Skip to content
Natuurondernemer
    August 5, 2020 by admin

    Information Security Policy

    Information Security Policy
    August 5, 2020 by admin

    1. Policy Statement

    Der Zweck dieser Richtlinie ist es, einen Sicherheitsrahmen zu schaffen, der den Schutz von Universitätsinformationen vor unberechtigtem Zugriff, Verlust oder Beschädigung gewährleistet und gleichzeitig die Bedürfnisse unserer akademischen Kultur nach offenem Informationsaustausch unterstützt. Universitätsinformationen können mündlich, digital und/oder in Papierform, individuell kontrolliert oder gemeinsam genutzt, eigenständig oder vernetzt sein und für Verwaltung, Forschung, Lehre oder andere Zwecke verwendet werden. Standards und Verfahren, die sich auf diese Informationssicherheitsrichtlinie beziehen, werden separat entwickelt und veröffentlicht.

    Die Nichteinhaltung dieser Richtlinie kann disziplinarische Maßnahmen und mögliche Strafen nach sich ziehen, die in Abschnitt 1.1.7 der Rechte, Regeln und Pflichten beschrieben sind.

    2. Wer von dieser Richtlinie betroffen ist

    Die Informationssicherheitsrichtlinie gilt für alle Fakultätsangehörigen und Mitarbeiter der Universität sowie für Studenten, die im Namen der Princeton University durch ihre Tätigkeit in Universitätsgremien wie Arbeitsgruppen, Räten und Ausschüssen (z. B. dem Fakultäts-Studentenausschuss für Disziplinarangelegenheiten) handeln. Diese Richtlinie gilt auch für alle anderen Personen und Einrichtungen, denen die Nutzung von Universitätsinformationen gewährt wird, einschließlich, aber nicht beschränkt auf Auftragnehmer, temporäre Mitarbeiter und Freiwillige.

    3. Definitionen

    Autorisierung – die Funktion, die Privilegstufen einer Person für den Zugriff auf und/oder die Handhabung von Informationen festzulegen.

    Verfügbarkeit – die Sicherstellung, dass Informationen bereit und für die Nutzung geeignet sind.

    Vertraulichkeit – Sicherstellen, dass Informationen streng vertraulich behandelt werden.

    Integrität – Sicherstellen der Richtigkeit, Vollständigkeit und Konsistenz von Informationen.

    Unberechtigter Zugriff – Einsehen, Überprüfen, Kopieren, Modifizieren, Löschen, Analysieren oder Bearbeiten von Informationen ohne ordnungsgemäße Berechtigung und legitime geschäftliche Notwendigkeit.

    Universitätsinformationen – Informationen, die die Princeton University sammelt, besitzt oder auf die sie Zugriff hat, unabhängig von ihrer Quelle. Dazu gehören Informationen, die in Papierdokumenten oder anderen Medien enthalten sind, über Sprach- oder Datennetzwerke kommuniziert oder in Gesprächen ausgetauscht werden.

    4. Policy

    Die Universität Princeton schützt ihre Informationen in angemessener Weise vor unbefugtem Zugriff, Verlust oder Beschädigung und unterstützt gleichzeitig die Bedürfnisse unserer akademischen Kultur nach offener Informationsweitergabe.

    A. Klassifizierungsstufen

    Alle Informationen der Universität werden auf der Grundlage ihrer Sensibilität und der mit der Offenlegung verbundenen Risiken in eine von vier Stufen eingestuft. Die Klassifizierungsstufe bestimmt die Sicherheitsvorkehrungen, die für die Informationen verwendet werden müssen.

    Wenn Informationen kombiniert werden, muss die Klassifizierungsstufe der resultierenden Informationen unabhängig von der Klassifizierung der Quellinformationen neu bewertet werden, um Risiken zu verwalten.

    Zusätzliche Anforderungen für den Schutz von Informationen in jeder Klassifizierungsstufe sind in den Princeton Information Protection Standards and Procedures festgelegt.

    Die Klassifizierungsstufen sind:

    1. Eingeschränkt

    Die folgenden Universitätsinformationen sind als Eingeschränkt klassifiziert:

    • Sozialversicherungsnummer
    • Bankkontonummer
    • Führerscheinnummer
    • Staatsangehörigenausweisnummer
    • Kreditkartennummer
    • Geschützte Gesundheitsinformationen (gemäß HIPAA-Definition)

    Staats- und Bundesgesetze schreiben vor, dass ein unbefugter Zugriff auf bestimmte eingeschränkte Informationen an die zuständige(n) Behörde(n) gemeldet werden muss. Alle Meldungen dieser Art an externe Parteien müssen durch das Office of the General Counsel oder in Absprache mit diesem erfolgen (siehe: Office of General Counsel/Privacy/Information Technology).

    Die Weitergabe von eingeschränkten Informationen innerhalb der Universität kann zulässig sein, wenn dies zur Erfüllung der legitimen Geschäftsbedürfnisse der Universität erforderlich ist. Sofern nicht anderweitig gesetzlich vorgeschrieben (oder zum Zwecke des Austauschs zwischen Strafverfolgungsbehörden), dürfen keine eingeschränkten Informationen an Parteien außerhalb der Universität, einschließlich Auftragnehmern, weitergegeben werden, ohne dass der vorgeschlagene Empfänger zuvor schriftlich zustimmt, (i) angemessene Maßnahmen zum Schutz der Vertraulichkeit der eingeschränkten Informationen zu ergreifen; (ii) die eingeschränkten Informationen ohne die vorherige schriftliche Zustimmung der Universität oder einen gültigen Gerichtsbeschluss oder eine Vorladung nicht an andere Parteien weiterzugeben; und (iii) die Universität im Voraus über jede Weitergabe aufgrund eines Gerichtsbeschlusses oder einer Vorladung zu informieren, es sei denn, der Beschluss oder die Vorladung verbietet eine solche Benachrichtigung ausdrücklich. Darüber hinaus muss sich der vorgeschlagene Empfänger an die Anforderungen dieser Richtlinie halten. Jegliche Weitergabe von eingeschränkten Informationen innerhalb der Universität muss den Richtlinien der Universität entsprechen, einschließlich der Rechte, Regeln und Verantwortlichkeiten und der Acceptable Use Policy for Princeton University Information Technology and Digital Resources.

    2. Vertraulich

    Universitätsinformationen werden als vertraulich eingestuft, wenn sie nicht unter die Klassifizierung „Eingeschränkt“ fallen, aber aufgrund ihrer sensiblen Natur und/oder vertraglicher oder gesetzlicher Verpflichtungen nicht frei innerhalb oder außerhalb der Universität weitergegeben werden sollen. Beispiele für vertrauliche Informationen sind alle nicht eingeschränkten Informationen in Personalakten, Ermittlungsakten zu Fehlverhalten und Strafverfolgung, interne Finanzdaten, Spenderdaten und Bildungsdaten (gemäß FERPA-Definition).

    Die Weitergabe von vertraulichen Informationen kann zulässig sein, wenn dies zur Erfüllung der legitimen Geschäftsbedürfnisse der Universität erforderlich ist. Sofern die Weitergabe nicht gesetzlich vorgeschrieben ist (oder zum Zwecke der Weitergabe an Strafverfolgungsbehörden), muss der vorgesehene Empfänger bei der Weitergabe vertraulicher Informationen an Parteien außerhalb der Universität zustimmen, (i) angemessene Maßnahmen zu ergreifen, um die Vertraulichkeit der Informationen zu wahren; (ii) die Informationen ohne vorherige schriftliche Zustimmung der Universität oder einen gültigen Gerichtsbeschluss oder eine Vorladung zu keinem Zweck an eine andere Partei weiterzugeben; und (iii) die Universität im Voraus über jede Weitergabe aufgrund eines Gerichtsbeschlusses oder einer Vorladung zu benachrichtigen, sofern der Beschluss oder die Vorladung eine solche Benachrichtigung nicht ausdrücklich untersagt. Darüber hinaus muss sich der vorgeschlagene Empfänger an die Anforderungen dieser Richtlinie halten. Jegliche Weitergabe von vertraulichen Informationen innerhalb der Universität muss mit den Richtlinien der Universität übereinstimmen, einschließlich der Rechte, Regeln und Verantwortlichkeiten und der Acceptable Use Policy for Princeton University Information Technology and Digital Resources.

    3. Unrestricted Within Princeton (UWP)

    Universitätsinformationen werden als Unrestricted Within Princeton (UWP) klassifiziert, wenn sie nicht unter die Klassifizierungen „Restricted“ und „Confidential“ fallen, aber nicht dazu bestimmt sind, außerhalb der Universität frei geteilt zu werden. Ein Beispiel ist das Fakultäts-Facebook.

    Es wird davon ausgegangen, dass UWP-Informationen innerhalb der Princeton University bleiben. Diese Informationen können jedoch außerhalb von Princeton weitergegeben werden, wenn dies notwendig ist, um die legitimen Geschäftsbedürfnisse der Universität zu erfüllen, und der vorgeschlagene Empfänger zustimmt, die Informationen nicht ohne die Zustimmung der Universität weiterzugeben.

    4. Öffentlich zugänglich

    Universitätsinformationen werden als öffentlich zugänglich klassifiziert, wenn sie dazu bestimmt sind, jedem innerhalb und außerhalb der Princeton Universität zugänglich gemacht zu werden.

    B. Schutz, Handhabung und Klassifizierung von Informationen

    1. Basierend auf ihrer Klassifizierung müssen Universitätsinformationen angemessen vor unbefugtem Zugriff, Verlust und Beschädigung geschützt werden. Spezifische Sicherheitsanforderungen für jede Klassifizierung können in den Princeton Information Protection Standards and Procedures nachgelesen werden.
    2. Der Umgang mit Universitätsinformationen aus einer anderen Quelle als der Princeton University kann die Einhaltung sowohl dieser Richtlinie als auch der Anforderungen der Person oder Einrichtung erfordern, die die Informationen erstellt, bereitgestellt oder kontrolliert hat. Wenn Sie Bedenken haben, ob Sie diese Anforderungen erfüllen können, wenden Sie sich an die zuständige Führungskraft und das Office of the General Counsel.
    3. Wenn es als angemessen erachtet wird, kann die Klassifizierungsstufe erhöht oder zusätzliche Sicherheitsanforderungen auferlegt werden, die über die Anforderungen der Informationssicherheitsrichtlinie und der Princeton Information Protection Standards and Procedures hinausgehen.
    4. Wenn Sie Controlled Unclassified Information (CUI) erhalten oder erstellen, wenden Sie sich an das Information Security Office (ISO), um sicherzustellen, dass angemessene Sicherheitskontrollen auf die Daten angewendet werden. Wenn Sie nicht sicher sind, ob es sich um CUI handelt, wenden Sie sich bitte an das Office for Research Project Administration oder an das ISO.

    5. Verantwortlichkeiten

    Alle Fakultätsangehörigen, Mitarbeiter, Studenten (wenn sie im Namen der Universität durch Dienst in Universitätsgremien handeln) und andere, denen die Nutzung von Universitätsinformationen gewährt wird, müssen:

    • Die in der Informationssicherheitsrichtlinie definierten Informationsklassifizierungsstufen verstehen.
    • Sie klassifizieren die Informationen, für die sie verantwortlich sind, entsprechend.
    • Zugriff auf Informationen nur bei Bedarf, um legitime Geschäftsanforderungen zu erfüllen.
    • Sie dürfen Informationen der Universität nicht ohne gültigen Geschäftszweck und/oder Autorisierung verbreiten, kopieren, freigeben, verkaufen, verleihen, verändern oder zerstören.
    • Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Universitätsinformationen in einer Art und Weise, die mit der Klassifizierungsstufe und dem Typ der Informationen übereinstimmt.
    • Handhaben Sie Informationen in Übereinstimmung mit den Princeton Information Protection Standards and Procedures und anderen anwendbaren Universitätsstandards oder Richtlinien.
    • Sichern Sie alle physischen Schlüssel, ID-Karten, Computerkonten oder Netzwerkkonten, die den Zugriff auf Universitätsinformationen ermöglichen.
    • Entsorgen Sie Medien, die Informationen der Princeton University enthalten, in Übereinstimmung mit der Klassifizierungsstufe, der Art der Informationen und allen anwendbaren Aufbewahrungsanforderungen der Universität. Dazu gehören Informationen, die in einem Papierdokument (z. B. einem Memo oder Bericht) oder in einem elektronischen, magnetischen oder optischen Speichermedium (z. B. einem Memory Stick, einer CD, einer Festplatte, einem Magnetband oder einer Diskette) enthalten sind.
    • Setzen Sie sich mit dem Office of the General Counsel in Verbindung, bevor Sie Informationen, die von diesem Büro erstellt wurden, offenlegen oder bevor Sie auf Vorladungen, Gerichtsbeschlüsse und andere Informationsanfragen von privaten Prozessparteien und Regierungsbehörden reagieren.
    • Setzen Sie sich mit dem zuständigen Universitätsbüro in Verbindung, bevor Sie auf Informationsanfragen von Aufsichtsbehörden, Inspektoren, Prüfern und/oder Auditoren reagieren.

    6. Verwandte Princeton-Richtlinien, -Verfahren, -Normen und -Vorlagen

    Rechte, Regeln, Verantwortlichkeiten

    Richtlinie zur akzeptablen Nutzung von Informationstechnologie und digitalen Ressourcen der Princeton University

    Richtlinie zur Kreditkartenverarbeitung für Händler der Universität

    Richtlinie zu Exportkontrollen

    Forschungsdatensicherheit Richtlinien

    Richtlinie zur Verhinderung von Identitätsdiebstahl

    Verfahren zur Reaktion auf eine mögliche Offenlegung sensibler Universitätsdaten

    Princeton Information Protection Standards and Procedures

    Vorlage für Vertraulichkeitsvereinbarungen

    7. Überprüfung der Richtlinie

    Mindestens alle 12 Monate wird die Informationssicherheitsrichtlinie überprüft.

    8. Update Log

    Mai, 21, 2004 – Policy issued.

    November 5, 2015 – Approved by ECC.

    August 31, 2017 – Updated.

    January 6, 2020 – Added CUI language.

    February 7, 2020 – Added section B.4. über kontrollierte nicht klassifizierte Informationen.

    Previous articleJe größer der Neufundländer, desto besser? Warum größer nicht immer besser istNext article Psychotische und schizophrene Störungen

    Schreibe einen Kommentar Antworten abbrechen

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Neueste Beiträge

    • Sich selbst (und andere…) in Jahrbüchern online finden
    • Wie man einen Bitcoin-ASIC-Miner einrichtet
    • Chris Martin feiert Geburtstag in Disneyland mit Dakota Johnson
    • Was ist ein Superfund-Standort?
    • Angelköder-Blutwürmer haben Bienenstiche
    • Echolalie: Die Fakten jenseits von „Papageiensprache“, Skripting und Echoing
    • Herr der Fliegen Zitate
    • A Beginner’s Guide to Pegging
    • 42 Healthy Crockpot Soup Recipes
    • 3 überraschende Risiken einer schlechten Körperhaltung

    Archive

    • April 2021
    • März 2021
    • Februar 2021
    • Januar 2021
    • Dezember 2020
    • November 2020
    • Oktober 2020
    • September 2020
    • August 2020
    • Juli 2020
    • Juni 2020
    • Mai 2020
    • April 2020
    • DeutschDeutsch
    • NederlandsNederlands
    • EspañolEspañol
    • FrançaisFrançais
    • PortuguêsPortuguês
    • ItalianoItaliano
    • PolskiPolski

    Meta

    • Anmelden
    • Feed der Einträge
    • Kommentare-Feed
    • WordPress.org
    Posterity WordPress Theme