支持页面内容
数据安全与记录保留
CSU信息安全政策和标准 and EO-1031记录保留政策 requires that 萨克拉门托 State delegates administrative authority and responsibility to appropriate campus administrators charged with granting access and ensuring appropriate controls are in place to protect campus information assets.
The following five distinct governing bodies are responsible for helping to create and approve policies and procedures that support data security and data‐driven decision‐making:
- 数据管治执行委员会
- 数据所有者组
- 档案管理工作小组
- 数据报告治理工作组
- 电脑保安事故应变小组(CSIRT)
数据管治执行委员会
会员: Cabinet members
目的: To provide executive level guidance to the program, and:
- 审查记录管理工作组和数据所有者小组的可交付成果,做出决定,并将决定传达给小组和校园。
- 审查和指导记录管理和数据所有者组的优先级。
- 在需要时考虑对资源的请求。
- Ensure that major data security initiatives align with the University’s strategic goals.
- 正式指定和委派官方数据拥有人负责其职权范围内的数据记录。 (如果数据执行人员没有正式指定特定数据系列的数据所有者,则数据执行人员保留数据所有者的责任)。
资料保安行政会议(内阁)运作
- 职责可以在定期召开的内阁会议上进行。 Agenda items will be submitted to the 总统’s Office via a Cabinet member.
数据所有者组
数据所有者小组由高级校园管理人员组成,他们在确保大学数据的机密性和安全性方面发挥主要领导作用。 They have policy‐level managerial responsibility for data within their functional areas, and are supported by a select group of information technology managers with data-related roles. 数据所有者必须有其副总统/内阁成员的正式指定或授权。 该小组将主要关注合规性和安全问题,并将:
- Grant access to data and ensure appropriate controls are in place to protect information assets based on ISO Domain 9:访问控制策略 and ISO Domain 8:资产管理策略
- 对数据进行分类,定义控制,授权访问,监控校园安全政策和标准的遵守情况,并指定可接受的风险级别。
- Ensure development of appropriate role‐based or attribute‐based permissions and employment groups that allow appropriate access to be granted efficiently.
- 审查并批准定义如何向数据集提供适当访问的企业系统安全角色。
- 确保当有权限的个人被调到校园的不同职位/部门或离开校园时,对记录的访问权限进行审查和/或删除。
- 监督记录的保存和处理过程。 The Data Owner is the campus-designated department head who maintains the official/original copy of the record/information series for retention purposes in compliance with EO 1031记录保留政策. Please refer to the CSU记录保留和处理时间表.
- Identify business units and systems that are not compliant with CSU records retention requirements, and ensure that those units/systems are aware of their non‐compliance.
- Comply with CSU and 高校数据分类与保护标准.
- Ensure that the biennial 敏感数据盘点调查 is completed by all units within their responsibility.
- 参与校园安全意识培训项目的开发和实施。
- 为其职权范围内的特定数据集指定官方数据管理人员。 如果数据所有者没有为一个或多个数据集指定数据管理器,则数据所有者保留数据管理器职责。
- 起草政策和标准并向内阁提出建议。
- 建议校园数据改进,并向记录管理工作组提供输入,以通知项目文档。
- 审查和讨论合规性和安全问题,以确保它们在大学的信息安全技术和业务指导方针、标准和流程中得到合理和一致的解决。
数据所有者组操作
- 至少每季度开一次会。
| 安排系列 | 时间表系列数据所有者标题 | 成员 |
|---|---|---|
| 1.0 人力资源 Personnel/Payroll (rev. 8-24-2022) | 人力资源高级副总裁 | Machelle马丁 |
| 1.4、1.5、1.17人力资源人员(rev. 8-24-2022) | 包容性卓越副总裁 | 迈克尔·阮 |
| 2.0 Fiscal (rev. 3-13-2023) | 金融服务助理副总裁 | 吉娜咖喱 |
| 3.0 Environmental Health & Safety (rev. 2-26-2020) | 环境健康与安全主管 | 泰勒哈里斯 |
| 4.0 学生记录 (rev. 5-19-2021) | 负责学生服务和注册管理系统的副校长 | 塔拉Hardee-Teodoro |
| 4.3经济援助(修订版:5-19-2021) | 财政援助和奖学金主任 | 蒂娜借给 |
| 4.1.8, 4.5.3, 4.7.1和4.7.2学生健康记录(rev. 5-19-2021) | 负责学生健康和咨询服务的高级助理副总裁 | 珍妮·哈里斯·范·达伦 |
| 5.0 Facilities (rev. 3-15-2023) | 负责设施管理的副总裁 | 费利西亚约翰逊 |
| 6.0 University Police (rev. 3-17-2023) | 警务处处长 | 切特麦迪逊 |
| 7.0 大学的发展 (rev.6-17-2019) | 助理副总裁,负责发展和前景参与 | Sharise哈里森 |
| 8.0 Academic Personnel (rev. 8-26-2019) | 负责教师成功的副教务长 | 丽贝卡·卡梅隆 |
| 9.0 Curriculum & Accreditation (rev. 6-19-2019) | 学术卓越协理副校长 | 艾米·华莱士 |
| 10.0 研究 & Sponsored Programs (rev. 7-23-2019) | 负责研究、创新和经济发展的副总裁 | 丽莎Hammersley |
| 11.0 Institutional Records (rev. 2-3-2021) | 参谋长 | 克里斯汀·都铎 |
档案管理工作小组
会员: 数据所有者、管理人员、消费者和IT经理
目的:
- 帮助解释和管理策略。
- 创建和维护程序文档。
- 建议适当的资源(人员,技术基础设施等),并确保适当的规划协议到位,以支持大学的数据安全和保留需求。
- 倡导和促进整个大学的数据管理。
- 促进校园安全意识和培训计划的发展/交付。
记录管理工作小组运作
- The group will meet bi‐monthly at minimum.
- 如有四分之三的成员出席,即达到法定人数。
- 向内阁提出的正式建议和/或项目文件的更新需要得到法定人数的批准。
- 每次会议都要做会议记录,并在下次会议上通过。
| 位置 | 成员 |
|---|---|
| 档案 | 空 |
| 审计 | 空 |
| 人力资源 | Machelle马丁 |
| 资讯保安主任(CISO) | Nathan Zierfuss-Hubbard |
| 制度研究 | 空 |
| 总统 | 空 |
| Records Manager | 空 |
| 报告和数据服务 | 格雷格·波特,临时 |
| 主席和教师代表 | 空 |
| 风险管理 | 托德Dangott |
| 学生记录 | 空 |
数据管理员
数据管理员 oversee and support the day‐to‐day business processes used to maintain University data. 数据管理员通常被认为是特定数据元素集的主题专家,并且了解数据消费者如何使用数据。 数据经理通常由数据所有者指定,并与数据所有者有组织的报告关系,他们将:
- 遵守大学和科罗拉多州立大学的政策,遵循既定的数据处理和记录保留的业务流程,并对其所负责的记录负责。 Refer to the CSU记录保留和处理时间表 and Csu eo 1031.
- Identify business units and systems that are not compliant with CSU records retention requirements and ensure that those units/systems are aware of their non‐compliance (in coordination with Data Owners when appropriate).
- Ensure that the 两年一次的敏感数据清单调查 is completed by all units under their responsibility (in coordination with Data Owners when appropriate).
数据使用者
数据消费者包括个人、组织单位和信息系统,他们被授予访问数据的特定用途,如分析和报告。 这个名称也可以包括为特定目的摄取和/或转换数据的下游信息系统。
数据使用者
- 向记录经理和/或数据所有者提供有关数据管理和安全需求的输入。
- Review data security and management reports for the purpose of data‐driven decision‐making.
- 识别和报告数据质量问题。
- 参加培训,清楚地了解自己的数据责任,并按照程序确保数据安全。
数据授权
萨克拉门托州立利用了许多博彩平台程序和系统来存储、使用和/或传输数据。 这些数据可能包括机密、敏感和/或需要知道的信息。 根据CSU政策,只有在经过必要的审查、批准并完成CSU系统范围数据安全隐私和FERPA培训后,才能授予对这些数据的访问权限。
除了用户访问之外,还有一些实现可能需要在系统之间和/或向其他数据存储库和交换器传输数据。 这些通常是通过博彩平台程序接口和其他由功能和技术人员开发的机制来完成的。
为了确保大学数据得到保护,并在必要时适当地共享,需要进行数据授权请求/批准流程。 这必须在开发/实施从源或目标系统提取和/或导入数据的物流之前完成。 所有数据请求均应由数据经理代为输入,并由其各自的主管批准,然后由适当的数据所有者批准。
For questions and/or assistance to submit 数据授权s requests please contact the Information Security Office (iso@csus.edu) or the Project Management Office (itprojects@csus.edu) in IRT.
电脑保安事故应变小组(CSIRT)
计算机安全事件响应小组(CSIRT)是校园关键响应小组的一个小组,负责评估潜在的安全事件和违规行为,向校长提供建议。
- CSIRT group works closely with the Chancellor’s Office, University Police, 校园顾问, and with the IRT Information Security Office (ISO) during potential breaches to evaluate technical and administrative components, including breach containment and notification requirements.
- ISO定期向委员会提供有关重大安全事件和整体机构风险和漏洞的报告。
会议安排
全年定期召开会议,讨论灾难恢复和事件响应测试等前瞻性任务,以及/或在发生安全漏洞时的需要。
| 位置 | 成员 |
|---|---|
| 校园顾问 | 萨莎丹娜 |
| 警务处处长 | 切特麦迪逊 |
| 参谋长 | 克里斯汀·都铎 |
| 首席信息官 | 马克亨德里克斯 |
| 人力资源 | Machelle马丁 |
| 资讯保安主任(CISO) | Nathan Zierfuss-Hubbard |
| 系统范围的CISO | Josh卡拉汉 |
| 公共关系 | 珍妮黄 |
| 风险管理 | 加里Rosenblum |
| 学生记录 | 布莱恩•亨利 |