资讯保安政策
1. 项目范围及目的
该政策的目的是确保帕洛阿尔托大学的信息资源免受意外或故意的未经授权的访问或破坏,同时也保护和培养其学术文化的开放,信息共享要求。
此政策适用于所有大学的学生、教职员工以及任何其他被授权使用帕洛阿尔托大学信息资源的人。帕洛阿尔托大学信息资源的每个用户都有保护这些资产的责任;有些办公室和个人有非常具体的职责。
该政策涉及所有大学信息资源,无论是单独控制的还是共享的,独立的还是联网的。适用于大学拥有、经营或承包的所有电脑及通讯设施。这包括网络设备、移动设备、电话、个人电脑、工作站和任何相关的外围设备和软件,无论是否用于管理、广发体育研究、教学或其他目的。
2. 资讯保安原则
信息安全的目的是保护大学的信息资源不受未经授权的访问或破坏。信息安全涉及信息的保密性、完整性和可用性。
- 机密性是指只有授权用户才能出于授权目的访问或修改信息的能力。
- 诚信是指在追求教学、学习、广发体育研究和管理系统中使用的信息,这些信息可以被信任,正确反映其所代表的现实。
- 可用性是指大学的信息资源,包括网络、硬件、软件、设施、基础设施和任何其他此类资源,可用于支持指定的教学、学习、广发体育研究或管理角色。
3. 信息分类
所有大学信息根据敏感性和风险分为4个级别。
| 防护等级分类 |
|
| 水平 |
披露或妥协的影响 |
| P4 -高 |
未经授权披露或修改可能导致重大罚款、处罚、监管行动或民事或刑事违法广发体育的大学信息和相关IT资源。法定、监管和合同义务是该风险级别的主要驱动因素。其他驱动因素包括但不限于,因无意披露个人信息而对PAU内部/外部成员造成重大伤害或损害的风险。 |
| P3 -中等 |
未经授权披露或修改可能导致小额至中等罚款、处罚或民事诉讼的大学信息和相关IT资源。未经授权使用、访问、披露、获取、修改、丢失或删除可能对PAU内部/外部组成部分造成中度损害的机构信息;可能对一个群体的隐私产生适度的影响;可能造成适度的经济损失;或者可能需要采取法律行动。该分类级别还包括较低风险的项目,当它们组合在一起时,表示风险增加。 |
| P2 -低 |
大学信息和相关IT资源可能不受法律、法规或其他合同义务或授权的特别保护,但通常不打算供公众使用或访问。 |
| P1 -最小 |
公共信息或公众可以随时获得的信息,但其完整性很重要,未经授权的修改是主要的保护措施。满足最低安全要求的IT资源。
|
4. 责任
a.首席信息官-首席信息官负责对本政策和其他相关政策进行解释,并传播相关信息。
b.合规委员会-合规委员会是一个负责监督政策和程序的咨询小组,其中一个方面包括帕洛阿尔托大学信息的保护和使用。
c.业务和数据所有者-业务和数据所有者负责将本政策及相关政策广发体育于其管理或控制下的系统、数据和其他信息资源。
e.系统管理员-系统管理员负责在业务和数据所有者的指导下,将本政策及相关政策广发体育于其所管理的系统、信息和其他信息资源。
f.系统开发商和集成商-系统开发商和集成商负责在业务和数据所有者的指导下,将本政策及相关政策广发体育于其所负责的系统、信息和其他信息资源。
g.用户-帕洛阿尔托大学信息资源的每个用户都有责任将本政策和相关政策广发体育于他们使用、访问、传输或存储的系统、信息和其他信息资源。
h.第三方附属机构/供应商-帕洛阿尔托大学希望所有合作伙伴、顾问和供应商遵守帕洛阿尔托大学的信息安全和隐私政策。如果这些第三方要访问或共享非公开信息,他们应受合同约束,遵守帕洛阿尔托的信息安全和隐私政策。
5. 违反政策和滥用信息
违反本政策的广发体育包括但不限于:访问个人没有合法权利的信息;使未经授权的人士得以查阅资料;以违反适用政策、程序或其他相关法规或法律的方式披露信息;不恰当地修改或者销毁信息的;信息保护不力;或忽视数据所有者对信息资源的正确管理、使用和保护的明确要求。
违规广发体育可能导致网络移除、访问撤销、纠正措施和/或民事或刑事起诉。根据校园政策、广发体育准则或管理个人与大学关系的其他文书,违规者可能会受到纪律处分,包括解雇或开除。应根据员工人事政策或合同的适当条款,或通过适用的法律程序进行追索权。
联系人
| 主题 | 联系 | 电话 | 电子邮件 |
| 资讯保安政策 | 信息技术 | 650-433-3832 | support@paloaltou.edu |
| 联系 | 日期 |
| 大卫·莱维特——创造 | 05/08/19 |
| 大卫·莱维特——修订版 | 6/17/19 |