksdepartementet. Se Office Of Research Integrity and Compliance ‘ S VANLIGE SPØRSMÅL om Eksportkontroll for mer informasjon. |
|
Federal Tax Information («FTI») | |
FTI er definert som enhver retur, returinformasjon eller skattebetalers returinformasjon som er betrodd Universitetet av Internal Revenue Services. Se Internal Revenue Service Publikasjon 1075 Utstilling 2 for mer informasjon. | |
Betalingskortinformasjon | |
Betalingskortinformasjon er definert som et kredittkortnummer (også referert til som et primært kontonummer eller PAN) i kombinasjon med ett eller flere av følgende dataelementer:
betalingskortinformasjon er også underlagt universitetets pci dss policy Og Retningslinjer (innlogging kreves). |
|
Personlig Identifiserbare Utdanning Poster | |
Personlig Identifiserbare Utdanning Poster er definert Som Alle Utdanning Poster som inneholder ett eller flere av følgende personlige identifikatorer:
se carnegie mellons retningslinjer for studenters Personvernrettigheter for mer informasjon om hva som utgjør en utdanningshistorikk. |
|
Personlig Identifiserbar Informasjon | |
FOR å oppfylle krav til sikkerhetsbrudd, ER PII definert som en persons fornavn eller fornavn og etternavn i kombinasjon med ett eller flere av følgende dataelementer:
|
|
Beskyttet Helseinformasjon («PHI») | |
PHI er definert som «individuelt identifiserbar helseinformasjon» overført av elektroniske medier, opprettholdt i elektroniske medier eller overført eller vedlikeholdt i noen annen form eller medium av En Dekket Komponent, som definert i Carnegie Mellons HIPAA-Policy. PHI anses individuelt identifiserbar hvis den inneholder en eller flere av følgende identifikatorer:
i henhold til carnegie mellons hipaa-policy, inkluderer ikke phi utdanningsregistre Eller Behandlingsregistre Dekket Av The Family Educational Rights and Privacy Act eller sysselsetting poster holdt Av Universitetet i sin rolle som arbeidsgiver. |
|
Kontrollert Teknisk Informasjon («CTI») | |
Kontrollert Teknisk Informasjon betyr «teknisk informasjon med militær-eller romapplikasjon som er underlagt kontroller for tilgang, bruk, reproduksjon, modifikasjon, ytelse, visning, utgivelse, avsløring eller formidling» PER DFARS 252.204-7012. | |
Kun Til Offisiell Bruk («FOUO») | |
Dokumenter og data merket eller merket For Offentlig Bruk er en pre-markør Av Kontrollert Uklassifisert Informasjon (CUI) som definert Av National Archives (NARA) | |
Personopplysninger Fra Den Europeiske Union (EU)) | |
EUS Personvernforordning (GDPR) definerer personopplysninger som all informasjon som kan identifisere en fysisk person, direkte eller indirekte, ved henvisning til en identifikator, inkludert
alle personopplysninger som samles inn fra enkeltpersoner I Eøs-land er UNDERLAGT GDPR. For spørsmål, send e-post til [email protected]. |
Revisjonshistorikk
Versjon | Publisert | Forfatter | Beskrivelse |
0.1 | 07/02/2008 | Doug Markiewicz | Opprinnelig utkast |
0.2 | 09/25/2008 | Doug Markiewicz | Erstattet Kategoriseringsseksjonen med Datasamlinger og lagt til seksjoner om Omklassifisering og Beregning Av Klassifikasjoner. |
0.3 | 10/20/2008 | Doug Markiewicz | Omskrev seksjon Om Beregning Av Klassifikasjoner på grunn av feil i det opprinnelige systemet. Oppdatert Formål, Gjelder Og Definisjoner. |
0.4 | 11/04/2008 | Doug Markiewicz | Fjernet ligningen, gjorde en mindre oppdatering til definisjonen Av Offentlige Data og oppdatert Tilleggsinformasjon. Sortert Vedlegg A slik at vilkårene vises i alfabetisk rekkefølge og lagt Dekket Finansiell Informasjon som et begrep. |
0.5 | 02/20/2009 | Doug Markiewicz | La til en manglende punkt til den siste identifikatoren som er oppført I Vedlegg A Definisjon G. definisjonen i seg selv ble ikke endret. |
0.6 | 02/26/2009 | Doug Markiewicz | Ulike oppdateringer basert På Tilbakemelding. Store endringer inkluderer å legge Til Data Steward I Definisjonene, legge til referanser Til Informasjonssikkerhetsroller & Ansvar Og legge Til Føderal Skatteinformasjon I Tillegg A. |
0.7 | 03/18/2009 | Doug Markiewicz | Oppdatert definisjon AV PHI I Vedlegg A for Å referere TIL HIPAA Information Security Policy. Lagt Autentisering Verifier Til Vedlegg A. |
0.8 | 09/17/2009 | Doug Markiewicz | Oppdatert Brukt på for konsistens med relaterte publikasjoner. Fjernet Utdanning Poster Fra Vedlegg A per anbefaling Av General Counsel. Oppdatert Personlig Identifiserbare Utdanning Poster I Vedlegg A for å referere Politikken På Student Personvernrettigheter. |
0.9 | 01/22/2010 | Doug Markiewicz | Oppdatert Vedlegg A for Å inkludere Eksportkontrollerte Materialer. |
1.0 | 09/15/2011 | Doug Markiewicz | Oppdatert definisjon Av Beskyttet Helseinformasjon for å tilpasse SEG DEN nye HIPAA-Policyen. Fjernet UTKAST betegnelse. |
1.1 | 04/07/2015 | Laura Raderman |
Oppdatert Vedlegg A for Å inkludere Kontrollert Teknisk Informasjon. |
1.2 | 03/20/2018 | Laura Raderman |
Oppdatert Vedlegg A for å inkludere FOUO og CUI. |
1.3 | 05/23/2018 | Mary Ann Blair |
Oppdatert Vedlegg A for Å inkludere Personopplysninger Fra Eu |
Status: | Publisert |
Publisert: | 07/02/2008 |
Sist Anmeldt: | 05/23/2018 |
Sist Oppdatert: | 05/23/2018 |