syfte
syftet med denna riktlinje är att upprätta en ram för klassificering av institutionella data baserat på dess känslighet, värde och kritik för universitetet enligt universitetets informationssäkerhetspolicy. Klassificering av uppgifter kommer att bidra till att fastställa grundläggande säkerhetskontroller för skydd av uppgifter.
gäller
denna Policy gäller för alla fakultets -, Personal-och Tredjepartsagenter vid universitetet samt alla andra Universitetsförbund som har behörighet att få tillgång till institutionella Data. I synnerhet gäller denna riktlinje för dem som är ansvariga för att klassificera och skydda institutionella uppgifter, enligt definitionen i Informationssäkerhetsroller och ansvarsområden.
definitioner
konfidentiella Data är en generaliserad term som vanligtvis representerar data klassificerade som begränsade, enligt dataklassificeringsschemat som definieras i denna riktlinje. Denna term används ofta omväxlande med känsliga data.
en data Steward är en senior-nivå anställd vid universitetet som övervakar livscykeln för en eller flera uppsättningar av institutionella Data. Se Informationssäkerhetsroller och ansvar för mer information.
institutionell Data definieras som all data som ägs eller licensieras av universitetet.
icke-offentlig Information definieras som all information som klassificeras som privat eller begränsad Information enligt det dataklassificeringsschema som definieras i denna riktlinje.
känsliga Data är en generaliserad term som vanligtvis representerar data klassificerade som begränsade, enligt dataklassificeringsschemat som definieras i denna riktlinje. Denna term används ofta omväxlande med konfidentiella uppgifter.
Dataklassificering
dataklassificering, i samband med informationssäkerhet, är klassificeringen av data baserat på dess känslighetsnivå och påverkan på universitetet om uppgifterna avslöjas, ändras eller förstörs utan tillstånd. Klassificeringen av data hjälper till att avgöra vilka grundläggande säkerhetskontroller som är lämpliga för att skydda dessa data. Alla institutionella data ska klassificeras i en av tre känslighetsnivåer eller klassificeringar:
klassificering | Definition |
begränsad | Data bör klassificeras som begränsade när obehörigt röjande, ändring eller förstörelse av dessa data kan orsaka en betydande risknivå för universitetet eller dess dotterbolag. Exempel på begränsade data inkluderar data som skyddas av statliga eller federala sekretessregler och data som skyddas av sekretessavtal. Den högsta nivån av säkerhetskontroller bör tillämpas på begränsade data. |
privat | Data ska klassificeras som privata När obehörigt röjande, ändring eller förstörelse av dessa data kan leda till en måttlig risknivå för universitetet eller dess dotterbolag. Som standard ska alla institutionella uppgifter som inte uttryckligen klassificeras som begränsade eller offentliga uppgifter behandlas som privata uppgifter. En rimlig nivå av säkerhetskontroller bör tillämpas på privata uppgifter. |
Public | Data ska klassificeras som offentliga när obehörigt röjande, ändring eller förstörelse av dessa data skulle leda till liten eller ingen risk för universitetet och dess dotterbolag. Exempel på offentliga uppgifter är pressmeddelanden, kursinformation och forskningspublikationer. Medan små eller inga kontroller krävs för att skydda sekretessen för offentliga uppgifter, krävs en viss kontrollnivå för att förhindra obehörig modifiering eller förstörelse av offentliga uppgifter. |
klassificering av data bör utföras av en lämplig Dataförvaltare. Dataförvaltare är högskolans anställda som övervakar livscykeln för en eller flera uppsättningar institutionella Data. Se Informationssäkerhetsroller och ansvar för mer information om Data Steward-rollen och tillhörande ansvarsområden.
datainsamlingar
Dataförvaltare kan vilja tilldela en enda klassificering till en insamling av data som är vanligt i syfte eller funktion. Vid klassificering av en insamling av data bör den mest restriktiva klassificeringen av något av de enskilda dataelementen användas. Till exempel, om en datainsamling består av en studerandes namn, adress och personnummer, bör datainsamlingen klassificeras som begränsad även om studentens namn och adress kan betraktas som offentlig information.
omklassificering
regelbundet är det viktigt att omvärdera klassificeringen av institutionella Data för att säkerställa att den tilldelade klassificeringen fortfarande är lämplig baserat på förändringar i juridiska och avtalsförpliktelser samt förändringar i användningen av uppgifterna eller dess värde för universitetet. Denna utvärdering bör utföras av lämplig Dataförvaltare. Det uppmuntras att göra en utvärdering på årsbasis, men Dataförvaltaren bör fastställa vilken frekvens som är lämpligast baserat på tillgängliga resurser. Om en Dataförvaltare fastställer att klassificeringen av en viss datamängd har ändrats, bör en analys av säkerhetskontroller utföras för att avgöra om befintliga kontroller överensstämmer med den nya klassificeringen. Om luckor upptäcks i befintliga säkerhetskontroller bör de korrigeras i tid, i proportion till den risknivå som luckorna utgör.
beräkning av klassificering
målet med informationssäkerhet, som anges i universitetets informationssäkerhetspolicy, är att skydda sekretess, integritet och tillgänglighet för institutionella Data. Dataklassificering återspeglar graden av påverkan på universitetet om sekretess, integritet eller tillgänglighet äventyras.
tyvärr finns det inget perfekt kvantitativt system för beräkning av klassificeringen av ett visst dataelement. I vissa situationer kan lämplig klassificering vara mer uppenbar, till exempel när federala lagar kräver att universitetet skyddar vissa typer av data (t.ex. personligt identifierbar information). Om lämplig klassificering inte i sig är uppenbar, överväga varje säkerhetsmål med hjälp av följande tabell som en guide. Det är ett utdrag från Federal Information Processing Standards (FIPS) publikation 199 publicerad av National Institute of Standards and Technology, som diskuterar kategorisering av informations-och informationssystem.
potentiell påverkan | |||
säkerhetsmål | låg | måttlig | hög |
Sekretess bevara auktoriserade begränsningar för tillgång till och utlämnande av information, inklusive medel för att skydda personlig integritet och patentskyddad information. |
obehörigt utlämnande av information kan förväntas ha en begränsad negativ effekt på organisationsverksamhet, organisatoriska tillgångar eller individer. | obehörigt utlämnande av information kan förväntas ha en allvarlig negativ inverkan på organisationsverksamhet, organisatoriska tillgångar eller individer. | obehörigt utlämnande av information kan förväntas ha en allvarlig eller katastrofal negativ effekt på organisatoriska operationer, organisatoriska tillgångar eller individer. |
integritet skyddar mot felaktig informationsmodifiering eller förstörelse, och inkluderar att säkerställa att information inte avvisas och äkthet. |
obehörig modifiering eller förstörelse av information kan förväntas ha en begränsad negativ effekt på organisatorisk verksamhet, organisatoriska tillgångar eller individer. | obehörig modifiering eller förstörelse av information kan förväntas ha en allvarlig negativ inverkan på organisatorisk verksamhet, organisatoriska tillgångar eller individer. | obehörig modifiering eller förstörelse av information kan förväntas ha en allvarlig eller katastrofal negativ effekt på organisatoriska operationer, organisatoriska tillgångar eller individer. |
tillgänglighet säkerställa snabb och tillförlitlig tillgång till och användning av information. |
störningen av tillgång till eller användning av information eller ett informationssystem kan förväntas ha en begränsad negativ effekt på organisatorisk verksamhet, organisatoriska tillgångar eller individer. | störningen av tillgång till eller användning av information eller ett informationssystem kan förväntas ha en allvarlig negativ inverkan på organisatorisk verksamhet, organisatoriska tillgångar eller individer. | störningen av tillgång till eller användning av information eller ett informationssystem kan förväntas ha en allvarlig eller katastrofal negativ effekt på organisatoriska operationer, organisatoriska tillgångar eller individer. |
eftersom den totala potentiella effekten på universitetet ökar från låg till hög, bör klassificeringen av data bli mer restriktiv från Offentlig till begränsad. Om en lämplig klassificering fortfarande är oklar efter att ha övervägt dessa punkter, kontakta Informationssäkerhetsbyrån för hjälp.
Bilaga A – fördefinierade typer av begränsad Information
Informationssäkerhetskontoret och Office of General Counsel har definierat flera typer av begränsade data baserat på statliga och federala myndighetskrav. De definieras enligt följande:
Autentiseringsverifierare | |
en Autentiseringsverifierare är en information som hålls i förtroende av en individ och används för att bevisa att personen är den de säger att de är. I vissa fall kan en Autentiseringsverifierare delas mellan en liten grupp individer. En Autentiseringsverifierare kan också användas för att bevisa identiteten på ett system eller en tjänst. Exempel inkluderar, men är inte begränsade till:
|
|
finansiell information som omfattas | |
se universitetets Gramm-Leach-Bliley informationssäkerhetsprogram. | |
elektronisk skyddad hälsoinformation (”EPHI”) | |
EPHI definieras som all skyddad hälsoinformation (”PHI”) som lagras i eller överförs av elektroniska medier. I denna definition omfattar elektroniska medier:
|
|
Exportkontrollerade Material | |
Exportkontrollerade Material definieras som all information eller material som omfattas av USA: s exportkontrollbestämmelser, inklusive, men inte begränsat till, Export Administration Regulations (EAR) som publiceras av USA. Department of Commerce och International Traffic in Arms Regulations (Itar) publicerad av USA: s utrikesdepartement. Se Office of Research Integrity and Compliance vanliga frågor om exportkontroll för mer information. |
|
Federal skatteinformation (”FTI”) | |
FTI definieras som eventuell retur -, returinformation eller skattebetalarens returinformation som anförtros universitetet av Internal Revenue Services. Se Internal Revenue Service publikation 1075 utställning 2 för mer information. | |
betalkortsinformation | |
betalkortsinformation definieras som ett kreditkortsnummer (även kallat ett primärt kontonummer eller PAN) i kombination med ett eller flera av följande dataelement:
betalkortsinformation regleras också av universitetets PCI DSS-policy och riktlinjer (inloggning krävs). |
|
personligt identifierbara Utbildningsregister | |
personligt identifierbara Utbildningsregister definieras som alla Utbildningsregister som innehåller en eller flera av följande personliga identifierare:
se Carnegie Mellons policy för studenters integritetsrättigheter för mer information om vad som utgör en utbildningsrekord. |
|
personligt identifierbar Information | |
för att uppfylla kraven på säkerhetsöverträdelser definieras PII som en persons förnamn eller första initial – och efternamn i kombination med ett eller flera av följande dataelement:
|
|
skyddad hälsoinformation (”PHI”) | |
PHI definieras som ”individuellt identifierbar hälsoinformation” som överförs av elektroniska medier, underhålls i elektroniska medier eller överförs eller underhålls i någon annan form eller medium av en täckt komponent, enligt definitionen i Carnegie Mellons HIPAA-Policy. PHI anses vara individuellt identifierbar om den innehåller en eller flera av följande identifierare:
per Carnegie Mellons HIPAA-policy inkluderar Phi inte Utbildningsregister eller Behandlingsregister som omfattas av lagen om familje Utbildningsrättigheter och integritet eller anställningsregister som innehas av universitetet i sin roll som arbetsgivare. |
|
kontrollerad teknisk Information (”CTI”) | |
kontrollerad teknisk Information betyder ”teknisk information med militär eller rymdapplikation som är föremål för kontroller av åtkomst, användning, reproduktion, modifiering, prestanda, visning, frisättning, avslöjande eller spridning” per DFARS 252.204-7012. | |
endast för officiellt bruk (”FOUO”) | |
dokument och data märkta eller markerade endast för officiellt bruk är en förmarkör för kontrollerad oklassificerad Information (CUI) enligt definitionen i National Archives (NARA) | |
personuppgifter från Europeiska unionen (EU) | |
EU: s allmänna dataskyddsförordning (GDPR) definierar personuppgifter som all information som kan identifiera en fysisk person, direkt eller indirekt, med hänvisning till en identifierare inklusive
alla personuppgifter som samlas in från individer i Europeiska ekonomiska samarbetsområdet (EES) är föremål för GDPR. För frågor, skicka e-post till [email protected]. |
Revisionshistorik
Version | publicerad | författare | beskrivning |
0.1 | 07/02/2008 | Doug Markiewicz | ursprungliga utkast |
0.2 | 09/25/2008 | Doug Markiewicz | ersatt kategorisering avsnitt med datainsamlingar och lagt avsnitt om omklassificering och beräkning klassificeringar. |
0.3 | 10/20/2008 | Doug Markiewicz | skrev om avsnittet om beräkning av klassificeringar på grund av brister i det ursprungliga systemet. Uppdaterad syfte, gäller och definitioner. |
0.4 | 11/04/2008 | Doug Markiewicz | borttagen ekvation, gjorde en mindre uppdatering av definitionen av offentliga Data och uppdaterade ytterligare Information. Sorterade Bilaga A så att termer visas i alfabetisk ordning och lagt omfattas finansiell Information som en term. |
0.5 | 02/20/2009 | Doug Markiewicz | lade till en saknad punkt till den sista identifieraren som anges i bilaga A Definition G. själva definitionen ändrades inte. |
0.6 | 02/26/2009 | Doug Markiewicz | olika uppdateringar baserade på Feedback. Stora förändringar inkluderar att lägga till ’Data Steward’ till definitionerna, lägga till referenser till Informationssäkerhetsroller & ansvar och lägga till Federal skatteinformation i bilaga A. |
0.7 | 03/18/2009 | Doug Markiewicz | uppdaterad definition av PHI i bilaga A för att referera till HIPAA informationssäkerhetspolicy. Tillagd Autentiseringsverifierare till bilaga A. |
0.8 | 09/17/2009 | Doug Markiewicz | uppdaterad tillämpas för överensstämmelse med relaterade publikationer. Bort Utbildning poster från bilaga A enligt rekommendation av General Counsel. Uppdaterade personligt identifierbara Utbildningsposter i bilaga A för att referera till policyn om studenters integritetsrättigheter. |
0.9 | 01/22/2010 | Doug Markiewicz | uppdaterad Bilaga A för att inkludera Exportkontrollerade Material. |
1.0 | 09/15/2011 | Doug Markiewicz | uppdaterad definition av skyddad hälsoinformation för att anpassa sig till den nya HIPAA-policyn. Bort utkast beteckning. |
1.1 | 04/07/2015 | Laura Raderman |
uppdaterad Bilaga A för att inkludera kontrollerad teknisk Information. |
1.2 | 03/20/2018 | Laura Raderman |
uppdaterad Bilaga A för att inkludera Fooo och CUI. |
1.3 | 05/23/2018 | Mary Ann Blair |
uppdaterad Bilaga A för att inkludera personuppgifter från Europeiska unionen |
Status: | publicerad |
publicerad: | 07/02/2008 |
senast recenserad: | 05/23/2018 |
Senast uppdaterad: | 05/23/2018 |