准则、标准和法律

机密信息, 教育记录和用户帐户受联邦和州法律法规管辖, 基社盟信息安全政策和总理的行政命令, 及大学指引, 标准和行政政策及程序.

资讯科技保安及合规部负责协调资讯保安指引的发展及传播, 大学的标准和程序. 请参阅下面的链接访问科罗拉多州立大学的政策和大学的指导方针,标准和程序.

机密信息

描述与示例

Description

1级机密数据是由大学维护的信息,根据加州公共记录法或其他适用的州或联邦法律的规定,这些信息免于披露.  未经授权的使用, access, disclosure, acquisition, modification, loss, 或删除可能会对鉴证组造成严重损害, its students, 员工或客户.  Financial loss, 如果数据丢失,可能会对CSU的声誉和法律诉讼造成损害, stolen, 非法分享或以其他方式泄露.

第1级数据仅用于CSU内部,并且仅限于那些具有“业务需要知道”的人员.法规、规章、其他法律义务或授权保护了大部分此类信息.  向大学以外人士披露1级资料,须遵守为保护资料而设计的特定标准和控制措施.

保密信息必须结合计算机或电子存储设备中包含的所有信息进行解释,以确定是否发生了违规行为.

1级访问将仅在严格的“需要知道”的基础上授予,并且仅限于授权员工和执行批准的保密协议(NDA)的其他参与者。.  此信息包括组织联系人列表, 内部处理程序, 员工日程安排和其他组织内部运作所需的信息,但过于敏感而不能向公众公布.

示例(注意:列表提供示例,但并非全部)

  • 密码或凭据
  • 个人识别号码
  • 出生日期加上社会安全号码的最后四位数字和姓名
  • 带有持卡人姓名或有效日期和/或信用卡验证码的信用卡号码
  • Tax ID with name
  • 驾驶执照号码, 国家身份证和其他形式的国家或国际身份证明(如护照), visas, etc.)加上名字
  • 社会安全号码和姓名
  • 带有姓名的健康保险信息
  • 与个人有关的医疗记录
  • 与个人有关的心理咨询记录
  • 银行账户或借记卡信息以及任何所需的安全码, access code, 或者允许访问个人金融账户的密码
  • 电子或数字化签名
  • 私钥(数码证书)
  • 与校园或系统相关的漏洞/安全信息
  • 律师/客户端通信
  • 大学进行的法律调查
  • 根据合同协议的第三方所有权信息
  • Sealed bids
  • 员工姓名和个人可识别的员工信息
    • 生物识别信息
    • 电子或数字化签名
    • 个人特征

Description

内部使用数据是由于专有而必须受到保护的信息, 道德或隐私方面的考虑.  尽管不受法律的特别保护, 法规或其他法律义务或命令, unauthorized use, access, disclosure, acquisition, modification, 丢失或删除该级别的信息可能会造成经济损失, 造成经济损失的损害, 对基社盟声誉的损害, 侵犯个人隐私权或采取必要的法律行动.

非目录教育信息不得发布,除非在某些规定的条件下.

2级访问将仅在严格的“需要知道”的基础上授予,并且仅限于授权员工和执行批准的保密协议(NDA)的其他参与者。.  此信息包括组织联系人列表, 内部处理程序, 员工日程安排和其他组织内部运作所需的信息,但过于敏感而不能向公众公布.

示例(注意:列表提供示例,但并非全部)

  • 身份验证密钥(名称与)
    • 出生日期(完整日期:mm-dd-yy)
    • 出生日期(部分:仅限mm-dd)
  • 学生姓名与个人身份的教育记录
    • Grades
    • Courses taken
    • Schedule
    • Test scores
    • 咨询记录
    • 接受的教育服务
    • 纪律的行为
  • 员工信息
    • 员工净工资
    • 工作经历
    • Home address
    • 个人电话号码(包括紧急联系人)
    • 个人电子邮件地址
    • Payment History
    • 员工评估
    • 纪律的行为
    • 背景调查
    • 母亲的娘家姓
    • 种族和民族
    • 父母和其他家庭成员的姓名
    • 出生地(城市、州、国家)
    • Gender
    • Marital Status
    • 物理描述
    • 照片(自愿公开展示)
  • Other
    • 捐款人姓名、地址、电话、电邮及捐款额
    • 图书馆流通信息
    • 商业秘密或知识产权,如研究活动
    • 关键或受保护资产的位置
    • 授权软件

Description

这些信息通常被认为是公开可用的.  这一级别的信息要么被明确定义为公共信息,要么旨在为校园内外的个人提供,要么没有在其他地方被明确归类为1级或2级.

了解这些信息不会使CSU遭受财务损失或危及CSU信息资产的安全. 

可公开获得的数据可能仍需经过适当的校园审查或披露程序,以减轻不当披露的潜在风险.

1足彩外围网站可以披露“目录信息”,没有事先书面同意的学生.  However, 在任何时候,学生都可以通过填写“向外部机构发布学生“目录信息””表格并将其提交给教育部,从而行使将这些信息视为机密的选择权 招生和记录中心, SSB 1st Floor. 所有获取学生目录信息的请求都必须直接向招生和记录中心提出.

示例(注意:列表提供示例,但并非全部)

  • 校园识别钥匙
    • 校园识别码
    • 用户ID(不要在公共列表或大型聚合列表中列出,因为它与学生电子邮件地址不同)
    • Email
  • 学生信息1

 

教育目录信息(FERPA)包括

  • Name
  • Address
  • 电话号码
  • Email address
  • Photograph
  • 主修领域
  • 参加官方认可的活动和体育运动
  • 运动员的身高和体重
  • 出席日期
  • Grade level
  • 注册状态
  • 获得学位、荣誉和奖励
  • 学生最近就读的教育机构或机构

 

议价单位学生雇员名录信息

  • 聘用该学生的院系名称
  • 系内学生雇员的电话号码
  • 系内学生雇员的电子邮件地址
  • 学生雇员的工作分类
  • 员工信息(包括学生员工)
    • Employee title
    • 学生员工身份(如TA、GA、ISA)
    • 员工校园邮箱地址
    • 员工工作地点和电话号码
    • 用人部门
    • 员工分类
    • 员工工资毛额
    • 名称(第一、中间、最后)(与受保护数据关联时除外)
    • 签名(非电子)
  • 捐赠者的信息
    • 组成的代码
    • 班级、学位、学术组织、专业
    • 以上定义的就业信息
    • Job title

政策、标准和指导方针

CSU ISO Domain

Type Title
Policy ISO Domain 5:资讯保安政策

Cal State LA

Type Title
Policy 加州州立大学洛杉矶信息安全项目
Standard 信息安全的角色和责任
Guideline 防止身分盗用指引

CSU ISO Domain

Type Title
Policy ISO Domain 7:人力资源安全政策
Standard ISO Domain 7:人力资源保障标准

Cal State LA

Type Title
Guideline 分离的员工网络/电子邮件访问
Procedure 犯罪记录查询
Procedure 指纹的过程

CSU ISO Domain

Type Title
Policy ISO Domain 10:密码策略
Standard ISO Domain 10密码学标准

CSU ISO Domain

Type Title
Policy ISO Domain 11:物理和环境安全
Standard ISO Domain 11:物理和环境安全

Cal State LA

Type Title
Guidelines 数据中心/通信室接入
Guidelines 保护办公室、工作区和文档

CSU ISO Domain

Type Title
Policy ISO Domain 12:操作安全策略
Standard ISO Domain 12:操作安全标准

CSU ISO Domain

Type Title
Policy ISO Domain 13:通讯保安政策
Standard ISO Domain 13:通讯保安标准

Cal State LA

Type Title
Guideline 电子通讯
Guideline 网络流量管理
Guideline Wireless Access

CSU ISO Domain

Type Title
Policy ISO Domain 15供应商关系政策
Standard ISO Domain 15:供应商关系标准

Cal State LA

Type Title
Guideline 资讯保安合约语言
Guideline 资讯科技项目及采购

Standards 定义处理信息安全风险所需的最低要求和确保遵守法律法规的特定要求, CSU策略和信息安全最佳实践. 标准是理事会审计工作的最低依据. 标准在公布之前要经过正式的审查和批准过程

 

User Guidelines 为校园用户提供遵守信息安全标准和科罗拉多州立大学信息安全政策的一般建议和说明. 它们在本质上往往比政策和标准更具技术性, 并根据需要创建和更新,以解释技术的变化, 规章制度或大学实践, 用户指南在出版前要经过正式的审查和批准程序.

 

Procedures 完成特定任务的分步说明是否经常包括执行这些任务的推荐工具. 过程是非正式的文档,对用户没有影响,因此, 出版前只经过内部技术审查和批准程序.