资讯保安政策

政策的名字:  资讯保安政策

保单号码: IT-6001

有效: 遗产

修改后: 2020/02  

政策声明

 大学给予指定的个人合理和适当的津贴, 实现其机构或教学目标所需的最少信息获取途径. 大学社区的所有成员都有责任保护安全, 保密, 委托给他们的信息的完整性和可用性,防止未经授权的访问, 按照下列要求使用或披露:

立即报告任何实际或可疑的信息安全漏洞, 或潜在非法活动的证据, 到资讯科技支援台.  涉嫌违反任何大学制度, 或不当披露机密信息, 必须直接向首席信息官报告.

  1. 所有信息的基本要求:大学社区的所有成员都必须:
    1. 熟悉并遵守学校电子通讯可接受使用政策的要求. 参见政策#2.8.1
    2. 将访问大学系统(定义如下)的凭据视为机密. 此类凭证不可转让.
    3. 在所有用于大学业务的系统上使用足够长度和复杂的密码,以合理地保护它们不被人类或计算机猜到. 如果怀疑密码被泄露,必须立即更改密码.
    4. 不要把密码写在别人很容易看到的地方.
    5. 永远不要分享用户名和密码,包括你自己的.
    6. 切勿将访问大学系统(定义见下文)的密码保存在公共计算机上.
    7. 尽可能避免存储密码. 一些应用程序允许用户编写脚本或存储他们的ID和密码. Web浏览器有时会拦截登录,并根据之前输入的内容填写用户名和密码,自动完成登录.  应该避免这样的功能,因为它们会使密码容易被窃取.
    8. 当您完成工作或离开计算机时,锁定或注销您的计算机.
    9. 不要下载未知发件人的电子邮件附件.
    10. 不要下载或安装电脑程序, 应用程序, 或其他软件,未经资讯科技署事先批准,不得擅自进入任何大学系统.

     

    如果您对任何软件有疑问, 硬件或任何大学系统, 咨询信息技术帮助台.
  2. 保密信息保护的附加要求:
    1. 除非您已被明确授权访问且您有合法需要了解该等机密信息,否则请勿访问任何机密信息(如本协议所定义).
    2. 不共享机密信息(通过电子邮件或其他方式),除非这种共享完全符合大学的所有政策, 并且仅对那些有合法需要知道该等机密信息的人. 保密信息只能在完全符合适用法律或根据大学批准的合同的情况下披露给第三方,其中第三方被要求实施和维护大学批准的保护措施.
    3. 避免使用与其他家庭成员共享的家用电脑来远程访问机密信息. 而, 使用一台安全的电脑,安装适当的防病毒和软件防火墙,不与他人共用.
    4. 仅在必要的范围内扫描或复制机密信息.
    5. 不要将机密信息张贴在可公开访问的计算机或网站上.
    6. 不要把包含机密信息的文件放在其他人可以看到的地方. 此类文件应存储在物理上安全的区域,如安全或上锁的套房, 办公室, 桌子上, 或者文件柜.
    7. 在可能的情况下, 机密信息应以加密格式通过电子邮件发送, 特别是在对外交换机密信息时.
    8. 除非没有其他选择,否则不要传真机密信息. 如需要传真保密信息, 使用封面页,告知收件人该信息为机密信息,并设置传真机在发送传真后打印确认页
    9. 如果您不确定是否有权访问, 分享, 传送或以其他方式使用机密信息, 寻求适当的许可.
  3. 移动设备和校外计算的其他最佳实践:
    1. 移动设备(定义见下文)由于其可移植性而增加了安全风险. 一定要格外小心,确保这些设备的安全,尤其是在旅行时. 采取以下步骤,以尽量减少数据被盗或丢失的风险:
      1. 确保所有移动设备远离视线, 在一个锁着的房间里, 办公室还是抽屉, 或者在可能的情况下使用锁索.
      2. 使用移动设备访问大学信息, 使用强密码保护这些设备,并遵循移动安全最佳实践.
      3. 将机密信息文件或其他对大学运营至关重要的数据存储在定期维护(备份)的服务器或其他大学存储资源(如网络文件共享)上, OneDrive, 谷歌驱动, 或SharePoint. 是否只将机密资料储存在没有备份的流动装置上.
      4. 及时向信息技术服务部报告所有丢失或被盗的大学自有移动设备.
  4. 报告潜在的资讯保安漏洞:
  5. 数据和媒体处理:
    1. 当大学退休或以其他方式取消计算, 网络, 或办公设备(包括电话), 复印机或传真机)或其他可能包含来自企业的机密信息的信息资产, 必须采取特定步骤来清除或以其他方式使媒体不可读.
    2. 删除文件或重新格式化磁盘不足以阻止数据恢复. 要么物理破坏介质, 根据适用的废物处理法规, 或者使用符合普遍接受的数据销毁标准的数据擦除软件来清除它.
  6. 制裁:
    1. 任何违反本政策的行为都可能导致纪律处分或其他制裁. 制裁可能包括(根据适用法律)拒绝或取消对大学系统的访问权限, 悬架, 工作分配限制, 或更严厉的处罚,包括解雇或开除. 如果学校怀疑有非法活动, 它可以向有关当局报告,并协助对有关个人的任何调查或起诉.
    2. 大学可能会将任何绕过或规避安全控制的企图视为违反本政策. 例如, 共享密码, 去激活杀毒软件, 删除或修改安全配置, 或创建未经授权的网络连接是被禁止的,除非信息技术帮助台已批准例外.
  7. 其他的定义:
    1. 机密信息 所收集的所有信息, 与, 或在其业务或活动过程中向大学报告,受当地法律保护, 州或联邦法律, 或可能对学校造成损害的, 员工, 或其他实体或个人,如果披露不当, 或者是不公开的. 危害可能涉及个人隐私或法律或监管责任. 保密信息包括:
      1. 与个人有关的信息,合理地识别个人和, 如果妥协, 会对个人或大学造成伤害. 例子包括, 社会安全号码, 驾驶执照号码或身份证号码, 信用卡或借记卡号码, 银行账户信息, 以及学生成绩或纪律情况;
      2. 高校财务数据;
      3. 员工、学生和校友名单;
      4. 大学课程或项目计划;
      5. 大学合同,包括与员工和外部各方签订的合同;
      6. 有关大学内部事务和资产的通讯或记录, 包括业务细节和审计;
      7. 大学的政策、程序、标准和流程;
      8. 任何被外部方指定为“机密”的信息或其他受保护的信息分类,并受当前保密或其他协议的约束;
      9. 关于员工的信息, 包括工资记录和就业或人事信息(如健康或残疾信息), 纪律或申诉信息, 年度评审资料);
      10. any summaries, reports, or other documents that contain 机密信息; and
      11. 上述任何内容的草稿、摘要或其他工作版本.
    2. 移动设备 指易于运输和存取的电子装置, 存储, 或者传递信息. 例子包括笔记本电脑、平板电脑、移动电话和便携式存储设备.
    3. 大学系统 包括大学拥有或控制的计算网络, 软件, 数据库, 服务, 设施或其他计算设备.