数据分类和处理策略
中度、高度和受限分类中的数据都被认为是“敏感的”。敏感的大学数据只有在有特定的业务需要时才应该被收集、存储和共享,并且必须以与其风险水平一致的方式处理。
限制(敏感)
定义
- 威博体育和使用受特殊法规要求的约束。
- 未经授权的威博体育将产生重大的法律或财务后果,并可能导致强制通知、信用监控服务或其他强制性措施。
- 系统可以用来记录和审计威博体育。
例子
- 社会安全号码,银行账号,护照和签证号码,个人身份信息,出生日期(俄勒冈身份盗窃法)
- 信用卡持卡人资料(PCI)
- 金融援助“客户信息”(GLBA)
指导
- 除非加密,否则不要存储或传输。
- 不能存储在谷歌或个人设备上。
- 除非文件被加密,否则没有可移动媒体(拇指驱动器,DVD,硬盘驱动器)。
- 部门负责制定威博体育、程序和培训,以确保处理受限制数据的员工和志愿者遵守规定。
高(敏感)
定义
- 威博体育和使用受到法律、法规、合同协议或大学威博体育的限制。
- 未经授权的威博体育或使用可能会导致严重的法律和经济后果,以及声誉受损。
例子
- 员工和教职员工的雇佣记录
- 学生成绩单
- 纪律记录
- 个人健康信息
- IT安全文档
- 财务和健康保险账户以及其他个人信息(OCIPA)
- 个人资料(GDPR)
指导
- 如果受合同协议(例如,Crashplan、b谷歌、Handshake)的保护,可以存储在云中。
- 不要储存在个人设备上。
- 除非文件被加密,否则没有可移动媒体(拇指驱动器,DVD,硬盘驱动器)。
- Reed谷歌驱动器是安全的,但需要共享驱动器或文件加密,以防止意外的过度共享。
温和的(敏感)
定义
- 未经授权的威博体育或使用对个人和/或威博体育APP造成中等损害的风险。
例子
- 里德ID
- 学生教育记录,或学生选择退出的目录信息(FERPA)
- 推荐信
- 大学函授
- 会议纪要
- 未发表的研究数据
- 电脑销售、书店、餐饮服务交易记录(不包括付款数据)
- 图书馆借阅历史
- 捐赠数据
- 校园公用设施和基础设施的地图
- 执法记录(ARMS数据)
- 残疾服务数据(AIM等)
- 特殊保密协议条款未涵盖的合同
指导
- 数据应该只与具有特定业务需求的个人共享。
- 可以通过Gmail在Reed电子邮件地址之间传输。
- 可以在Reed谷歌Drive中共享(仅与特定的个人或定义的团队共享)。
- 可以发布到网络或存储在Moodle,与认证。
- 如果加密,可以存储在个人设备上。