Informationssäkerhetskontor

syfte

syftet med denna riktlinje är att upprätta en ram för klassificering av institutionella data baserat på dess känslighet, värde och kritik för universitetet enligt universitetets informationssäkerhetspolicy. Klassificering av uppgifter kommer att bidra till att fastställa grundläggande säkerhetskontroller för skydd av uppgifter.

gäller

denna Policy gäller för alla fakultets -, Personal-och Tredjepartsagenter vid universitetet samt alla andra Universitetsförbund som har behörighet att få tillgång till institutionella Data. I synnerhet gäller denna riktlinje för dem som är ansvariga för att klassificera och skydda institutionella uppgifter, enligt definitionen i Informationssäkerhetsroller och ansvarsområden.

definitioner

konfidentiella Data är en generaliserad term som vanligtvis representerar data klassificerade som begränsade, enligt dataklassificeringsschemat som definieras i denna riktlinje. Denna term används ofta omväxlande med känsliga data.

en data Steward är en senior-nivå anställd vid universitetet som övervakar livscykeln för en eller flera uppsättningar av institutionella Data. Se Informationssäkerhetsroller och ansvar för mer information.

institutionell Data definieras som all data som ägs eller licensieras av universitetet.

icke-offentlig Information definieras som all information som klassificeras som privat eller begränsad Information enligt det dataklassificeringsschema som definieras i denna riktlinje.

känsliga Data är en generaliserad term som vanligtvis representerar data klassificerade som begränsade, enligt dataklassificeringsschemat som definieras i denna riktlinje. Denna term används ofta omväxlande med konfidentiella uppgifter.

Dataklassificering

dataklassificering, i samband med informationssäkerhet, är klassificeringen av data baserat på dess känslighetsnivå och påverkan på universitetet om uppgifterna avslöjas, ändras eller förstörs utan tillstånd. Klassificeringen av data hjälper till att avgöra vilka grundläggande säkerhetskontroller som är lämpliga för att skydda dessa data. Alla institutionella data ska klassificeras i en av tre känslighetsnivåer eller klassificeringar:

klassificering Definition
begränsad Data bör klassificeras som begränsade när obehörigt röjande, ändring eller förstörelse av dessa data kan orsaka en betydande risknivå för universitetet eller dess dotterbolag. Exempel på begränsade data inkluderar data som skyddas av statliga eller federala sekretessregler och data som skyddas av sekretessavtal. Den högsta nivån av säkerhetskontroller bör tillämpas på begränsade data.
privat Data ska klassificeras som privata När obehörigt röjande, ändring eller förstörelse av dessa data kan leda till en måttlig risknivå för universitetet eller dess dotterbolag. Som standard ska alla institutionella uppgifter som inte uttryckligen klassificeras som begränsade eller offentliga uppgifter behandlas som privata uppgifter. En rimlig nivå av säkerhetskontroller bör tillämpas på privata uppgifter.
Public Data ska klassificeras som offentliga när obehörigt röjande, ändring eller förstörelse av dessa data skulle leda till liten eller ingen risk för universitetet och dess dotterbolag. Exempel på offentliga uppgifter är pressmeddelanden, kursinformation och forskningspublikationer. Medan små eller inga kontroller krävs för att skydda sekretessen för offentliga uppgifter, krävs en viss kontrollnivå för att förhindra obehörig modifiering eller förstörelse av offentliga uppgifter.

klassificering av data bör utföras av en lämplig Dataförvaltare. Dataförvaltare är högskolans anställda som övervakar livscykeln för en eller flera uppsättningar institutionella Data. Se Informationssäkerhetsroller och ansvar för mer information om Data Steward-rollen och tillhörande ansvarsområden.

datainsamlingar

Dataförvaltare kan vilja tilldela en enda klassificering till en insamling av data som är vanligt i syfte eller funktion. Vid klassificering av en insamling av data bör den mest restriktiva klassificeringen av något av de enskilda dataelementen användas. Till exempel, om en datainsamling består av en studerandes namn, adress och personnummer, bör datainsamlingen klassificeras som begränsad även om studentens namn och adress kan betraktas som offentlig information.

omklassificering

regelbundet är det viktigt att omvärdera klassificeringen av institutionella Data för att säkerställa att den tilldelade klassificeringen fortfarande är lämplig baserat på förändringar i juridiska och avtalsförpliktelser samt förändringar i användningen av uppgifterna eller dess värde för universitetet. Denna utvärdering bör utföras av lämplig Dataförvaltare. Det uppmuntras att göra en utvärdering på årsbasis, men Dataförvaltaren bör fastställa vilken frekvens som är lämpligast baserat på tillgängliga resurser. Om en Dataförvaltare fastställer att klassificeringen av en viss datamängd har ändrats, bör en analys av säkerhetskontroller utföras för att avgöra om befintliga kontroller överensstämmer med den nya klassificeringen. Om luckor upptäcks i befintliga säkerhetskontroller bör de korrigeras i tid, i proportion till den risknivå som luckorna utgör.

beräkning av klassificering

målet med informationssäkerhet, som anges i universitetets informationssäkerhetspolicy, är att skydda sekretess, integritet och tillgänglighet för institutionella Data. Dataklassificering återspeglar graden av påverkan på universitetet om sekretess, integritet eller tillgänglighet äventyras.

tyvärr finns det inget perfekt kvantitativt system för beräkning av klassificeringen av ett visst dataelement. I vissa situationer kan lämplig klassificering vara mer uppenbar, till exempel när federala lagar kräver att universitetet skyddar vissa typer av data (t.ex. personligt identifierbar information). Om lämplig klassificering inte i sig är uppenbar, överväga varje säkerhetsmål med hjälp av följande tabell som en guide. Det är ett utdrag från Federal Information Processing Standards (FIPS) publikation 199 publicerad av National Institute of Standards and Technology, som diskuterar kategorisering av informations-och informationssystem.

potentiell påverkan
säkerhetsmål låg måttlig hög
Sekretess
bevara auktoriserade begränsningar för tillgång till och utlämnande av information, inklusive medel för att skydda personlig integritet och patentskyddad information.
obehörigt utlämnande av information kan förväntas ha en begränsad negativ effekt på organisationsverksamhet, organisatoriska tillgångar eller individer. obehörigt utlämnande av information kan förväntas ha en allvarlig negativ inverkan på organisationsverksamhet, organisatoriska tillgångar eller individer. obehörigt utlämnande av information kan förväntas ha en allvarlig eller katastrofal negativ effekt på organisatoriska operationer, organisatoriska tillgångar eller individer.
integritet
skyddar mot felaktig informationsmodifiering eller förstörelse, och inkluderar att säkerställa att information inte avvisas och äkthet.
obehörig modifiering eller förstörelse av information kan förväntas ha en begränsad negativ effekt på organisatorisk verksamhet, organisatoriska tillgångar eller individer. obehörig modifiering eller förstörelse av information kan förväntas ha en allvarlig negativ inverkan på organisatorisk verksamhet, organisatoriska tillgångar eller individer. obehörig modifiering eller förstörelse av information kan förväntas ha en allvarlig eller katastrofal negativ effekt på organisatoriska operationer, organisatoriska tillgångar eller individer.
tillgänglighet
säkerställa snabb och tillförlitlig tillgång till och användning av information.
störningen av tillgång till eller användning av information eller ett informationssystem kan förväntas ha en begränsad negativ effekt på organisatorisk verksamhet, organisatoriska tillgångar eller individer. störningen av tillgång till eller användning av information eller ett informationssystem kan förväntas ha en allvarlig negativ inverkan på organisatorisk verksamhet, organisatoriska tillgångar eller individer. störningen av tillgång till eller användning av information eller ett informationssystem kan förväntas ha en allvarlig eller katastrofal negativ effekt på organisatoriska operationer, organisatoriska tillgångar eller individer.

eftersom den totala potentiella effekten på universitetet ökar från låg till hög, bör klassificeringen av data bli mer restriktiv från Offentlig till begränsad. Om en lämplig klassificering fortfarande är oklar efter att ha övervägt dessa punkter, kontakta Informationssäkerhetsbyrån för hjälp.

Bilaga A – fördefinierade typer av begränsad Information

Informationssäkerhetskontoret och Office of General Counsel har definierat flera typer av begränsade data baserat på statliga och federala myndighetskrav. De definieras enligt följande:

Autentiseringsverifierare
en Autentiseringsverifierare är en information som hålls i förtroende av en individ och används för att bevisa att personen är den de säger att de är. I vissa fall kan en Autentiseringsverifierare delas mellan en liten grupp individer. En Autentiseringsverifierare kan också användas för att bevisa identiteten på ett system eller en tjänst. Exempel inkluderar, men är inte begränsade till:

  • lösenord
  • delade hemligheter
  • kryptografiska privata nycklar
finansiell information som omfattas
se universitetets Gramm-Leach-Bliley informationssäkerhetsprogram.
elektronisk skyddad hälsoinformation (”EPHI”)
EPHI definieras som all skyddad hälsoinformation (”PHI”) som lagras i eller överförs av elektroniska medier. I denna definition omfattar elektroniska medier:

  • elektroniska lagringsmedier inkluderar datorhårddiskar och alla flyttbara och/eller transportabla digitala minnesmedier, såsom magnetband eller disk, optisk disk eller digitalt minneskort.
  • Överföringsmedier som används för att utbyta information redan i elektroniska lagringsmedier. Överföringsmedier inkluderar till exempel Internet, ett extranät (med hjälp av internetteknik för att länka ett företag med information som endast är tillgänglig för samarbetande parter), hyrda linjer, uppringda linjer, privata nätverk och fysisk rörelse av flyttbara och/eller transportabla elektroniska lagringsmedier. Vissa överföringar, inklusive av papper, via fax och röst, via telefon, anses inte vara överföringar via elektroniska medier eftersom den information som utbyts inte fanns i elektronisk form före överföringen.
Exportkontrollerade Material

Exportkontrollerade Material definieras som all information eller material som omfattas av USA: s exportkontrollbestämmelser, inklusive, men inte begränsat till, Export Administration Regulations (EAR) som publiceras av USA. Department of Commerce och International Traffic in Arms Regulations (Itar) publicerad av USA: s utrikesdepartement. Se Office of Research Integrity and Compliance vanliga frågor om exportkontroll för mer information.

Federal skatteinformation (”FTI”)
FTI definieras som eventuell retur -, returinformation eller skattebetalarens returinformation som anförtros universitetet av Internal Revenue Services. Se Internal Revenue Service publikation 1075 utställning 2 för mer information.
betalkortsinformation

betalkortsinformation definieras som ett kreditkortsnummer (även kallat ett primärt kontonummer eller PAN) i kombination med ett eller flera av följande dataelement:

  • kortinnehavarens namn
  • servicekod
  • utgångsdatum
  • CVC2, CVV2 eller CID värde
  • PIN eller PIN block
  • innehållet i ett kreditkorts magnetremsa

betalkortsinformation regleras också av universitetets PCI DSS-policy och riktlinjer (inloggning krävs).

personligt identifierbara Utbildningsregister
personligt identifierbara Utbildningsregister definieras som alla Utbildningsregister som innehåller en eller flera av följande personliga identifierare:

  • namn på studenten
  • namn på studentens förälder eller annan familjemedlem(er)
  • personnummer
  • studentnummer
  • en lista över personliga egenskaper som skulle göra studentens identitet lätt spårbar
  • all annan information eller identifierare som skulle göra det möjligt för eleven att studentens identitet lätt spårbar

se Carnegie Mellons policy för studenters integritetsrättigheter för mer information om vad som utgör en utbildningsrekord.

personligt identifierbar Information
för att uppfylla kraven på säkerhetsöverträdelser definieras PII som en persons förnamn eller första initial – och efternamn i kombination med ett eller flera av följande dataelement:

  • personnummer
  • statligt utfärdat körkortsnummer
  • statligt utfärdat ID – kortnummer
  • finansiellt kontonummer i kombination med en säkerhetskod, åtkomstkod eller lösenord som skulle tillåta åtkomst till kontot
  • Medicinsk och/eller sjukförsäkringsinformation
skyddad hälsoinformation (”PHI”)
PHI definieras som ”individuellt identifierbar hälsoinformation” som överförs av elektroniska medier, underhålls i elektroniska medier eller överförs eller underhålls i någon annan form eller medium av en täckt komponent, enligt definitionen i Carnegie Mellons HIPAA-Policy. PHI anses vara individuellt identifierbar om den innehåller en eller flera av följande identifierare:

  • namn
  • Adress (alla geografiska underavdelningar mindre än staten inklusive gatuadress, stad, län, distrikt eller postnummer)
  • alla delar av datum (utom år) relaterade till en individ inklusive födelsedatum, antagningsdatum, urladdningsdatum, dödsdatum och exakt ålder om över 89)
  • telefonnummer
  • faxnummer
  • e-postadresser
  • personnummer
  • journalnummer
  • hälsoplanens mottagarnummer
  • kontonummer
  • certifikat/licens nummer
  • fordonsidentifierare och serienummer, inklusive registreringsnummer
  • enhetsidentifierare och serienummer
  • Universal Resource Locators (URL: er)
  • Internet protocol (IP) adresser
  • biometriska identifierare, inklusive finger-och röstavtryck
  • full face fotografiska bilder och alla jämförbara bilder
  • alla andra unika identifieringsnummer, kännetecken eller kod som kan identifiera en individ

per Carnegie Mellons HIPAA-policy inkluderar Phi inte Utbildningsregister eller Behandlingsregister som omfattas av lagen om familje Utbildningsrättigheter och integritet eller anställningsregister som innehas av universitetet i sin roll som arbetsgivare.

kontrollerad teknisk Information (”CTI”)
kontrollerad teknisk Information betyder ”teknisk information med militär eller rymdapplikation som är föremål för kontroller av åtkomst, användning, reproduktion, modifiering, prestanda, visning, frisättning, avslöjande eller spridning” per DFARS 252.204-7012.
endast för officiellt bruk (”FOUO”)
dokument och data märkta eller markerade endast för officiellt bruk är en förmarkör för kontrollerad oklassificerad Information (CUI) enligt definitionen i National Archives (NARA)
personuppgifter från Europeiska unionen (EU)

EU: s allmänna dataskyddsförordning (GDPR) definierar personuppgifter som all information som kan identifiera en fysisk person, direkt eller indirekt, med hänvisning till en identifierare inklusive

  • namn
  • ett identifikationsnummer
  • platsdata
  • en online-identifierare
  • en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identitet

alla personuppgifter som samlas in från individer i Europeiska ekonomiska samarbetsområdet (EES) är föremål för GDPR. För frågor, skicka e-post till [email protected].

Revisionshistorik

Version publicerad författare beskrivning
0.1 07/02/2008 Doug Markiewicz ursprungliga utkast
0.2 09/25/2008 Doug Markiewicz ersatt kategorisering avsnitt med datainsamlingar och lagt avsnitt om omklassificering och beräkning klassificeringar.
0.3 10/20/2008 Doug Markiewicz skrev om avsnittet om beräkning av klassificeringar på grund av brister i det ursprungliga systemet. Uppdaterad syfte, gäller och definitioner.
0.4 11/04/2008 Doug Markiewicz borttagen ekvation, gjorde en mindre uppdatering av definitionen av offentliga Data och uppdaterade ytterligare Information. Sorterade Bilaga A så att termer visas i alfabetisk ordning och lagt omfattas finansiell Information som en term.
0.5 02/20/2009 Doug Markiewicz lade till en saknad punkt till den sista identifieraren som anges i bilaga A Definition G. själva definitionen ändrades inte.
0.6 02/26/2009 Doug Markiewicz olika uppdateringar baserade på Feedback. Stora förändringar inkluderar att lägga till ’Data Steward’ till definitionerna, lägga till referenser till Informationssäkerhetsroller & ansvar och lägga till Federal skatteinformation i bilaga A.
0.7 03/18/2009 Doug Markiewicz uppdaterad definition av PHI i bilaga A för att referera till HIPAA informationssäkerhetspolicy. Tillagd Autentiseringsverifierare till bilaga A.
0.8 09/17/2009 Doug Markiewicz uppdaterad tillämpas för överensstämmelse med relaterade publikationer. Bort Utbildning poster från bilaga A enligt rekommendation av General Counsel. Uppdaterade personligt identifierbara Utbildningsposter i bilaga A för att referera till policyn om studenters integritetsrättigheter.
0.9 01/22/2010 Doug Markiewicz uppdaterad Bilaga A för att inkludera Exportkontrollerade Material.
1.0 09/15/2011 Doug Markiewicz uppdaterad definition av skyddad hälsoinformation för att anpassa sig till den nya HIPAA-policyn. Bort utkast beteckning.
1.1 04/07/2015 Laura Raderman

uppdaterad Bilaga A för att inkludera kontrollerad teknisk Information.

1.2 03/20/2018 Laura Raderman

uppdaterad Bilaga A för att inkludera Fooo och CUI.

1.3 05/23/2018 Mary Ann Blair

uppdaterad Bilaga A för att inkludera personuppgifter från Europeiska unionen

Status: publicerad
publicerad: 07/02/2008
senast recenserad: 05/23/2018
Senast uppdaterad: 05/23/2018

Lämna ett svar

Din e-postadress kommer inte publiceras.

Previous post Hur Amish Lever Oförsäkrade Men Håll Dig Frisk
Next post Volkswagens andra Karmann Ghia: typen 34