---

审查：2023年4月（由CSIS治理）

政策声明

波士顿大学认识到，在某些情况下，它必须收集、存储和使用与大学相关的学生、员工和个人的敏感信息以及某些类型的澳门威尼斯人注册网站研究数据。大学致力妥善及安全地收集、处理、储存及使用敏感资料。

政策原因/意涵陈述

波士顿大学致力于正确安全地收集、处理、存储和使用敏感信息。本政策建立了一个信息安全计划，为保护整个大学的敏感信息创建行政、技术和物理保障措施。本计划的目的是遵守适用法律，并：

1. 为敏感信息的全面管理提供一个框架；
2. 提高对敏感资料保密性质的认识；
3. 消除不必要的收集和使用敏感信息；
4. 防止敏感信息的安全或完整性受到预期的威胁或危害；和
5. 防止未经授权的访问或使用敏感信息，以免造成身份盗窃、欺诈或其他滥用数据的重大风险。

受政策影响的大学角色

大学社区的任何成员，包括所有教职员工和学生，如果能够访问包含本政策所涵盖的敏感信息的大学记录，则必须遵守本政策。

定义

违反安全：未经授权获取或使用敏感信息，造成身份盗窃或其他损害的重大风险。此定义包括未经授权获取或使用加密的电子敏感信息，其中机密过程或密钥已被泄露。

电子的：与具有电气、数字、磁性、无线、光学、电磁或类似能力的技术有关的。

员工：包括所有波士顿大学的教职员工和学生、志愿者、实习生、访问澳门威尼斯人注册网站研究人员，以及为波士顿大学提供服务的任何其他个人，无论是否有报酬，以及与此类服务相关的、有权访问包含敏感信息的大学记录的个人。

加密：通过使用算法过程或至少同样安全的替代方法将数据转换为一种不使用保密过程或密钥就无法赋予其意义的形式。

记录：记录或保存任何书面、绘画、口头、视觉或电磁信息或图像的材料，不论其物理形式或特征是否包含敏感信息。“记录”一词包括纸质和电子材料。

敏感信息：根据数据保护标准被指定为限制使用、机密或内部数据的信息。

责任

大学的首席信息安全官负责管理本政策和跨部门和单位的信息安全计划，以任何格式保存记录。在共同事务和信息安全委员会（“委员会”）的协助下，大学首席信息安全官应监督本政策的实施，包括制定有关本政策的审查、监督和治理的程序，并包括任何必要的培训。大学员工只能在本政策、数据保护标准和其所在单位或部门要求的做法允许的情况下请求、收集、存储或使用敏感信息。

大学的每一位成员都应尽量减少收集、处理、储存和使用敏感资料。只有那些有合法业务需要访问敏感信息的人才应该这样做，并且时间越短越好。尽可能减少或消除敏感数据的收集、处理、存储和使用。

程序

a .大学首席信息安全官大学首席信息安全官应与委员会协商，维护一份信息类别清单，该清单将包含在敏感信息的定义中，并在统称为“数据保护标准”的一系列程序中规定适当的保护级别。首席信息安全官可与委员会协商，并向委员会委托与本政策的管理和审核有关的责任。

首席信息安全官可将制定更具体的《信息安全指南》的责任分配给负责收集、使用、存储和处置特定类型敏感信息并具有专业知识的适当大学中央办公室。处长应提供一种机制，以报告任何可疑的违反保安行为，并应按照下述规定对任何报告的违反保安行为作出回应。

B.大学公共服务和信息安全委员会首席信息安全官应召集公共服务和信息安全委员会，以协助本政策的管理并帮助确保合规性。此外，该委员会可向负责制定《信息安全指南》的大学办公室提供建议，并审查《信息安全指南》。

C.数据保护标准首席信息安全官在与委员会协商后，应确定敏感信息的类别以及保护每一类所需的适当保障措施。数据保护标准应当规定保护敏感信息的管理、技术和物理保障措施。委员会可审查《数据保护标准》，首席信息安全官应批准《数据保护标准》。

D.培训首席信息安全官或首席信息安全官指定人员应与委员会一起为有权访问敏感信息的员工制定培训计划。

E.供应商和服务提供商首席信息安全官或首席信息安全官指定人员连同委员会可建议，大学向其提供敏感信息的大学供应商、服务提供商或任何其他第三方在获得敏感数据访问权限之前，必须满足适当的标准或同意适当的合同条款。

F.项目审核首席信息安全官应与委员会至少每年审核一次信息安全项目和数据保护标准。在审查过程中，主任和委员会应审查向外部机构报告的任何安全违规行为，包括任何调查结果和大学对任何违规行为的回应。

2。安全漏洞响应小组首席信息安全官应按照《数据泄露响应和管理计划》的规定审核任何涉嫌违反敏感信息安全的行为。

相关文件及政策：

数据保护标准数据泄露响应和管理计划（由信息安全部门维护）FERPA政策HIPAA政策

---