Policies

Utica University creates, stores, 并维护对利记sbo和外部实体的绩效至关重要的数据. 大学社区的所有成员都有责任保护利记sbo的数据免受未经授权的数据生成, access, modification, disclosure, transmission, or destruction.

所有合资格的大学雇员均可获准为合法的大学目的而查阅院校资料. 内部访问授权, confidential, 敏感的机构数据必须由适当的部门提供, department, or school. 它必须附有请求者的主管和/或数据管理人员的确认或授权.

Where access to internal, confidential, 敏感的机构数据已被授权, 该等资料的使用须限于准许查阅该等资料的目的.

此策略适用于所有已创建的数据, collected, purchased, rented, stored, 或由利记sbo处理. 此政策适用于员工, students, retirees, alumni, volunteers, vendors, third parties, and all others who create, modify, transmit, 并存储利记sbo的数据, including, but not limited to, 学术合作伙伴和辅助人员.

必须保护机构数据不受未经授权的修改, destruction, or disclosure. 本政策的目的是概述大学社区内的角色和责任，以创建和维护保护数据免受个人威胁的环境, professional, 和机构利益，并根据适用法律建立全面的数据安全计划. This policy is also designed to document processes for ensuring the security of confidential information; develop administrative, technical, and physical safeguards to protect against unauthorized access or use of this information; provide guidelines and support for all Utica faculty, staff, students, alumni, auxiliary employees, temporary employees, third parties, volunteers, and entities that have been granted an approved set of access credentials; and establish the level of security that must be implemented to protect that data regardless of format (such as recorded, electronic, 纸张和其他物理格式)和形式(口语), text graphic, video).

Cloud: 外部存储，数据由第三方在线存储和托管. Examples include Box.com、Engage、Google Drive、Microsoft OneDrive等.
 

Data Manager:负责确定谁有权访问数据管理人员职能范围内的信息资产的人员.

Public可以或必须向公众公开的信息. 但须遵守披露规则, 所有个人都可以获得公共数据，无论他们是否与利记sbo有联系.

公共数据的例子包括:
 

Internal未被宣布为机密或限制性信息，但无意公开分享的信息. 未经创建数据的个人或组的许可，不得在大学社区外共享内部数据. 任何没有明确为公开发布而创建的信息都应被视为内部信息，除非另有更严格的分类.

内部数据的例子包括:
 

Confidential: 必须防止未经授权生成的信息, access, modification, disclosure, transmission, 或者是由于所有权造成的破坏, ethical, or privacy considerations. 这种分类还包括利记sbo需要保密的数据, either by law (e.g.(FERPA)或与第三方(如供应商)签订保密协议. 这些信息应受到保护，防止未经授权的披露或修改. 机密数据只应在商业目的需要时使用，并且在使用和存储或运输时都应受到保护. 在访问此数据时必须实现多因素身份验证.

机密资料的例子包括:
 

适用法律法规的例子包括:
 

Restricted Use高度机密的信息，可能包含研究, law enforcement, governmental, or other data. 只有那些直接参与这些过程的人才有机会获得这些信息.
 

多因素身份验证(MFA)是一种认证方法，需要用户提供两个或两个以上的验证因素才能访问资源.

Wipe/Sanitize:使物理设备(如硬盘驱动器)上的所有信息不可读的进程.

Access Credentials: any user name, identification number, password, license or security key, security token, PIN, or other security code, method, technology, or device used, alone or in combination, 验证个人的身份和访问和使用服务的授权.

Domain控制的领域或知识的范围.

University Owned Device:由利记sbo管理和维护的任何利记sbo设备或系统.
 

Users
用户应尊重他们访问的个人记录的保密性和隐私, 遵守适用于他们访问的信息的道德限制, 并遵守有关访问的适用法律和政策, using, or disclosing information.

Data Managers
数据管理人员决定谁有权访问数据管理人员职能范围内的信息资产. 数据管理人员可能决定单独审查和授权每个访问请求，或者定义一组规则，根据业务功能确定谁有资格访问, support role, etc. 访问权限的授予必须基于最小特权原则——只允许请求者访问他们完成工作所需的数据——以及职责分离. 这些规则必须简明扼要地记录下来. 数据管理人员还负责审查每年两次授予访问权限的人员，以确保准确性.

Divisions, departments, 学校必须确保所有关于收集和使用机构数据的决定都符合相关法律/法规和大学政策和程序. Divisions, departments, 学校必须确保采用适当的安全措施来保护机构数据.

数据管理人员负责监督对其域下机密信息的访问. The data manager:
 

Securing Data
利记sbo使用各种媒体和供应商来创建、修改、传输和存储数据. Utica大学的数据管理员根据要分类的信息类型确定适当的数据分类. Internal, confidential, 由于联邦政府的隐私保护规定，限制使用的数据可能会受到额外的限制, state, 或者当地的法规和法律. 分配给数据的分类级别将指导数据管理人员和其他可能收集数据的人员, process, or store data.

应该根据最安全的分类级别对聚合数据进行分类. 如任何文件被视为机密文件. 非机密数据应被认为是机密的，只应适当地共享.

Public Data: 公共数据必须从创建到销毁进行控制，并适用于利记sbo已批准向公众发布的信息. 访问通常是可用的，可能保存在未解锁的存储设备或公开的网站上. 当数据不再每天使用时，应将其归档或处理. 记录保存和销毁指南见 Records Retention policy.

Internal Data:内部数据从创建到销毁都必须受到控制, 只有受雇于利记sbo或隶属于利记sbo的人才能进入.

电子和硬拷贝必须按照 Records Retention policy and must be:
 

Confidential Data机密资料从产生到销毁都必须加以控制. 只有受雇于利记sbo或隶属于利记sbo的员工或法律允许的个人才有权访问机密数据. 电子和硬拷贝必须按照 Records Retention policy and must be
 

Restricted Use Data: 限制使用数据必须从创建到销毁进行控制. 只有那些与利记sbo有关联的人，他们需要这样的访问权限来执行他们的工作，或者法律允许的个人才能访问. 敏感数据必须满足机密数据的所有要求. Additionally, 它还可能需要额外的保护措施，例如与其他电子或硬拷贝资源分割，以防止未经授权的人在不需要知道的情况下进行访问.

Cloud: 利记sbo建议用户在使用不安全的云服务提供商存储信息时要谨慎. 在将数据存储在非利记sbo服务器上或与大学没有谈判合同的第三方之前, 用户考虑以下几点:
 

如果使用了云提供商或服务, 在使用提供商或服务之前，提供商合同和服务条款必须涉及数据安全程序. 由于许多普通用户云提供商没有解决这些问题, 用户应联络资讯保安主任，以完成资料保安评估.

负责基础设施的副总裁 & Chief Information Officer, 资讯保安主任, 负责法律事务的副总裁和总法律顾问将确定现有的保护措施和合同语言是否足以保护所考虑的信息.

机密或限制性使用数据都不能放在个人设备或云服务提供商上，以保护Utica大学的信息.

禁止通过未加密的电子邮件发送受隐私规则和条例(如上所述)保护的信息. 机密和敏感数据不得使用未加密的电子邮件发送. Likewise, 无论是机密数据还是敏感数据都不应存储在网络服务器上，否则可能会被谷歌或必应等公共搜索引擎无意中访问或编入索引. 联系信息安全官，他可以帮助确定特定用途的安全选项.

大学自有和个人设备安全
员工对其移动设备的物理安全负责。, 只要有可能，设备就应该放在管理者的身边. In accordance with the 数据泄露通知政策, 大学员工必须报告机构数据有被未经授权修改风险的情况, disclosure, 或向信息安全官提交销毁文件. 这包括存储在利记sbo拥有和不拥有的设备中的数据，以及任何格式的数据, 包括但不限于硬拷贝, desktop, laptop, file server, cloud, tablet, mobile device, USB drive, CD/DVD, etc.

如果包含Utica大学数据或用于访问Utica大学数据的大学拥有的设备或个人设备丢失或被盗, 使用者必须立即通知校园安全及综合资讯科技服务办公室. 防止数据丢失或被盗, 强烈建议用户使用密码, PINs, pattern locks, 或者在存储Utica信息的设备上安装指纹锁.

IITS管理大学拥有的设备. IITS已经实施并维护了远程擦除和锁定丢失或被盗的大学拥有的设备的功能. 建议只使用Utica大学设备完成所有与大学相关的任务，不要创建, download, 或者将利记sbo的数据转移到个人设备上. 在访问机密或限制性使用数据时，只能使用Utica大学设备，用户不得创建, download, 或将机密或限制性使用数据转移到个人设备上.

负责基础设施的副总裁 & 首席信息官和信息安全官全面负责评估数据安全风险，并协助用户减轻此类威胁.

法律事务副总裁和法律总顾问将与信息安全官合作，确定服务提供商是否有足够的保护措施来处理数据安全程序.

用户有责任保护其访问记录的个人的机密性和隐私, 遵守适用于他们访问的信息的道德限制, 并遵守有关访问的政策, using, or disclosing information.

数据管理人员负责确定谁有权访问数据管理人员职能领域内的信息资产，并审查谁每年被授予两次访问权限，以确保准确性.

Divisions, departments, 学校有责任确保所有关于收集和使用机构数据的决定遵循相关法律/法规以及大学的政策和程序. Divisions, departments, 学校也有责任确保适当的安全措施, 符合本政策的数据处理要求, 是否用于保护机构数据.

执行Utica大学的政策是每个政策的“资源/问题”部分列出的办公室或办公室的责任. 负责办公室将联系有关教职员工的适当当局, students, vendors, 或者违反政策的游客.

利记sbo承认，大学的政策可能无法预料到可能出现的每一个问题. 因此，大学保留就本政策的执行作出合理和相关决定的权利. 所有这些决定都必须得到大学官员的批准.e. President, 教务长兼学术事务高级副校长, 财务副总裁, 负责学生生活和招生管理的高级副总裁, 或法律事务副总裁兼总法律顾问).

欲了解更多信息，请联系信息安全官. 使用大学电脑资源亦须遵守 大学的学生行为准则, the University’s Academic Honesty policy，以及所有其他一般适用的大学政策，包括:

负责任地使用大学计算机资源政策
Computer Passwords Policy
数据泄露通知政策
脆弱性和风险评估政策
Records Retention Policy
Employee Code of Conduct

请注意，其他利记sbo的政策可能适用或与此政策相关. 如果需要查询相关策略，请使用在线策略手册中的“关键字查询”功能.