目的
本指南的目的是建立一个框架,根据大学信息安全政策的要求,根据其对大学的敏感性、价值和关键程度对机构数据进行分类。数据分类将有助于确定用于保护数据的基线安全控制。
适用于
本政策适用于大学的所有教职员工和第三方代理,以及被授权访问机构数据的任何其他大学附属机构。特别是,本指南适用于负责对机构数据进行分类和保护的人员,如信息安全角色和责任所定义。
定义
机密数据是一个广义术语,通常表示根据本指南中定义的数据分类方案分类为受限的数据。该术语通常与敏感数据互换使用。
数据管理员是大学的高级员工,负责监督一组或多组机构数据的生命周期。有关详细信息,请参阅信息安全角色和职责。
机构数据被定义为大学拥有或许可的所有数据。
非公开信息被定义为根据本指南中定义的数据分类方案分类为私人或受限的任何信息。
敏感数据是一个广义术语,通常表示根据本指南中定义的数据分类方案分类为受限的数据。该术语通常与机密数据互换使用。
数据分类
在信息安全的背景下,数据分类是根据数据的敏感程度以及未经授权披露、更改或销毁数据对大学的影响对数据进行分类。数据分类有助于确定哪些基线安全控制适合保护该数据。所有机构数据都应分为三个敏感级别或分类之一:
|
分类 |
定义 |
|
受限制的 |
当未经授权的数据披露、更改或破坏可能对大学或其附属机构造成重大风险时,数据应归类为受限数据。受限数据的示例包括受州或联邦隐私法规保护的数据以及受保密协议保护的数据。应将最高级别的安全控制应用于受限数据。 |
|
私人的 |
当数据的未经授权的披露、更改或破坏可能对大学或其附属机构造成中等程度的风险时,数据应归类为私人。默认情况下,所有未明确归类为受限或公共数据的机构数据都应视为私有数据。应将合理级别的安全控制应用于私有数据。 |
|
上市 |
当未经授权的数据披露、更改或破坏将对大学及其附属机构造成很小或没有风险时,数据应归类为公共数据。公共数据的示例包括新闻稿、课程信息和研究出版物。虽然需要很少或不需要控制来保护公共数据的机密性,但需要一定程度的控制来防止未经授权的修改或破坏公共数据。 |
数据分类应由适当的数据管理员执行。数据管理员是大学的高级员工,负责监督一组或多组机构数据的生命周期。有关数据管理员角色和相关职责的更多信息,请参阅信息安全角色和职责。
访问数据分类工作流程,了解如何对数据进行分类。
数据收集
数据管理员可能希望将单一分类分配给在目的或功能上通用的数据集合。在对数据集合进行分类时,应使用任何单个数据元素的最严格分类。例如,如果数据收集包含学生的姓名、地址和社会安全号码,则数据收集应归类为受限,即使学生的姓名和地址可能被视为公共信息。
重新分类
定期重新评估机构数据的分类非常重要,以确保根据法律和合同义务的变化以及数据使用或其对大学的价值的变化,分配的分类仍然是适当的。此评估应由适当的数据管理员进行。鼓励每年进行一次评估;但是,数据管理员应根据可用资源确定最合适的频率。如果数据管理员确定某个数据集的分类已更改,则应执行安全控制分析以确定现有控制是否与新分类一致。如果在现有安全控制中发现漏洞,应及时纠正,
计算分类
正如大学的信息安全政策所述,信息安全的目标是保护机构数据的机密性、完整性和可用性。如果机密性、完整性或可用性受到损害,数据分类反映了对大学的影响程度。
不幸的是,没有完美的量化系统来计算特定数据元素的分类。在某些情况下,适当的分类可能更明显,例如当联邦法律要求大学保护某些类型的数据(例如个人身份信息)时。如果适当的分类本身并不明显,请使用下表作为指导考虑每个安全目标。它是美国国家标准与技术研究院出版的联邦信息处理标准 (FIPS) 出版物 199的摘录,该出版物讨论了信息和信息系统的分类。
|
潜在影响 |
|||
|
安全目标 |
低的 |
缓和 |
高的 |
|
保密性 保留对信息访问和披露的授权限制,包括保护个人隐私和专有信息的手段。 |
未经授权的信息披露可能会对组织运营、组织资产或个人产生有限的不利影响。 |
未经授权的信息披露可能会对组织运营、组织资产或个人产生严重的不利影响。 |
未经授权的信息披露可能会对组织运营、组织资产或个人产生严重或灾难性的不利影响。 |
|
完整性 |
未经授权的信息修改或破坏预计会对组织运营、组织资产或个人产生有限的不利影响。 |
未经授权的信息修改或破坏可能会对组织运营、组织资产或个人产生严重的不利影响。 |
未经授权的信息修改或破坏可能会对组织运营、组织资产或个人产生严重或灾难性的不利影响。 |
|
可用性 |
对信息或信息系统的访问或使用的中断预计会对组织运营、组织资产或个人产生有限的不利影响。 |
对信息或信息系统的访问或使用的中断可能会对组织运营、组织资产或个人产生严重的不利影响。 |
访问或使用信息或信息系统的中断可能会对组织运营、组织资产或个人产生严重或灾难性的不利影响。 |
随着对大学的总潜在影响从低到高增加,数据的分类应该变得更加严格,从公开变为受限。如果在考虑这些要点后仍不清楚适当的分类,请联系信息安全办公室寻求帮助。
附录 A - 受限信息的预定义类型
信息安全办公室和总法律顾问办公室根据州和联邦监管要求定义了几种类型的受限数据。此列表不包括所有类型的受限数据。预定义类型的受限信息定义如下:
|
1. |
身份验证器 |
|
身份验证验证器是由个人保密的一条信息,用于证明该人就是他们所说的那个人。在某些情况下,身份验证验证器可能会在一小群人之间共享。身份验证验证器也可用于证明系统或服务的身份。示例包括但不限于: o 密码 o 共享秘密 o 加密私钥 |
|
|
2. |
涵盖的财务信息 |
|
请参阅大学的Gramm-Leach-Bliley 信息安全计划。 |
|
|
3. |
受保护的电子健康信息(“EPHI”) |
|
EPHI 被定义为存储在电子媒体中或通过电子媒体传输的任何受保护的健康信息(“PHI”)。就本定义而言,电子媒体包括: |
|
|
4. |
出口管制材料 |
|
出口管制材料定义为受美国出口管制条例约束的任何信息或材料,包括但不限于美国商务部发布的出口管理条例 (EAR) 和国际武器贸易条例 (ITAR)由美国国务院出版。有关更多信息,请参阅研究诚信与合规办公室关于出口管制的常见问题解答。 |
|
|
5. |
联邦税务信息(“FTI”) |
|
FTI 被定义为由美国国税局委托给大学的任何退税、退税信息或纳税人退税信息。有关详细信息,请参阅美国国税局出版物 1075 附件 2。 |
|
|
6. |
支付卡信息 |
|
支付卡信息定义为信用卡号(也称为主账号或 PAN)与以下一个或多个数据元素的组合: |
|
|
7. |
个人可识别的教育记录 |
|
个人身份教育记录被定义为包含以下一个或多个个人标识符的任何教育记录: 有关什么构成教育记录的更多信息,请参阅卡内基梅隆大学的学生隐私权政策。 |
|
|
8. |
个人身份信息 |
|
为了满足安全漏洞通知要求,PII 被定义为一个人的名字或名字首字母和姓氏与以下一个或多个数据元素的组合: |
|
|
9. |
受保护的健康信息(“PHI”) |
|
如卡内基梅隆大学的HIPAA 政策所定义,PHI 被定义为由电子媒体传输、在电子媒体中维护或由涵盖组件以任何其他形式或媒体传输或维护的“个人可识别健康信息” 。如果 PHI 包含以下一个或多个标识符,则它被视为可单独识别: 根据卡内基梅隆大学的HIPAA 政策,PHI 不包括《家庭教育权利和隐私法》所涵盖的教育记录或治疗记录或大学作为雇主所持有的就业记录。 |
|
|
10. |
受控技术信息(“CTI”) |
|
受控技术信息是指根据DFARS 252.204-7012的“在访问、使用、复制、修改、性能、展示、发布、披露或传播方面受到控制的军事或太空应用技术信息” 。 |
|
|
11. |
仅供官方使用(“FOUO”) |
|
标记或标记仅供官方使用的文件和数据是国家档案馆 (NARA) 定义的受控非机密信息 (CUI) 的前身 |
|
|
12. |
来自欧盟 (EU) 的个人数据 |
|
欧盟的通用数据保护条例 (GDPR) 将个人数据定义为可以通过参考标识符直接或间接识别自然人的任何信息,包括 从欧洲经济区 (EEA) 国家/地区的个人收集的任何个人数据均受 GDPR 约束。如有问题,请发送电子邮件至 [email protected]。 |
修订记录
|
版本 |
发布日期 |
作者 |
描述 |
|
0.1 |
2008 年 7 月 2 日 |
道格·马凯维奇 |
原稿 |
|
0.2 |
2008 年 9 月 25 日 |
道格·马凯维奇 |
将分类部分替换为数据集合,并添加了关于重新分类和计算分类的部分。 |
|
0.3 |
2008 年 10 月 20 日 |
道格·马凯维奇 |
由于原始系统中的缺陷,重写了有关计算分类的部分。更新了目的、适用于和定义。 |
|
0.4 |
2008 年 11 月 4 日 |
道格·马凯维奇 |
删除了方程式,对公共数据的定义进行了小幅更新,并更新了附加信息。对附录 A 进行排序,以便术语按字母顺序显示,并将涵盖的财务信息添加为术语。 |
|
0.5 |
2009 年 2 月 20 日 |
道格·马凯维奇 |
在附录 A 定义 G 中列出的最后一个标识符中添加了一个缺失的项目符号。定义本身没有被修改。 |
|
0.6 |
2009 年 2 月 26 日 |
道格·马凯维奇 |
基于反馈的各种更新。主要更改包括在定义中添加“数据管理员”、添加对信息安全角色和责任的引用以及在附录 A 中添加联邦税务信息。 |
|
0.7 |
2009 年 3 月 18 日 |
道格·马凯维奇 |
更新了附录 A 中 PHI 的定义,以引用 HIPAA 信息安全政策。在附录 A 中添加了身份验证验证程序。 |
|
0.8 |
2009 年 9 月 17 日 |
道格·马凯维奇 |
更新应用到以与相关出版物保持一致。根据总法律顾问的建议,从附录 A 中删除了教育记录。更新了附录 A 中的个人身份教育记录,以参考学生隐私权政策。 |
|
0.9 |
2010 年 1 月 22 日 |
道格·马凯维奇 |
更新了附录 A 以包括出口管制材料。 |
|
1.0 |
2011 年 9 月 15 日 |
道格·马凯维奇 |
更新了受保护的健康信息的定义,以符合新的 HIPAA 政策。删除了 DRAFT 名称。 |
|
1.1 |
2015 年 4 月 7 日 |
劳拉·拉德曼 |
更新了附录 A 以包含受控技术信息。 |
|
1.2 |
2018 年 3 月 20 日 |
劳拉·拉德曼 |
更新了附录 A 以包括 FOUO 和 CUI。 |
|
1.3 |
2018 年 5 月 23 日 |
玛丽安布莱尔 |
更新了附录 A 以包含来自欧盟的个人数据 |
|
1.4 |
2021 年 2 月 21 日 |
约瑟夫·马廖卡 |
将“附加信息”移至侧边栏。添加了目录。 |
|
地位 |
发布日期 |
|
发表: |
2008 年 7 月 2 日 |
|
上次审核: |
2021 年 2 月 21 日 |
|
最近更新时间: |
2021 年 2 月 21 日 |
原文始发于微信公众号(祺印说信安):卡内基梅隆大学:数据分类指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论