目的

这项政策的目的是建立管理大学机构数据的框架.

权威

弗吉尼亚法典第23条.第1-1301条，经修正，授予访问委员会制定有关该机构的规则和政策的权力. 第七节.第01(a)(6)条 访客委员会章程 授权校长执行董事会与大学运作有关的政策及程序.

重组高等教育财政和行政运作法; 弗吉尼亚法典第23条.1-1000等序列.，经修订

定义

应用程序管理员 -具有管理应用程序或系统权限的个人, 谁负责确保适当的控制, 机制, 并且流程已到位，以满足保护信息技术资源所需的安全要求.

数据分类 -在信息安全的背景下, 它是根据数据的敏感程度和如果披露这些数据对大学的影响对数据进行分类, 改变, 或擅自销毁.

数据元素 -电子记录保存, 字符或字节的组合，指的是一个单独的信息项，如名称, address, 和年龄.

数据合规性所有者 - 数据遵从性所有者了解其权限下数据的遵从性要求, 指定其数据的合规级别, 并批准访问和使用数据.

• 大学数据合规负责人监督整个大学共享或利用的数据的合规性, 比如HR, 金融, 金融援助, 和学生FERPA数据.
• 部门数据合规负责人监督特定于部门应用程序或系统的数据，而这些数据不是由一个或多个大学数据合规负责人监督的.

数据用户 -获授权查阅院校资料和资料，以履行其指定职责或履行其在大学社会中的角色的人士.

资讯保安主任(ISO) -最靠谱的网赌软件的雇员, 由院长或指定人员任命, 谁负责开发和管理最靠谱的网赌软件的信息安全项目.

机构数据 - 由任何指定的董事会成员或与任何指定的董事会成员进行的交易或活动的记录信息, 官, 或大学雇员. 不考虑物质形式或特征的, 记录的信息如果产生，就是机构记录, 收集, 收到了, 或根据法律或与大学业务交易有关而保留的资料. 记录这种资料的媒介与确定该记录是否为机构记录无关. 机构记录包括但不限于人事记录, 学生记录, 学习成绩, 财务记录, 病人记录和行政记录. 记录格式/媒体包括但不限于电子邮件, 电子数据库, 电子文件, 纸, audio, video, 和图片.

个人身份信息 - 个人身份信息(PII)被定义为与个人相关或以其他方式识别个人的数据或其他信息，或以合理可能的方式提供有关个人的信息，从而能够识别特定的人并使有关他们的个人信息为人所知. 用于ODU的分类, 某些个人信息可以被视为公开的, 例如FERPA下指定的目录信息, 或机密或限制性基于使用信息的能力有害的目的，如身份盗窃.

RESEARCH和学术数据(“RESEARCH数据”) - 数字记录的信息(支持或验证RESEARCH项目的观察结果所必需的), 发现, 或输出. 具体来说，这些数据是:

1. 由大学员工和/或学生在进行RESEARCH和/或从事学术活动时获得和/或维持的;
2. 学术的:为追求RESEARCH或学术功能而创建或更新的;
3. 支持RESEARCH或学术发现所必需的, 确立发明的有效性, 并证明知识产权的所有权.

系统合规性 -负责操作和维护大学IT系统或监督其职权范围内托管系统的经理或部门负责人. 系统遵从性所有者负责其系统的整体遵从性和安全性.

范围

这一政策适用于旧道明大学信息技术资源的所有用户，并通过合同安排管理所有由大学拥有或为大学业务运营的信息技术资源. 用户可以包括员工、学生、志愿者和机构访客. 员工包括所有员工, 管理员, 教师, 全职或兼职, 以及由大学支付报酬的机密或非机密人员. Students include all persons admitted to the University who have not completed a program of study for which they were enrolled; student status continues whether or not the University's programs are in session. 访客包括供应商和他们的员工, 学生家长, 志愿者, 客人, 不请自来的客人, 以及所有其他居住在房产上的人, 租赁, 或以其他方式由大学控制或使用由大学提供的资讯科技.

此策略是指所有已拥有的数据, 使用, 创建, 或由大学维护，无论是单独控制还是共享, 独立或联网. 它适用于自有、租赁、运营或承包设备上的所有数据源.

政策声明

数据管理与分类

最靠谱的网赌软件的政策是，机构数据管理的框架建立在公认的实践标准之上, 对机构数据的理解, 以及数据管理中涉及的角色和职责.

机构数据及其处理基础设施的安全性, 传播, 或存储是按照公认的信息安全管理标准进行的, 如ISO/IEC 27001/2, 信息技术。安全技术。信息安全控制的操作规程, 行业最佳做法和同类高等教育机构的做法.

数据分类和相关的保护性控制考虑到学术和商业共享或限制信息的需求以及与此类需求相关的影响. 数据分类通知安全决策，例如存储数据的位置, 授权和访问需求, 业务连续性和灾难恢复计划, 并保存在风险评估文件中. 数据分类级别以及某些传输和存储期望在 信息技术标准02.数据管理和分类.

RESEARCH和学术数据

RESEARCH和学术数据通常不被视为机构数据，由RESEARCH和学术数据治理委员会(RSDGC)管理。. RSDGC是一个校级委员会，负责监督根据大学政策和适用法律管理和访问大学RESEARCH数据的政策和指导方针.

角色和职责

数据合规负责人的具体责任, 数据用户, 应用程序管理员, 监督委员会, 其他安全角色在内部进行了标识 信息技术标准01.2.IT安全的角色和职责.

违反此政策应报告给大学的信息安全官员. 任何教师, 发现违反此政策的员工或学生可能会受到适当的纪律处分.

程序

1. 数据遵从性所有者审查和识别数据元素. 中概述的数据分类级别 信息技术标准02.数据管理和分类 数据遵从性所有者做出分类决定.

2. 系统合规负责人将与数据合规负责人合作，根据以下规定进行系统风险评估 资讯科技标准08.1.0 -风险评估标准 适用于所有维护敏感数据的新系统和托管系统. 完成的系统风险评估将转交给信息安全主任.

记录保留

适用的记录必须保留，然后按照 联邦记录保留时间表.

负责人员

资讯保安主任

相关信息

访客委员会政策第1424号，知识产权政策

大学政策3500 -计算机资源的使用

大学政策3501 -信息技术访问控制政策

大学政策3505 -信息技术安全政策

大学政策4100 -学生记录政策

大学政策5350 -RESEARCH和学术数字数据管理政策

信息技术标准02.4.IT资产控制

资讯科技标准05.1.IT安全事件处理

资讯科技标准05.2.0 -数据泄露通知

资讯科技标准05.3.0 -威胁检测

资讯科技标准06.6.0 -安全监控和日志

RESEARCH志愿者或访问Academics协议办公室