大学所有员工都有责任保护敏感资料以免遗失或被盗. 对以下程序的认识、教育和实践可以帮助解决这个问题. 这些程序是为了帮助保护员工, 客户, 承包商, 并使该大学免受因丢失或滥用敏感信息而造成的损害.

本文档涉及在办公环境或可能引用数据的移动环境(在家中或在笔记本电脑上)保护敏感数据和物理硬件。. 它不是针对存储在大学服务器上的电子数据. 

程序

目标

才能有效地保护和保障高校数据的安全, 已确立了下列目标:

1. 教育用户网络安全
2. 教育用户电脑安全知识
3. 对用户进行安全的办公环境教育
4. 对用户进行敏感数据教育

员工意识和教育是确保大学敏感数据安全的一个组成部分. 所有员工都可以使用以下资源:

网络安全资源

1. 年度网络安全培训
2. 网络安全网站
3. 每月网络安全通讯
4. 计算机病毒和恶意软件政策

电脑保安资源

1. 电子邮件策略
2. 可接受使用政策
3. 机密性、数据 & 安全策略
4. 设置强密码
5. 使用密码管理器

安全办公资源

a)用于访问敏感数据的钥匙或钥匙卡不应无人看管
b)密码不应共享或写下来，并留在易接近的地方
c)如果你的学生经常使用你的机器, 联系IT服务台并为该学生申请一个员工账户. (请勿泄露密码)
d)确保密码不是常见的信息，如出生日期, 孩子的名字, 宠物, 电话号码, 等.
e)当你离开你的工作站，锁定你的电脑屏幕
f)锁上笔记本电脑、USB驱动器、外置驱动器等. 当无监督
g)将计算机移交给新用户时，请与IT服务部联系. IT将清理计算机，删除以前的数据，并在机器上放置一个干净的图像.
h)包含敏感数据的打印输出应立即从联网打印机中移除，并妥善保存在安全的橱柜中
i)立即将硬拷贝上的敏感数据粉碎处理
j)部门前台人员应确认所有进入其区域的访客(GVSU员工/学生工作人员或非GVSU员工)的身份。

i. 员工应该对询问某人来自哪个单位以及访问的目的感到自在

ii. 在允许员工/学生员工在其部门范围内进行工作之前，员工应该放心地确认会议

3. 跟GVSU的员工确认一下他们的会面安排

iv. 非博天堂官方员工必须在陪同下进出会议区/工作区

v. 请求ID(如有必要)

k)所有员工都有责任观察或倾听任何不寻常的活动，并对周围环境有认识.

敏感数据资源

敏感资料可在办公室内以硬拷贝或电子方式分发.

a)“敏感数据”包括但不限于以下项目, 以电子或印刷形式储存:

• 所有FERPA保护的资料*
• 信用卡号码(部分或全部)
• 信用卡到期日
• 持卡人的名字
• 持卡人地址
• 社会安全号码
• 企业识别号码
• 雇主识别号码
• 薪水
• 薪水单
• 利益的信息
• 给信息/历史
• 健康信息
• 外部赠款或合同的内容 

b)保护硬拷贝敏感数据:

• 当不使用或长时间离开时，锁上装有敏感数据的橱柜
• 存放敏感数据的房间应在一天结束或无人看管时上锁
• 桌子, 工作站, 公共工作区, 打印机, 传真机不使用时应清除所有敏感数据
• 白板、白板、写字板等. 不使用时应该擦除、移开或撕碎吗
• 要粉碎的文件应立即粉碎或锁起来，直到可以粉碎
• 在一天结束的时候，所有的敏感数据都应该锁在一个抽屉或橱柜里

c)保护电子敏感数据. 如对如何以电子方式储存/分享敏感资料有疑问/疑虑，请与资讯科技署联络.

• 不, 在可能的情况下，不要将敏感数据存储在个人电脑硬盘驱动器或任何外部个人设备上. 相反，使用网络驱动器空间.
• 如果需要在您的个人电脑硬盘驱动器或外部设备上存储敏感数据, 应采用加密和密码保护.
• 当工作空间未被占用时，启用屏幕保护程序.
• 电脑工作站应该在工作日结束时完全关闭.
• 不使用笔记本电脑或包含敏感数据的外部设备时将其锁定.
• 确保数据和/或电脑工作站的屏幕对公众不可见(e).g. -靠近窗户、出入口门等.)
• 如果使用电子邮件共享敏感数据，则必须使用加密和/或密码保护. 以下声明应附在电子邮件正文中:
• “此信息可能包含机密和/或专有信息，并针对最初发送给其的个人/实体. 严禁他人使用.”

*有关FERPA数据的信息见 www.博天堂官方.edu/registrar 点击学术政策，然后点击FERPA.

GVSU安全框架参考

• NIST的ID.GV-1; PR.AT-1; PR.AT-3; PR-AT-4; PR-AT-5