资讯科技标准05.2.0

资料外泄通知标准

当前修订或创建日期: October 1, 2021

The purpose of an 资讯科技标准 是指定要求遵守旧道明大学信息技术政策, other University policies, 以及适用的法律法规. 标准可能包括业务原则, best practices, technical standards, 迁移和实现策略, that direct the design, 资讯科技的部署及管理.

Purpose

本标准的目的是通过识别未经授权发布未加密敏感信息的触发因素和必要的响应，规定Old Dominion University的数据泄露通知要求.

Definitions

Data Breach 一个事件在哪个敏感, 可能已经查看了受保护的或机密的数据, 被盗和/或被未经授权的个人使用.

Personal Information 是否有任何数据可能被用来识别一个人. Generally, NAME 并且一个或多个个人信息数据元素对于将身份置于严重风险中是必要的.

Standards Statement

ODU将识别所有大学系统, processes, 以及逻辑和物理数据存储位置, 包括由第三方持有的, which contain Class 1,2, 3 . ITS标准02中规定的数据.3.数据管理与分类.

ODU将包括第三方合同中涉及第1类的条款,2 and 3 regulated data, 要求第三方及第三方分包商:

1. 对可疑的违规行为及时通知代理商
2. 允许该机构既参与对事件的调查，又对有关外部报告的决定行使控制.

在未经授权发布任何未加密的第1类信息时，ODU将向受影响的个人提供适当的通知,2, 3 .通过任何机制调节数据, including, but not limited to:

1. 包括笔记本电脑在内的数字媒体被盗或丢失, desktops, flash drives, smart phones, tablets, CD's, DVD's, tapes, etc.
2. 盗窃或丢失物理拷贝
3. 包含1类、2类和3类受控数据的任何系统的安全危害
4. 加密密钥也被泄露的加密数据

一旦确认未经授权发布的核实，ODU将毫不拖延地提供此通知, except as delineated below.

ODU将提供包含以下内容的通知:

1. 对发生的事情和时间的一般描述
2. 涉及到个人信息的类型
3. 是否已采取措施保护个人资料不被进一步未经授权的披露
4. What, if anything, ODU将尽力帮助受影响的个人, 包括最靠谱的网赌软件，以获得更多信息和帮助
5. ODU建议个人采取什么行动

ODU将通过以下一种或多种方法提供此通知, 按偏好排序:

1. 按标准邮寄给任何受影响的个人，其邮寄地址可查
2. 向任何受影响的个人发送电子邮件，其电子邮件地址已作为联系机制提供给该机构
3. 在大规模泄露或数据泄露的情况下，上述两种通信形式都不可用或不可行的, 公众沟通渠道, including:
   1. 机构网站上醒目的通知
   2. 全州公共媒体的通知，包括报纸、广播和电视

ODU在核实未经授权的资料披露后，只会在下列人士提出要求时，才会立即发出通知:

1. 执法部门认为这会干扰正在进行的调查
2. CIO, ISO或指定人员将干扰数据泄露范围的确定或根本原因的调查

Procedures, Guidelines & Other Related Information

• Federal and State Law
• 数据和系统漏洞响应框架
• 大学政策3505 -信息技术安全政策
• IT Standard 02.3.0 - Data Administration & Classification Standard

History