下载
有效日期:2011年3月1日 修正:2023年4月12日
策略
就业,信息管理,隐私和安全

数据生命周期管理策略

负责办公室 资讯服务及科技

2023年4月修订(作者:csis governance)

本政策取代先前的“资料保护要求”版本。

目的及概述

数据生命周期是信息在其最初创建和最终销毁之间可能存在的阶段的进展。波士顿大学将这些阶段定义为:收集、存储、访问和共享、传输和销毁。

此策略定义或引用在生命周期的每个阶段保护数据的需求。

范围

本文档中概述的数据处理保护适用于整个波士顿大学的所有物理和电子敏感信息。

敏感信息是被分类为内部、机密或限制使用的大学数据。有关每种分类的定义和示例,请参阅数据分类策略。

公共(非敏感)信息不需要任何级别的保护以防止披露,但应采取适当的预防措施来保护原始(源)文档免受未经授权的修改。

角色

企业服务

IS&T负责提供有关安全的咨询和培训,维护网络和集中提供服务的安全,并就所提供的每项服务的批准数据分类提供指导。

学校、学院、单位、部门

大学各学院、学院、单位和部门的负责人(“数据执行人员”)负责与其指定的数据安全管理员合作,确保其数据按照本政策进行管理。鼓励各单位利用现有的企业服务来支持这一政策的要求。

个人

所有波士顿大学的教职员工都应该熟悉并遵守数据保护标准,以确保正确理解如何正确处理敏感信息。

如果您有疑问,请询问您的主管,部门安全管理员或信息安全。

数据生命周期阶段和需求

 

收集

数据的收集应尽量减少到支持收集所支持的教学、澳门威尼斯人注册网站研究或管理功能所必需的数量。随着数据元素的敏感性增加,收集元素的需要需要更多的检查。必须尽可能避免收集限制使用的数据,并且必须注意重要的安全和隐私保护要求。在参与限制使用数据的任何新收集之前,请联系信息安全部门。

存储

  • 将信息存储在未经授权的个人无法访问的存储库中。
  • 物理介质不使用时应存放在上锁的抽屉和橱柜中。
  • 应该在合理的情况下对数据进行静态加密,最好使用操作系统自带的全磁盘加密等技术。受限使用数据必须始终在静态状态下加密,端点设备必须在可用的情况下使用本地磁盘加密,而不管存在的数据类型如何。
  • 将数据的副本数量限制到尽可能少的数量,并且保留的时间不要超过需要的时间。
  • 便携式媒体(cd - rom, USB密钥)不应用于存储限制使用的数据。如有需要,部门必须保留一份媒体清单,直到删除和/或销毁为止。

访问和共享

对所有数据应用最小权限原则:仅根据个人或系统执行所需功能的需要授予访问权限和共享数据。随着数据敏感性的增加,增加对这些控制的审查。确保流程到位,在任何个人关系发生变化时立即取消访问权限。

注:

  • 根据数据访问管理政策,访问某些机密数据和所有限制使用数据需要获得数据受托人的批准。
  • 某些类型的数据可能需要保密和其他类型的协议(例如,澳门威尼斯人注册网站研究数据的数据使用协议,HIPAA商业伙伴协议)。
  • 信息可与记录主体共享,或在适当情况下经记录主体批准与另一方共享。
  • 如果您不确定是否应授予访问权限或是否应共享信息,请向适当的主管或数据受托人提出请求。

传输

物理介质(纸张、光盘、USB key等)的传输:

  • 除非绝对必要,否则避免打印限制使用数据。
  • 打印时要小心,以确保纸质副本不会被留在打印机上无人看管。
  • 本文档的存储部分描述了创建数字媒体的要求。
  • 确保邮件写好地址并装在密封的信封里。

电子传输(邮件、传真、网站、云存储等):

  • 在传输过程中应尽可能使用加密。在使用VPN、SSL或类似技术的合理情况下,所有敏感信息都应在传输过程中进行加密。
  • 强烈建议对机密数据进行传输加密,并要求对限制使用数据进行传输加密。
  • 通过共享来自BU云服务(如OneDrive、SharePoint和Teams)的文件或文件夹,避免通过电子邮件传输受限制使用的数据。谷歌工作区应用程序,包括通过BU提供的应用程序,不应与限制使用数据一起使用。
  • 除非必要,否则避免传真限制使用数据。
  • 使用传真机时,要小心,不要把复印的文件丢在无人看管的地方。

破坏

使用横切碎纸机或类似的适当技术销毁纸媒,然后回收或丢弃。

打印机,电脑和移动设备可能包含硬盘驱动器,必须在离开BU控制之前正确擦除(退还给供应商,发送剩余,捐赠,处置等)。使用IS&T的媒体销毁服务处理驱动器。

注:

  • 在处理记录之前,查看大学的记录保留政策和此销毁部分的信息。
  • 不得销毁诉讼记录。

参见:

异常

信息安全部门被授权对本文件中规定的要求给予例外。批准的任何例外情况都需要对情况进行彻底审查并实施适当的补偿控制。

重要的

不遵守数据保护标准可能会对个人、组织或波士顿大学造成伤害。未经授权或不可接受地使用大学数据,包括未能遵守这些标准,构成违反大学政策,并可能使用户撤销使用大学数据或信息技术的特权或纪律处分,直至并包括终止雇用。

 

 

澳门威尼斯人注册本政策的其他资源

相关的BU政策、程序和指南

部网站

部资源