数据安全标准
《数据保安标准》的目的是提供指引,帮助大学社会了解哪些资讯系统适合处理和储存在《数据管治政策》中分类的不同类型的数据。
标准数据
这些标准帮助大学社区了解哪些信息系统适合处理和存储不同类型的数据。这不是一个完整的信息系统列表,但旨在让大学社区了解如何保护大学数据。为了便于导航,应用标准的示例显示在两个类别中。
- University-managed:由SFU的企业或本地IT操作、管理和支持的机构服务、系统和设备。
- 单独管理:被操作、管理和支持的服务、系统和设备独立企业或本地IT部门。
大学管理
个人管理
标准
- 适当限制访问权限,以便只有授权的组和用户可以访问。由于用户的角色会随着时间的推移而变化,因此通过基于角色的组控制访问比使用单个命名用户更可取。
- 通过共享链接而不是共享数据文件来减少不必要的数据拷贝。数据文件的副本较难限制和保持最新,而链接文件可以在未来根据需要更新和更改访问权限。
- 大学提供的部门文件存储(SFU SharePoint, SFU OnBase,文件服务器)优先。
如果必须使用文件附件,建议使用文件加密。
大学提供的个人档案储存(学院库)通常在个人之间共享文件,而不是在基于角色的组之间共享,这使得随着用户角色的变化,控制适当的访问变得更加困难。
University-provided邮件(学院的邮件),即时消息通常也发生在个人之间,而不是基于角色的组之间。即时消息的典型使用鼓励共享文件,而不是将它们存储在大学提供的部门文件存储中,在这种存储中,随着角色和职责的变化,更容易维护数据和访问权限。
- 并不是所有类型的数据都适合所有大学批准的云服务。例如,一些大学批准的云服务可能托管在加拿大以外,不适合个人信息。
- 加密可移动存储设备,如外置硬盘和USB闪存驱动器。
- 不要将大学数据存储在非托管设备上,因为与设计用于处理和提供数据长期管理的大学系统相比,它们通常缺乏所需的控制和保护。非托管设备在用于访问大学数据时需要增加安全设置。
- 不要使用非大学云服务来存储或共享大学数据,因为它们缺乏保护大学数据所有权和控制权的合同或服务协议。不要使用个人电子邮件存储或分享大学数据。