安全意识策略
大学所有员工都有责任保护敏感资料以免遗失或被盗. 对以下程序的认识、教育和实践可以帮助解决这个问题. 这些程序是为了帮助保护员工, 客户, 承包商, 并使该大学免受因丢失或滥用敏感信息而造成的损害.
本文档涉及在办公环境或可能引用数据的移动环境(在家中或在笔记本电脑上)保护敏感数据和物理硬件。. 它不是针对存储在大学服务器上的电子数据.
程序
目标
才能有效地保护和保障高校数据的安全, 已确立了下列目标:
- 教育用户网络安全
- 教育用户电脑安全知识
- 对用户进行安全的办公环境教育
- 对用户进行敏感数据教育
员工意识和教育是确保大学敏感数据安全的一个组成部分. 所有员工都可以使用以下资源:
网络安全资源
- 年度网络安全培训
- 网络安全网站
- 每月网络安全通讯
- 计算机病毒和恶意软件政策
电脑保安资源
- 电子邮件策略
- 可接受使用政策
- 机密性、数据 & 安全策略
- 设置强密码
- 使用密码管理器
安全办公资源
a)用于访问敏感数据的钥匙或钥匙卡不应无人看管
b)密码不应共享或写下来,并留在易接近的地方
c)如果你的学生经常使用你的机器, 联系IT服务台并为该学生申请一个员工账户. (请勿泄露密码)
d)确保密码不是常见的信息,如出生日期, 孩子的名字, 宠物, 电话号码, 等.
e)当你离开你的工作站,锁定你的电脑屏幕
f)锁上笔记本电脑、USB驱动器、外置驱动器等. 当无监督
g)将计算机移交给新用户时,请与IT服务部联系. IT将清理计算机,删除以前的数据,并在机器上放置一个干净的图像.
h)包含敏感数据的打印输出应立即从联网打印机中移除,并妥善保存在安全的橱柜中
i)立即将硬拷贝上的敏感数据粉碎处理
j)部门前台人员应确认所有进入其区域的访客(GVSU员工/学生工作人员或非GVSU员工)的身份。
i. 员工应该对询问某人来自哪个单位以及访问的目的感到自在
ii. 在允许员工/学生员工在其部门范围内进行工作之前,员工应该放心地确认会议
3. 跟GVSU的员工确认一下他们的会面安排
iv. 非博天堂官方员工必须在陪同下进出会议区/工作区
v. 请求ID(如有必要)
k)所有员工都有责任观察或倾听任何不寻常的活动,并对周围环境有认识.
敏感数据资源
敏感资料可在办公室内以硬拷贝或电子方式分发.
a)“敏感数据”包括但不限于以下项目, 以电子或印刷形式储存:
- 所有FERPA保护的资料*
- 信用卡号码(部分或全部)
- 信用卡到期日
- 持卡人的名字
- 持卡人地址
- 社会安全号码
- 企业识别号码
- 雇主识别号码
- 薪水
- 薪水单
- 利益的信息
- 给信息/历史
- 健康信息
- 外部赠款或合同的内容
b)保护硬拷贝敏感数据:
- 当不使用或长时间离开时,锁上装有敏感数据的橱柜
- 存放敏感数据的房间应在一天结束或无人看管时上锁
- 桌子, 工作站, 公共工作区, 打印机, 传真机不使用时应清除所有敏感数据
- 白板、白板、写字板等. 不使用时应该擦除、移开或撕碎吗
- 要粉碎的文件应立即粉碎或锁起来,直到可以粉碎
- 在一天结束的时候,所有的敏感数据都应该锁在一个抽屉或橱柜里
c)保护电子敏感数据. 如对如何以电子方式储存/分享敏感资料有疑问/疑虑,请与资讯科技署联络.
- 不, 在可能的情况下,不要将敏感数据存储在个人电脑硬盘驱动器或任何外部个人设备上. 相反,使用网络驱动器空间.
- 如果需要在您的个人电脑硬盘驱动器或外部设备上存储敏感数据, 应采用加密和密码保护.
- 当工作空间未被占用时,启用屏幕保护程序.
- 电脑工作站应该在工作日结束时完全关闭.
- 不使用笔记本电脑或包含敏感数据的外部设备时将其锁定.
- 确保数据和/或电脑工作站的屏幕对公众不可见(e).g. -靠近窗户、出入口门等.)
- 如果使用电子邮件共享敏感数据,则必须使用加密和/或密码保护. 以下声明应附在电子邮件正文中:
- “此信息可能包含机密和/或专有信息,并针对最初发送给其的个人/实体. 严禁他人使用.”
*有关FERPA数据的信息见 www.博天堂官方.edu/registrar 点击学术政策,然后点击FERPA.
GVSU安全框架参考
- NIST的ID.GV-1; PR.AT-1; PR.AT-3; PR-AT-4; PR-AT-5