galaxy银河集团安全分类程序
| 参考号。没有。 |
执行赞助商 |
政策管家 |
审批权限 |
首次批准 |
上次评论 |
生效日期 |
下一条评论 |
| 64.02 |
大学服务和战略副总裁 |
数字创新与技术总监 |
执行委员会 |
二月2019 年 19 日 |
|
二月2019 年 19 日 |
一月2020 |
- 目的
- 此程序的目的是制定对各种类型的大学galaxy银河集团资源进行分类所需的最低标准,以便对此类galaxy银河集团应用合理的安全安排和记录管理协议。
- 范围
- 此程序适用于学院出于任何商业目的创建和管理的所有数据、文档和图像(纸质和电子)。
- NSCC 的记录管理计划 (RMP)(目前正在开发)将使用此程序对所有大学记录的安全级别进行分类。
- 此程序将用于支持制定一致的政策和程序,以适当访问、传输、存储和销毁大学记录
- 此程序将作为学院员工的指南,负责根据新斯科舍省galaxy银河集团自由和隐私保护法案 (FOIPOP) 管理galaxy银河集团披露请求,以及根据该法案访问/更正个人galaxy银河集团。
- 定义
- 缩写词将在本文档中使用,如下所示:对术语或标题的首次引用将包括全文,后跟(首字母缩略词)。所有后续参考文献将仅使用首字母缩略词。
- FOIPOP指《新斯科舍省galaxy银河集团自由和隐私保护法》。
- PIIDPA 代表《个人galaxy银河集团国际披露保护法》
- PCI-DSS指支付卡行业数据安全标准
- REB指 NSCC 研究伦理委员会
- 贼法牧指 NSCC 记录管理计划
- SLF指NSCC高层领导论坛
- 管理权限指负有行政责任的高级领导论坛 (SLF) 成员单位(包括副校长、副校长、院长、董事和校园校长)以及对学院galaxy银河集团资源进行职能管理的个人。
- 单位指一组用户,因共同兴趣或目的而联系在一起,包括但不限于:
- 学院、校区、院系等
- 明确标识galaxy银河集团资源用户组(例如 Peoplesoft HR、学生、财务用户)
- 用户指任何个人或单位使用或访问大学galaxy银河集团资源。
- galaxy银河集团资源指学院拥有、明确控制或保管的资产和基础设施,包括但不限于记录、数据、电子服务、网络服务、软件、计算机和galaxy银河集团系统。
- 多重身份验证是一种确认用户所声称的身份的方法,其中计算机用户只有在成功向某人提交两项或多项证据(或因素)后才被授予访问权限身份验证机制:知识(用户且仅用户知道的东西)、占有(用户且仅用户拥有的东西)和固有性(用户且仅用户拥有的东西)。
- 个人galaxy银河集团如 PIIDPA 中的定义:是有关 FOIPOP 中定义的可识别个人的galaxy银河集团。 FOIPOP 对个人galaxy银河集团的定义包括:
- 个人的姓名、地址或电话号码,
- 个人的种族、民族或人种、肤色、宗教或政治信仰或社团,
- the individual’s age, sex, sexual orientation, marital status or family status,
- 分配给个人的识别号码、符号或其他特定galaxy银河集团,
- 个人的指纹、血型或可遗传特征,
- 有关个人医疗保健史的galaxy银河集团,包括身体或精神残疾,
- 有关个人的教育、财务、犯罪或就业历史的galaxy银河集团,
- 其他人对个人的看法,以及
- 个人的个人观点或意见,除非是针对他人的。
- 记录指在日常业务运营中创建或接收并保留的文档。这包括但不限于文件、地图、绘图、照片、信件、凭证、文件以及通过图形、电子、机械或其他方式记录或存储galaxy银河集团的任何其他物品,但不包括计算机程序或任何其他产生记录的机制。
- 记录管理指学院在其运营过程中产生的所有形式的记录galaxy银河集团的创建、使用、维护、存储、检索、处置和保存。
- 政策
- 分配galaxy银河集团安全分类级别
- 所有大学galaxy银河集团资源都需要根据各节中规定的分类级别进行适合该资源的安全分类4.2和4.3
- galaxy银河集团资源的安全分类级别确定了为了保护galaxy银河集团资源而必须实施的安全安排的范围和类型。
- 在分配安全分类级别之前,各单位必须了解相关的立法要求、监管义务以及相关的学院政策和程序。各单位还可以参考行业标准和最佳实践,以获取适用的进一步指导。
- 管理机构应基于对galaxy银河集团资源对学院的整体重要性的合理理解,对其负责的galaxy银河集团资源进行分类和管理。
- 在适当的情况下,行政当局应参考档案记录政策 (TBD) 来确定何时以及如何将资源作为新斯科舍社区学院及其前身机构的档案记录进行保留和管理。
- 管理机构应确保其单位中的用户根据指定的安全类别管理galaxy银河集团资源。
- 安全分类级别适用于广泛的galaxy银河集团类型或类别,而不是单个记录。
- 如果不清楚哪种安全分类级别最合适或在处理大量galaxy银河集团时,各单位应采用最高的适当分类级别。
- 如果galaxy银河集团系统或记录包含分类为公共galaxy银河集团和分类为更高级别的galaxy银河集团,则必须在更高的机密级别对组合galaxy银河集团进行管理。例如,根据 FOIPOP 要求的galaxy银河集团编辑敏感galaxy银河集团时。
- 在决定最合适的安全分类级别时,各单位将考虑到大量galaxy银河集团可能会导致敏感galaxy银河集团泄露的风险增加,从而需要使用更高的安全分类级别。例如在管理电子邮件文件的处置时,区分邮件内容是不切实际的,并且取决于系统控制的可用性。
- galaxy银河集团分类 - 风险评估指南
单位将对他们进行分类galaxy银河集团资源使用下图中的分类级别作为指导。
|
高度机密 |
机密 |
内部 |
公共 |
| 定义 |
galaxy银河集团资源非常敏感或关键,因此有权获得特别保护,如第 4.3 节中所定义。 |
galaxy银河集团资源被认为是高度敏感的业务或个人galaxy银河集团,或者关键系统。它旨在用于非常特定的用途,除非明确授权查看此类galaxy银河集团,否则不得披露,即使是在工作组或单位内。 |
供学院内部或有合法需要了解的特定工作组、单位或个人团体使用的galaxy银河集团。内部galaxy银河集团不得在工作组或单位之外广泛传播。 |
已由galaxy银河集团所有者或管理机构或通过立法或政策等其他有效机构批准向公众分发的galaxy银河集团。 |
| 法律要求 |
法律或法规(例如 FOIPOP 或 PCIDSS)要求或合同义务确定的galaxy银河集团保护。 |
学院有保护galaxy银河集团的合同或法律义务。 |
学院有保护galaxy银河集团的合同义务。 |
立法(例如 FOIPOP)可能会强制galaxy银河集团成为公共galaxy银河集团。 |
| 声誉风险 |
严重丧失信任/信誉。媒体高度关注。业务部门将接受特殊培训和流程。 |
Significant loss of trust/credibility.保证会引起媒体关注并加强审查。 |
可能失去信任/信誉。可能会引起一些媒体的关注并导致更多的审查。 |
对声誉没有影响。 |
| 操作风险 |
风险将使业务部门无法实现其总体目标或任务。 |
对业务部门实现其目标的能力产生重大影响。 |
对业务部门实现其目标的能力有一定影响。 |
对业务部门实现其目标的能力影响很小或没有影响。 |
| 财务风险 |
重大收入损失,或对业务部门预算的影响,包括研究经费或罚款。 |
重大收入损失,或对业务部门预算的影响,包括研究经费或罚款。 |
对业务部门造成轻微的负面财务影响。 |
影响在正常运营预算利润波动范围内。 |
| 披露风险 |
对学院、个人或附属机构造成严重不利的负面影响,包括身份盗窃。 |
对学院、个人或附属机构造成中度不利的负面影响,包括身份盗窃。 |
可能对学院、个人或附属机构产生不利影响。 |
公开galaxy银河集团的披露无需进一步授权,可以自由传播,不会对学院或其附属机构造成潜在损害。 |
- galaxy银河集团分类 – 访问、传输、存储和销毁的保护实践
单位将为他们实施保护措施galaxy银河集团资源根据下图的分类级别。
|
高度机密 |
机密 |
内部 |
公共 |
| 访问权限 |
访问权限仅限于特定的指定个人或职位。 |
访问权限仅限于特定职能、群组或角色的个人。 |
访问权限仅限于员工和其他出于业务相关目的的授权用户。 |
无访问限制 |
| 访问权限 |
将为那些被授予访问权限的指定个人启用多重身份验证 |
必须应用最小权限和需要知道的原则。 |
当用户离开学院或保管单位时,必须尽快撤销访问权限。 |
无访问限制 |
| 访问权限 |
必须应用最小权限和需要知道的原则 |
当用户离开学院或监护单位时,必须尽快撤销访问权限 |
当用户离开学院或保管单位时,必须尽快撤销访问权限。 |
无访问限制 |
| 访问权限 |
当用户离开学院或监管单位时,必须立即撤销访问权限。 |
|
|
|
| 传输 |
公共网络(例如无线、互联网)加密。 |
公共网络(例如无线、互联网)加密。 |
强烈建议在公共网络(例如无线、互联网)上加密 |
无需特殊处理。 |
| 传输 |
强烈建议在受信任的内部网络上进行加密 |
强烈建议在受信任的内部网络上进行加密。第三方电子邮件提供商不适合传输。 |
强烈建议在公共网络(例如无线、互联网)上加密 |
无需特殊处理。 |
| 传输 |
第三方电子邮件提供商不适合传输。 |
强烈建议在受信任的内部网络上进行加密。第三方电子邮件提供商不适合传输。 |
强烈建议在公共网络(例如无线、互联网)上加密 |
无需特殊处理。 |
| 传输 |
数据可能会被屏蔽而不是加密。 |
数据可能会被屏蔽而不是加密。在密封邮件上明确标记“机密”。 |
强烈建议在受信任的内部网络上进行加密。第三方电子邮件提供商不适合传输。 |
无需特殊处理。 |
| 传输 |
硬拷贝记录的双信封邮寄 |
数据可能会被屏蔽而不是加密。在密封邮件上明确标记“机密”。 |
强烈建议在受信任的内部网络上进行加密。第三方电子邮件提供商不适合传输。 |
无需特殊处理。 |
| 存储 |
存储在受控访问系统中(例如受密码保护的文件或文件系统、上锁的文件柜、报警区域)。 |
存储在受控访问系统中(例如受密码保护的文件或文件系统、上锁的文件柜、报警区域)。 |
存储在受控访问系统中(例如受密码保护的文件或文件系统、上锁的文件柜)。 |
无需特殊保护措施。 |
| 存储 |
根据需要实施额外控制措施,以遵守相关立法或其他要求。 |
移动设备和工作站强制加密,强烈建议在所有环境中加密 |
强烈建议在所有环境中进行加密。 |
无需特殊保护措施。 |
| 存储 |
移动设备和工作站强制加密,强烈建议在所有环境中加密 |
实施“干净办公桌”政策
必须存储在加拿大 |
|
|
| 存储 |
实施“干净办公桌”政策 |
|
|
|
| 存储 |
必须存储在加拿大 |
|
|
|
| 毁灭 |
根据学院的安全销毁galaxy银河集团指南进行粉碎或删除 |
根据学院的安全销毁galaxy银河集团指南进行粉碎或删除 |
根据学院的安全销毁galaxy银河集团指南进行粉碎或删除 |
回收 |
- galaxy银河集团分类示例
下图提供了galaxy银河集团类型及其安全分类的示例。
高度机密
| galaxy银河集团资源非常敏感或关键,因此有权获得特别保护,如 4.3 中所定义。 |
身份验证凭据 |
上诉和申诉
包含个人galaxy银河集团的调查数据 |
*有关学生和员工的个人galaxy银河集团(参见附录 A) |
| galaxy银河集团资源非常敏感或关键,因此有权获得特别保护,如 4.3 中所定义。 |
法律诉讼 |
上诉和申诉
包含个人galaxy银河集团的调查数据 |
*有关学生和员工的个人galaxy银河集团(参见附录 A) |
| galaxy银河集团资源非常敏感或关键,因此有权获得特别保护,如 4.3 中所定义。 |
学业优惠 |
关闭或在相机板文档中 |
*有关学生和员工的个人galaxy银河集团(见附录A) |
机密
|
研究galaxy银河集团: |
研究galaxy银河集团: |
捐赠者/校友galaxy银河集团: |
| galaxy银河集团资源被认为是高度敏感的业务或个人galaxy银河集团,或者关键系统。它旨在用于非常特定的用途,除非明确授权查看此类galaxy银河集团,否则不得披露,即使是在工作组或单位内。 |
敏感研究数据 |
证书/许可证号、设备 ID 和序列号、电子邮件、网址、IP 地址 |
捐赠者资料(个人和家族史) |
|
研究galaxy银河集团(授予代理协议、其他 IRB 治理) |
|
受保密协议保护的galaxy银河集团 |
| 员工galaxy银河集团: |
业务/供应商数据: |
已注册/未来的学生: |
已注册/未来的学生: |
其他机构日期: |
| 访问设备号码(钥匙、大楼门禁码) |
合同galaxy银河集团(NSCC 与第三方之间) |
学生财务 |
受保密协议保护的galaxy银河集团 |
合同中的机密galaxy银河集团 |
| 受保密协议保护的galaxy银河集团 |
访问设备号码(大楼门禁码等) |
访问设备号码(钥匙、大楼门禁码) |
付款担保人和受益人galaxy银河集团 |
物理植物细节 |
| 个人财务galaxy银河集团,包括非 NSCC 收入水平和来源 |
生物识别标识符
个人的注册状态 |
推荐信
用户帐户密码 |
学生联系人/班级列表 |
关键基础设施详细galaxy银河集团 |
内部
| 供学院内部或具有合法知情需要的特定工作组、单位或个人团体使用的galaxy银河集团。内部galaxy银河集团不得在工作组或单位之外广泛传播。 |
预算galaxy银河集团 |
学生编号 (W#) |
闭路电视/视频录像? |
| 供学院内部或具有合法知情需要的特定工作组、单位或个人团体使用的galaxy银河集团。内部galaxy银河集团不得在工作组或单位之外广泛传播。 |
部门程序 |
员工编号 (W#) |
不包含个人galaxy银河集团的调查数据 |
| 供学院内部或具有合法知情需要的特定工作组、单位或个人团体使用的galaxy银河集团。内部galaxy银河集团不得在工作组或单位之外广泛传播。 |
刷卡/安全数据? |
|
|
公共
| 已由galaxy银河集团所有者或管理机构或通过立法或政策等其他有效机构批准向公众分发的galaxy银河集团。 |
年度报告
广告和媒体发布 |
员工目录列表
学术日历 |
职位发布
培训手册 |
| 已由galaxy银河集团所有者或管理机构或通过立法或政策等其他有效机构批准向公众分发的galaxy银河集团。 |
产品和服务galaxy银河集团 |
校园地图 |
公开会议董事会会议纪要 |
| 供学院内部或具有合法知情需要的特定工作组、单位或个人团体使用的galaxy银河集团。内部galaxy银河集团不得在工作组或单位之外广泛传播。 |
文凭和证书获得者姓名 |
已发表的研究报告或论文 |
公开会议董事会会议纪要 |
禁止
| 某些galaxy银河集团可能被行业法规、立法或其他机制视为禁止。学院不得以任何形式收集或存储此类galaxy银河集团。 |
PCI 卡座数据 |
|
|
相关政策和程序
64.01 galaxy银河集团安全政策
64.02 galaxy银河集团安全分类程序
64.03 密码管理程序
64.04 访问控制程序
64.05 物理和环境安全程序
64.06 物理访问 IT 基础设施程序
64.07 安全处置或重复使用设备程序
相关立法
新斯科舍省galaxy银河集团自由和隐私保护法
新斯科舍省政府记录法
新斯科舍社区学院法
- 附录 A - 归类为个人galaxy银河集团的字段级数据
归类为个人galaxy银河集团的字段级数据
| 个人galaxy银河集团 |
| 新加坡 |
| 名称 |
| 地址 |
| 电话号码 |
| 医疗保健数据 |
| 多样性galaxy银河集团(人权) |
| 财务galaxy银河集团 |
| 人事档案 |
| 个人车辆galaxy银河集团 |
| 犯罪记录检查 |
| 健康、残疾或咨询galaxy银河集团 |
| 个人身份研究galaxy银河集团 |
| 骚扰和歧视报告 |
| 个人galaxy银河集团 |
学生 |
员工 |
捐助者 |
| 驾照# |
|
|
|
| 车牌# |
|
|
|
| 生物识别标识符 |
|
|
|
| 学生成绩 |
|
|
|
| 任何其他识别号码、特征或代码 |
|
|
|
| 家庭/个人地址、电话号码、手机号码、电子邮件地址 |
|
|
|
| 付款担保人和受益人galaxy银河集团 |
|
|
|
| 会计galaxy银河集团(税务记录、员工工资单等) |
|
|
|
| 保险福利galaxy银河集团 |
|
|
|
| 养老金记录 |
|
|
|
| 员工人口统计galaxy银河集团 |
|
|
|
| 捐赠者姓名 |
|
|
|
| 银行帐号、捐赠金额 |
|
|
|
