这是大学所有员工的责任 保护敏感数据，防止丢失或被盗. Awareness, education and 实践以下程序可以帮助解决这个问题. These 有适当的程序来帮助保护员工，客户， 承建商与大学的相关损失或损害赔偿 misuse of sensitive information.

本文档主要用于保护敏感数据和物理硬件 在办公环境或移动环境中可能有数据 referenced (at home or on a laptop). It is not meant to address 存储在大学服务器上的电子数据. 

Goals

为了有效保护和保障高校数据的安全 following goals have been established:

a)创建、分发并每年评审 “Secure Office Procedure” document
b) Train all staff members 他们的工作与“安全办公室”的敏感数据有关 程序”和资讯保安最佳实务
c) Train 部门经理要意识到程序的重要性 and the need to enforce them 

Staff Training

员工意识和教育是安全的一个组成部分 sensitive data for the university. The following procedures will be enforced to ensure proper training:

a)雇用时，安全办公室程序和 设置强密码文档将通过电子邮件发送给新员工 Secure Office Procedures Page 2 of 4
b) Secure Office Procedure 和设置强密码文件每年发送给所有 employees via email
c)针对每个领域的内部培训; 是否会提供给有权接触敏感数据的员工
d) 资讯科技将提供资讯科技的最佳实务资讯 研讨会，并主动参加年度部门会议 below topics:

i. 对社会工程方案的认识

ii. Secure Office Procedures

iii. Strong Password creation

iv. Data storage

v. Data encryption

vi. Backups

vii. Anti-virus and Anti-spyware tools

viii. Non-secure technologies 

GENERAL OFFICE SECURITY PRACTICES

在办公套间内应遵循下列程序: 可查阅资料的个别办公室或工作室及流动地点: 

a)用于访问敏感物品的钥匙或钥匙卡 data should not be left unattended
b) Passwords should not be 共享的或写下来的，并放在可接近的地方
c) If you 如果有一个学生经常使用你的机器，联系 IT服务台并为该学生申请一个员工账户. (Do NOT give out your password)
d) Make certain passwords aren't common 诸如出生日期、孩子的名字、宠物、电话等信息 numbers, etc.
e)当你离开你的工作站时，锁上你的 computer screen
f)锁定笔记本电脑、USB驱动器、外置驱动器; etc. when unsupervised
g) Contact the IT Service Desk when a computer is to be passed to a new user. IT will clean the computer, 删除以前的数据，并在机器上放置一个干净的映像.
h) 包含敏感数据的打印输出应从网络中删除 打印机立即并妥善归档到安全的橱柜中
i) 立即将敏感资料粉碎，以处理硬拷贝
j) 部门前台人员应确认所有访客的身份 (GVSU员工/学生工作者或非GVSU员工)进入 their area(s)

i. 员工应该对提出要求感到自在 来自哪个单位，访问的目的是什么

ii. 员工应该乐于确认 在允许员工/学生员工继续工作之前召开会议 within their departmental areas

iii. Confirm with the GVSU employee they are scheduled to meet

iv. 非gvsu员工必须在陪同下进出 meeting area/work area

v. Request ID if necessary

vi. 提供前厅部员工的能力 提前查看日历或打印会议日程安排 they will expect attendees

k)所有员工应负责看管 或者倾听任何不寻常的活动，并认识到他们周围的环境.

Sensitive Information

敏感数据可以通过硬拷贝或电子方式分发 within an office. 如果可以选择，以电子方式存储数据 versus printing a hard copy. 考虑扫描文档来存储它 electronically versus hard copy.

a)“敏感信息”包括但不限于 下列项目，不论是以电子或印刷形式储存:

i. All FERPA protected data*

ii. 信用卡号码(部分或全部)

iii. Credit card expiration date

iv. Cardholder name

v. Cardholder address

vi. Social Security Number

vii. Business Identification Number

viii. Employer Identification Number

ix. Paychecks

x. Paystubs

xi. Benefit information

xii. Giving information/history

xiii. Health information

xiv. Content of external grants or contracts 

b) Securing hard copy sensitive data:

i. 存放敏感数据的机柜应及时上锁 不使用的不使用的或长时间不使用的

ii. 存放敏感数据的储藏室 应该在一天结束或无人看管的时候锁起来吗

iii. Desks, workstations, common work areas, 打印机和传真机应清除所有敏感数据 when not in use

iv. Whiteboards, dry erase boards, writing tablets, etc. 不使用时应擦除、移开或撕碎

v. 要粉碎的文件应该这样做 立即或锁定，直到粉碎可以发生

vi. 一天结束的时候，所有的敏感数据 应该锁在抽屉或柜子里吗

c) Securing electronic sensitive data. Please contact 如果你对信息技术有疑问的话 以电子方式存储/共享敏感数据.

i. 尽可能避免存放敏感物品 数据在您的个人电脑硬盘驱动器或任何外部个人 devices. Instead use the network drive space.

ii. 如果需要存储敏感数据 您的个人电脑硬盘驱动器或外部设备，加密 并且应该应用密码保护

iii. 当工作空间未被占用时，启用屏幕保护程序

iv. 电脑工作站应该关闭 completely at end of work day

v. 锁定笔记本电脑或外部设备包含 sensitive data when not in use

vi. 确保数据和/或PC工作站 公众看不到屏幕(例如.g.- near windows, entry/exit doors, etc.)

vii. 如果电子邮件被用来共享敏感数据， 应使用加密和/或密码保护. The following 声明应附在邮件正文中:
“This message 可能包含机密和/或专有信息，并且是 适用于最初的收件人/实体. 严禁他人使用.”

*有关FERPA数据的信息见 mx4a.lfchatkcrdifzr.com/registrar and click on FERPA