跳过导航
ballbet体育政策x - 1.14

媒体保护

政策范畴 政策没有. & Title 政策的主人 生效日期 修订号 Eff修订. Date 审查周期

X

信息治理、安全 & 技术

X-1.14

媒体保护

信息安全副总裁 2021年7月1日 N/A N/A 一年两次的
  1. Purpose

    本政策旨在为ballbet体育下载全球校园(“ballbet体育”或“大学”)信息技术资源相关的媒体保护过程建立信息安全标准.

  2. 范围和适用性

    本政策适用于所有大学信息系统和信息技术资源. 所有用户都有责任遵守本政策.

  3. 定义

    大写的术语应具有本协议赋予它们的含义,并且在以单数或复数形式或任何适当时态使用时应具有相同的含义.

    1. 授权用户: 已被授予访问电子信息资源的授权并拥有当前权限的用户.

    2. 承包商: 承揽合同提供材料或劳力以提供服务的人或公司.

    3. 受控非机密信息(CUI): 指不符合行政命令12958所规定的国家安全分类标准的非机密信息, 修订的, 但是否(i)与美国的国家利益或联邦政府以外实体的重要利益有关, 以及(ii)根据法律或政策要求免受未经授权的披露, 特殊处理措施, 或规定交换或传播的限制. CUI包括个人身份信息(PII).

    4. 数字媒体: 一种电子媒体形式,其中数据以数字形式(与模拟形式相反)存储.

    5. 雇员: 大学教职员工,包括非免费、免费和海外教职员工和大学教职员工.

    6. 联邦合同信息(FCI): 信息, 不打算公开发布, 根据为政府开发或提供产品或服务的合同为政府提供或生成的信息, 但不包括政府向公众提供的信息(例如在公共网站上)或简单的交易信息, 如处理付款所必需的.

    7. 信息技术资源: 用于自动采集的任何设备或互连系统或设备的子系统, storage, 操纵, 管理, movement, control, display, switching, 交换, 传输, 或直接由教统会或根据与教统会签订的合约而须使用该等设备的第三者接收数据或资料. 这个术语包括计算机, 移动设备, software, firmware, 服务(包括支援服务), 和ballbet体育的网络,通过物理或无线连接, 无论连接到网络的信息技术资源的所有权如何.

    8. 信息系统: 相互关联的信息技术资源的组成部分一起工作的集合, 处理, 维护, use, sharing, 传播, 或信息的处理.

    9. 信息系统管理: 大学教资会职员或其他为大学提供服务、负责发展的个人, 采购, 合规, 和/或信息系统的最终处置.

    10. Media: 物理设备或书写面,包括, 但不限于, 磁带, 光碟, 磁光盘, 大规模集成电路(LSI)存储芯片, 记录信息的打印输出(但不包括显示媒体), stored, 或者在信息系统中打印.

    11. 可移动媒体: 可从计算设备或网络中添加或删除的便携式数据存储介质. 注:例子包括但不限于:光盘(CD, DVD, Blu-ray); external / removable hard drives; external / removable Solid State Disk (SSD) drives; magnetic / optical tapes; flash memory devices (USB, eSATA, 闪存驱动器, Thumb Drive); flash memory cards (Secure Digital, 压缩闪存, 记忆棒, MMC, xD); and other external / removable disks (floppy, Zip, Jaz, 伯努利, UMD).

    12. User: 大学社区成员, 包括但不限于, staff, faculty, students, alumni, 以及代表大学工作的个人, 包括第三方供应商, 承包商, 咨询顾问, 志愿者, 以及其他可能有需要的人, 使用或控制大学数据.

  4. 媒体保护

    大学信息系统的所有用户都应遵守大学的媒体保护政策,以确保在存储期间保持对设备和媒体保护的信息安全要求, 运输, 信息技术资源的处置.

    1. 大学信息系统必须消毒,或包含联邦合同信息(FCI)或受控非机密信息(CUI)的信息系统媒体必须在处理或释放重复使用之前销毁. 学校必须使用符合NIST SP800-88rev1媒体消毒指南的方法. 这一要求适用于所有存储介质和包含存储介质的设备的永久处置或重用,无论接收方的身份与存储在该介质上的数据相关的风险如何. 它也适用于送去维护或修理的设备.

    2. 对电子媒体进行消毒的程序必须记录在案,数据销毁记录必须保留,无论是由大学内部或承包商执行.

    3. 大学信息系统的所有用户必须保护(i.e., 包含受控非机密信息的信息系统媒体, 纸质的和数字的.

    4. 只有授权用户才能访问信息系统媒体上的CUI.

    5. 媒介必须用必要的CUI标记和分布限制进行识别.

    6. 当这些设备没有可识别的所有者时,必须禁止使用非umgc管理的可移动媒体.

    7. 大学信息系统的所有用户必须控制对含有CUI的媒体的访问,并在运输到控制区域外时对媒体负责.

    8. 大学信息系统的所有用户必须实施加密机制,以保护在运输过程中存储在数字媒体上的CUI的机密性,除非另有替代物理保障措施保护.

  5. 异常

    此政策的例外情况应提交给信息安全副总裁进行审查和批准. 如果要求例外,应记录补偿控制或保障措施并予以批准.

  6. 执行

    1. 任何员工, 承包商, 或代表大学履行职责的第三方,如果知道有人涉嫌违反本政策,应尽快通知信息安全副总裁.

    2. 任何员工, 承包商, 或其他代表大学履行职责的第三方,如果违反本政策,可能会被拒绝访问信息资源,并可能受到纪律处分, 直至并包括终止雇佣或合同或提起法律诉讼.

  7. 相关政策

    1. ballbet体育 X-1.04年信息安全

    2. ballbet体育 X-1.05信息安全意识与培训

    3. ballbet体育 X-1.02年数据分类

    4. ballbet体育 X-1.帐户管理(ballbet体育学习社区)

    5. ballbet体育 X-1.19B帐户管理(ballbet体育员工)

  8. 有效日期: 本保单自上述生效日期起生效.