III-1的信息类型和灵敏度

批准日期:2016年10月4日
生效日期:2016年10月4日
负责人:首席信息安全官
负责办公室:[U]高科技信息安全办公室
修订历史:2.0版;过时2016年10月4日
相关立法和大学政策: 

审查期限:5年
最后一次审查的日期:2016年10月4日
有关:教师,员工,学生,校友,会员帐户持有人
 

目的

该标准的目的是与基于信息层级的基线安全要求的确定,以帮助用户永利棋牌游戏app下载(与数据管理,所有权和保管职责分配的人)。每个类别的信息将有一组分配的基准数值增加的安全标准层应用在解决保密性,完整性和可用性风险管理计划的一部分。

范围

该政策适用于所有永利棋牌游戏app下载永利棋牌游戏app下载的信息。许多的安全要求,在网络信息技术系统的目标。

消除

不适用。

第三类标准信息分类

一般

CWRU采用了3层系统进行分类的信息的类型和灵敏度。每个三类是基于风险支持大学使命的机密性,完整性和数据可用性等领域的大学决定。信息(或数据)所有者负责通过适用的控制层的实现确定其信息的影响度和风险管理这些信息。

这些类别是从联邦信息处理标准199(衍生FIPS-199)

信息类别 保密 廉正 可用性
上市 中等 中等
内部使用 中等 中等 中等
限制 中等 中等

永利棋牌游戏app下载将不使用术语“机密,机密,绝密”,除非它们能够准确地描述由美国如此分类信息政府在OMB公告A-130作为有关国家安全的信息。在一般情况下,没有任何信息在该水平将出现在永利棋牌游戏app下载的学术,行政,科研,和[u]高科技环境。

信息管理要求

信息应被分为技术或管理类别,从而控制可以应用,以保证风险的保密性,完整性和可用性的有效管理。最敏感的信息将有最强的一组控制。信息类别的确定是所有信息化管理和风险管理决策的要求。

公开信息

在永利棋牌游戏app下载的显著多数在使用信息是公开的。信息系统是存储,处理或管理公共信息应用的最小安全配置和管理标准。这些标准已被批准用于在IT环境中,至少所有的永利棋牌游戏app下载使用,并且可以被增强以更严格的管制,信息所有者认为合适。控制和安全标准的公共信息包括网络主机的基本硬化,系统软件自动更新,防病毒(和防间谍软件)安装和自动更新软件,以及相应的数据备份。

仅供内部使用信息

信息系统是存储,处理或管理仅供内部使用信息应用的最低安全标准,并与另外一组主机配置的提升通过网络以降低主机妥协的风险,或盗窃事件从数据泄露/丢失或该系统的损失。这些内部使用控制和安全标准,包括网络身份验证,用户访问控制,增强了系统的强化,审计,数据备份,系统灾难恢复计划,并定期风险评估。在一般情况下,任何信息披露的关注,但预计将有上大学运营的影响最小。

限制信息

信息系统是存储,处理或管理限制信息,应用上述控制和安全标准,以及最严格的控制在大学环境中的地址保密问题。这些被称为受限信息控制和安全标准。

多层系统受冲突时的信息处理系统的信息多于一层,对于最高级别的要求将被应用。

责任

永利棋牌游戏app下载[U]技术服务将确定基本的保护控制系统和工作流程设计的管理风险的方式,每个信息类别保护。

定义

信息所有者:大学官方(大学教师或工作人员)谁负责的信息在给定的学校或部门的安全性。这位官员往往具有指导行政程序或购买/预算授权来处理服务,丢失/损坏,披露或修改信息中断的后果管理权限。

保密:数据或信息不提供或泄露给未经授权的人员或进程的属性

完整性:数据或信息没有被篡改或以未授权方式破坏财产。

可用性:属性的数据或信息是由授权人访问并在需要时使用。

注意:如2009年5月15日的,信息的类别改变为I级,II,III命名法(仅公开,内部使用,限制)。

在10月,2016年,与罗马数字信息层号码被移除,有利于现在在参考控制标准中使用的描述性类别(公共的,内部使用,限制)的。

标准复审周期

该标准将每两年审查的政策生效日的周年纪念日,在最低限度。标准可根据风险的变化更频繁的基础上进行审查。