数据保护要求
注意 - 从外部来源收到的数据应具有与已发送的相同灵敏度水平。
|
行动 |
形式 |
不敏感 |
敏感的 |
高度敏感 |
|
收集 |
无限制 |
在不需要业务功能的情况下,减少或消除收集。 |
在不需要业务功能的情况下,减少或消除收集。收集有关个人的某些高度敏感数据可能需要批准适当的数据所有者。 |
|
|
访问 |
无限制 |
应根据业务要求提供访问。用于访问敏感(非公共)信息的设备必须符合最低安全标准。 |
访问某些机密数据需要以个人为基础批准数据受托人。用于访问高度敏感信息的设备必须符合最低安全标准。确保有协议可以立即删除任何有访问权限的人的就业状态后的访问权限。 |
|
|
分享 |
无限制 |
根据需要与员工分享。与部门负责人批准的供应商/第三方分享。 |
对于由数据所有者管辖的数据类型,此信息只能出于业务目的共享,并且只能由数据所有者批准。如果数据的接收者需要了解,并且可以将相同类型的信息用于其工作函数,则可以在内部共享有关少数个人的信息,而无需所有者审查。在这种情况下,保密协议可能是适当的。对于不受数据受托人管辖的数据类型,可以在内部共享信息。信息可以与记录的主题共享,也可以与受试者批准的其他方共享。 |
|
|
打印,复制,扫描 |
|
无限制 |
打印机通常将印刷文档存储在本地硬盘驱动器上,有可能允许未经授权访问该信息。避免不必要地打印敏感数据。 |
打印机通常将印刷文档存储在本地硬盘驱动器上,有可能允许未经授权访问该信息。避免打印高度敏感数据不必要。 |
|
发送 |
纸 |
无限制 |
以保护信息免受附带或休闲阅读的方式发送。 |
向特定意向方致辞,并发送密封的信封。标记“仅适用于预期的接收者”。在大学外,应通过认证邮件或快递员发送纸张,并在交货时需要签名。 |
|
|
电子的 |
无限制 |
使用需要收件人在收到之前进行身份验证的方法,例如电子邮件,需要Web登录的网站或需要密码的文件服务器。使用安全的电子邮件服务获取更多私人数据 |
在传输过程中应加密特别的敏感数据或大量机密数据。如果要将机密信息存储在设备(CD/DVD/USB)上以共享,则必须正确处理此类设备。 |
|
|
传真 |
无限制 |
如果必须使用传真,请考虑采取合理的步骤保护数据,包括使用封面表,表明该传真为机密的并且仅由命名的收件人阅读。还要考虑与预期的收件人协调,因此他或她在开始发送之前直接接收传真。 |
传真机通常将传真消息存储在内存中,可能允许未经授权的访问。考虑传真的替代方案高度敏感尽可能的数据。如果必须使用传真,请考虑采取合理的步骤来保护数据,包括使用封面表,表明传真是机密的,并且仅由命名的收件人读取。还要考虑与预期的收件人协调,因此他或她在开始发送之前直接接收传真。 |
|
|
智能手机和平板电脑 |
无限制 |
使用智能手机来访问敏感数据,例如通过电子邮件,将数据具有更高的意外披露风险。通过此设备访问敏感数据的个人必须遵守最低安全标准中规定的标准。 |
使用智能手机来访问高度敏感的数据,例如通过电子邮件,将数据具有更高的意外披露风险。通过这种设备访问高度敏感数据的个人必须遵守最低安全标准中规定的标准。 |
|
存储 |
纸 |
无限制 |
不使用时,请保持非公共区域。 |
应存储在只有授权个人才能访问的物理安全区域中。 |
|
|
电子的 |
无限制 |
用于存储敏感(非公共)信息的设备必须符合最低安全标准。 |
建议对存储数据进行加密。用于存储高度敏感信息的设备必须符合最低安全标准。应仅存储在部门或中央服务器上。云或SaaS提供商应在部署前进行评估。 |
|
|
电子媒体(CD,DVD,USB) |
无限制 |
不使用时将媒体存储在安全的位置。不再需要媒体应立即删除或破坏媒体。 |
建议对存储的数据进行加密。不使用时将媒体存储在安全的位置。不再需要媒体应立即删除或破坏媒体。 |
|
审计 |
|
进行定期审查,以确保数据尚未过时 |
对该数据所在的位置,可以访问它,访问控制机制,加密协议和数据破坏协议进行定期审查。 |
每个部门都应对哪里进行年度审查高度敏感数据已找到,谁可以访问它,访问控制机制,加密协议和数据破坏协议。验证删除访问的程序是否记录下来且准确。 |
|
事件报告 |
|
任何未经授权的披露或丢失必须报告给适当的院长或部门负责人或TSC帮助台 |
任何未经授权的披露或丢失必须报告给适当的院长或部门负责人或TSC帮助台 |
任何未经授权的披露或丢失必须报告给适当的院长或部门负责人或TSC帮助台 |
|
破坏 |
纸张和一次性电子介质(CD,DVD) |
根据可持续性政策处置 |
使用粉碎机或类似的适当技术在物理上破坏,然后再回收或丢弃。 |
使用粉碎机或类似的适当技术在物理上破坏,然后再回收或丢弃。 |
|
|
电子文件(数据)可重复使用的电子存储设备(USB棒,磁盘驱动器) |
使用标准操作系统实用程序删除文件。 |
使用批准的安全删除程序删除。 |
使用批准的安全删除程序删除。 |
|
|
生命尽头的所有电子存储媒体 |
使用标准操作系统实用程序删除文件。 |
可以使用安全擦除工具覆盖的功能电子介质,然后可以回收或处置。必须物理破坏非功能性电子媒体(损坏的磁盘驱动器)。 |
可以使用安全擦除工具覆盖的功能电子介质,然后可以回收或处置。必须物理破坏非功能性电子媒体(损坏的磁盘驱动器)。 |