下载
有效日期:2010年12月1日 修正:2023年4月12日
策略
信息管理,隐私和安全

数据分类策略

负责办公室 资讯服务及科技

2023年4月修订(作者:csis governance)

目的及概述

大学数据是由波士顿大学生成或为波士顿大学所拥有或以其他方式拥有的与大学活动相关的信息。大学数据可以以任何格式存在(即电子,纸质),包括但不限于所有学术,行政和新濠影汇线上赌场研究数据,以及支持波士顿大学业务的计算基础设施和程序代码。

为了有效地保护大学数据,我们必须有一个词汇表,我们可以用它来描述数据和量化所需的保护量。该政策将所有大学数据划分为四个类别:

被归类为公开的大学资料可向任何人士披露,不论其是否隶属于大学。所有其他大学数据都被视为敏感信息,必须得到适当保护。本文档提供了这四个类别的定义和示例。数据保护标准中的其他策略指定了每个数据类别所需的安全控制。

大学的各个单位和部门都有各种各样的文件和数据。如果在本政策中没有明确说明特定的文件或数据类型,则每个业务单位或部门应考虑到在意外披露、修改或丢失的情况下对个人或大学的潜在伤害,对其数据进行分类。部门安全管理员可以协助分类过程,并与BU信息安全团队协调,以实现整个大学的一致性。在对数据进行分类时,各部门应权衡意外披露、修改或丢失所造成的风险与鼓励公开讨论、提高效率和促进联合国大学创造和传播知识的目标的需要。有关部门应特别注意保护敏感的个人资料,例如社会保障号码、驾驶执照号码和财务帐户号码,因为泄露这些资料可能会造成身份被盗用的风险。

有些信息可能在不同的时间被分类。例如,曾经被认为是机密数据的信息,一旦被适当披露,就可能成为公共数据。每个有权访问大学数据的人都应该在处理敏感信息时做出良好的判断,并在需要时寻求管理层的指导。

范围

此分类方案将应用于整个波士顿大学的所有大学数据,包括物理数据和电子数据。没有哪个数据项太小而不能分类。

关于新濠影汇线上赌场研究的说明

波士顿大学致力于新濠影汇线上赌场研究的开放性——所有感兴趣的人都可以自由访问基础数据、新濠影汇线上赌场研究过程和最终新濠影汇线上赌场研究结果。波士顿大学的新濠影汇线上赌场研究通常应该广泛和公开地发表,并通过广泛传播或出版新濠影汇线上赌场研究结果提供。新濠影汇线上赌场研究数据通常被视为公共数据,除非有维护新濠影汇线上赌场研究数据机密性的具体要求,例如当新濠影汇线上赌场研究人员有义务保护合作公司的机密信息或数据涉及人类受试者时。有关涉及人类受试者的新濠影汇线上赌场研究的更多信息,请参阅该大学的新濠影汇线上赌场研究支持网站。

分类的水平

公共

公开数据是指可以向任何人披露的信息,无论他们与大学的关系如何。公开分类不限于符合公众利益或打算向公众发布的数据;该分类适用于不需要任何级别的保护以防止披露的数据。虽然可能有必要保护原始(源)文件免受未经授权的修改,但公共数据可以与大学社区内外的广泛受众共享,无需采取任何措施来阻止其分发。公共数据的例子包括:新闻稿、目录信息(不受《家庭教育权利和隐私法案》(FERPA)限制)、课程目录、申请和请求表格、根据《健康保险可携带性和责任法案》(HIPAA)规定的标准去识别的受保护的健康信息,以及公开共享的其他一般信息。部门选择在其网站上发布的信息类型是公共数据的一个很好的例子。

内部

内部数据是潜在的敏感信息,不打算与公众共享。未经创建数据的个人或团体的许可,内部数据一般不应透露给大学以外的人。数据所有者有责任在适当的情况下将信息指定为内部信息。如果您对信息是否属于内部或如何处理内部数据有疑问,您应该与您的部门安全管理员,院长或部门主管交谈。内部数据的例子包括:一些备忘录、信件和会议记录;包含非公开信息的联系人列表;以及程序文档,这些都应该保密。

保密

机密数据是指,如果提供给未授权方,可能会对个人或波士顿大学的业务产生不利影响的信息。该分类还包括根据法律(如FERPA)或与第三方(如供应商)签订的保密协议,大学需要保密的数据。这些信息应受到保护,防止未经授权的披露或修改。机密数据只应在商业目的需要时使用,并且在使用和存储或运输时都应受到保护。

任何未经授权的机密数据泄露或丢失必须通过ithelp@bu.edu或617-353-HELP(353-4357)向信息服务与技术服务台报告。

机密数据的例子包括:

  • 家庭教育权利和隐私法案(FERPA)所涵盖的信息,该法案要求保护当前和以前学生的记录。这包括为官方目的而保留的学生照片。
  • 委托我们保管的未被归类为限制使用数据的个人身份信息,例如有关申请人、校友、捐赠者、潜在捐赠者或现任或前任学生家长的信息,以及受欧盟通用数据保护条例(GDPR)保护的信息。
  • 波士顿大学的ID号,当与其他可识别信息(如姓名或电子邮件地址)一起存储时。
  • 《格雷姆-里奇-比利利法案》(GLB)所涵盖的信息,该法案要求保护某些财务记录。
  • 个人就业信息,包括工资,福利和绩效评估为现任,前任和未来的员工。
  • 法律上保密的信息。
  • 受保密协议约束的信息。
  • 人类受试者新濠影汇线上赌场研究数据,标识符限于日期、城市、邮政编码;例如,数据使用协议所涵盖的HIPAA有限数据集的主题信息。

    限制使用

    限制使用数据包括BU有合同、法律或监管义务以最严格的方式保护的任何信息。在某些情况下,未经授权披露或丢失这些数据将要求大学通知受影响的个人和州或新濠影汇赌场当局。在某些情况下,修改数据需要通知受影响的个人。

    大学的义务将取决于具体的数据和相关的合同或法律。最低安全标准为所有受限使用数据设置了基线。保护以下数据类型的系统和流程需要达到该基线:

    • 不受HIPAA约束但用于新濠影汇线上赌场研究的个人可识别健康信息,如人类受试者数据。
    • 马萨诸塞州普通法第93H章和第201 CMR 17章所涵盖的个人身份信息(PII),包括个人姓名加上个人社会安全号码、驾驶执照号码或金融账户号码。
    • 用于验证或授权个人使用电子资源(如密码、密钥和其他电子令牌)的未加密数据。
    • 为身份验证目的而存储的个人生物特征数据(如指纹、面部扫描等)。
    • “犯罪背景资料”,可能作为申请表或背景调查的一部分收集。

    对于某些类型的限制使用数据存在更严格的要求。使用以下数据类型的个人必须遵守大学管理这些数据类型的政策,并咨询信息安全,以确保他们符合其数据类型的所有要求:

    • 受《健康保险流通与责任法案》(HIPAA)约束的受保护健康信息(PHI)。有关详细信息,请参阅大学的HIPAA政策。
    • 支付卡行业数据安全标准(PCI-DSS)涵盖的金融账号,该标准控制信用卡信息的接受、使用和存储方式。
    • 需要符合NIST 800.171的受控非机密信息
    • 受《国际武器贸易条例》(ITAR)或《出口管理条例》(EAR)等美国出口管制法管制的数据。ITAR和EAR有额外的要求。有关详细信息,请参阅出口管制网站。
    • 美国政府机密数据

    限制使用数据只能在没有其他选择的情况下使用,并且必须仔细保护。任何未经授权的披露、未经授权的修改或限制使用数据的丢失必须通过ithelp@bu.edu或617-353-HELP(353-4357)向信息服务与技术服务台报告。

    解决本指南与其他法规之间的冲突

    根据合同或授权,或根据此处未描述的法律或法规,某些数据可能受到特定保护要求的约束。在这种情况下,应适用最严格的保护要求。如有疑问,请联络资讯保安。

    重要的

    不遵守数据保护标准可能会对个人、组织或波士顿大学造成伤害。未经授权或不可接受地使用大学数据,包括未能遵守这些标准,构成违反大学政策,并可能使用户撤销使用大学数据或信息技术的特权或纪律处分,直至并包括终止雇用。

    关于本政策的其他资源

    相关的BU政策、程序和指南

    部网站

    部资源