信息技术资源和信息资产的可接受使用(VII.A.4)

第七卷:信息技术
A章:可接受的使用
负责人:信息技术副总裁兼系统首席信息官
负责办公室: 信息技术副总裁办公室
发行日期:2017年10月16日
修订日期:2019年3月1日

目录 

联络人
政策声明
制定此政策的原因
受本政策影响的个人和实体
排除项目
职责范围
定义 (定义的术语在整个文档中用大写字母表示)
相关文件,表格和工具
本政策的网址
历史和更新
附录 

联系方式

政策澄清

职务/办公室

电话

电子邮件/网页

信息技术 安全和政策

(765)494-4000

[email protected]

资料分类

职务/办公室

电话

电子邮件/网页

数据管理员

 

数据管理员列表

校园特定问题

职务/办公室

电话

电子邮件/网页

保安人员

 

保安人员名单

政策声明

信息资产和可信赖且有效的信息技术(IT)环境对大学至关重要’发现,学习和参与的持续使命。为了实现这一使命,大学提供了信息资产和IT资源(1)以支持大学教师的奖学金,研究和教学活动,(2)促进大学的运营,(3)提供访问大学服务的途径(4)支持学生和校园生活活动。 

适当使用

信息资产和IT资源的任何使用都必须限于上述与大学相关的目的。在不违反任何其他适用法律,大学政策,程序或法规的前提下,大学社区所有成员的日常学习和工作中,不得偶然和非经常性地使用IT资源。 对于社区成员选择存储在大学IT资源中的个人使用信息,大学不承担任何责任。用户接受与个人使用相关的所有风险,如以下“无担保或保证”所述。 

作为被授予使用或访问信息资产和IT资源的条件,每个用户(1)同意本政策的条款,并且(2)同意遵守本政策中详述的所有条款和条件。

禁止对IT资源进行以下使用:

  1. 规避普渡大学或另一实体的任何安全措施。
  2. 故意使用,分发或创建病毒,蠕虫,恶意软件或键盘记录技术。
  3. 分布式拒绝服务行为或任何其他设备,程序或恶意动机的行为。
  4. 未经授权使用,复制或分发许可软件或受版权保护的材料。
  5. 访问信息资产或其他非公开可用的数据不属于用户,并且用户没有明确的访问权限。
  6. 未经允许就以规避对受限或敏感数据的访问限制(例如,通过自动查询复制数据库)的方式访问信息资产或IT资源。
  7. 使用IT资源进行与大学不符的有组织的政治活动’s tax-exempt status.
  8. Use of IT Resources that disables other IT Resources, consumes disproportionate IT Resources so that other 使用者 are denied reasonable access to those resources or materially increases the costs of IT Resources.
  9. 使用违反任何地方,州或联邦法律或法规或任何大学政策,程序或法规的IT资源,包括但不限于 信息安全与隐私(VII.B.8) 及其相关的计划和标准, 反骚扰(III.C.1)暴力行为(IV.A.3).
  10. 出于可能直接或间接导致财务利益冲突的任何目的使用信息资产或IT资源,除非已根据大学的政策事先批准此类使用 个人财务利益冲突(III.B.2)承诺冲突和应报告的外部活动(III.B.1)。根据此类政策,对使用IT资源的任何批准均由大学自行决定,并且必须:
    1. 遵守所有大学软件许可和其他知识产权协议;
    2. 遵守大学的所有政策,标准和程序;
    3. 遵守联邦和州法律法规;
    4. 不会给大学带来额外费用;和
    5. 不干扰大学工作或使用IT资源。

使用IT资源是特权,而不是权利。由大学分配了IT资源帐户的所有用户均应对其帐户上执行的操作负责。 违反本政策或任何其他大学政策或法规可能会导致IT资源特权被撤销或受到限制,以及其他纪律处分,包括驱逐,终止或转介给适当的外部当局。

隐私,运营和监控

普渡大学(Purdue University)力求以尊重个人隐私并增进用户信任的方式维护其IT环境并管理其信息资产和IT资源。但是,大学的使用’s IT Resources is not completely private, 和 使用者 should have no expectation of privacy in connection with the use of IT Resources.

大学的正常运行与维护’IT资源需要备份和缓存数据和通信,活动记录,监视一般使用模式以及其他此类活动。大学可以在不通知用户的情况下采取任何其认为必要的其他行动,以维护,保护和促进大学的利益。此类行动包括但不限于以下所列行动,并且可能根据信息安全和隐私计划不时颁布的程序在机构或本地单位级别进行。

  1. 拦截,访问,扫描,检查,监视,记录,复制,存储,使用,披露或清理使用IT资源或与IT资源进行的任何通信或传输的任何电子存储数据的内容,无论是通过计算机帐户,设备还是其他方式手段;和
  2. 阻止未经授权访问和未经授权使用IT资源和信息资产。 

大学人员不会使用IT资源来例行监视通讯或传输的内容。院长,副院长或总理;他们的指定人;或者大学法律顾问可以通过向信息技术副总裁办公室提出书面请求,授权大学技术人员或管理人员采取上述任何措施。将权力授予指定人的院长,副总统和大臣必须以书面形式这样做,并应要求将其副本提供给信息技术副总统办公室。决定采取行动的决定必须基于以下一项或多项:

  1. 有合理的信念,认为帐户或设备中的活动进程正在导致或可能导致大学IT资源的严重损坏,或可能导致用户,大学或第三方数据的丢失/损坏;
  2. 需要遵守联邦,州或地方执法机构的书面请求,并遵守与处理此类请求有关的适用大学政策;
  3. 有理由相信某人已经使用相关帐户或设备违反了或正在违反大学的政策,标准,规定或程序;
  4. 确定工作人员,教职员工或学生已去世,已被终止或以其他方式无法获得的信息,以获取对有关单位的运营至关重要的信息;
  5. 代表学生的父母,监护人或遗产代表的学生教务处收到书面请求;
  6. 收到书面内部审核请求;
  7. 经具有适当管辖权的法院的适当命令授权,并遵守与处理此类命令有关的大学适用政策;
  8. 在得出结论认为需要访问以支持获得机构批准的研究项目后,收到了机构审查委员会(IRB)授权代表的书面授权,并且该访问符合适用的法律和大学政策,包括有关保护人类研究的规则科目
  9. 采取行动以遵守适用法律的要求;和/或
  10. 确定访问是维护,保护或促进大学兴趣所必需的。

在不限制其采取行动的权利的前提下,大学可自行决定将本政策允许的任何一般或个人监控或访问的结果(包括个人通讯的内容和记录)透露给大学的适当人员或执法机构。或在适当的大学纪律程序中使用这些结果。在适用且有保证的情况下,将通知帐户或设备用户访问或监视以及所采取的纠正措施。此外,在不违反联邦,州或地方法律的前提下,大学可以在收集,分析和报告旨在满足大学要求的指标时使用商业行政数据或机构学术数据’发现,学习和参与的使命;推进其战略目标;并维护,保护和促进其利益。

范围

通常,以下类型的数据由IT资源创建或传输,维护或通过IT资源进行访问,并且该策略适用于所有大学校园中的所有此类数据:

  1. 存储在IT资源中的信息资产,包括大学拥有的系统或其他大学拥有的设备上的计算机帐户。
  2. 大学代表相关组织(包括但不限于Purdue Research Foundation,Ross-Ade Foundation和Purdue International,Inc.)存储在计算机帐户或大学管理的其他设备中的信息资产。
  3. 由受信任的合作伙伴或第三方代表大学管理或托管的计算机帐户或其他设备中存储的信息资产,包括但不限于云计算服务或托管服务。
  4. 在使用或访问大学IT资源时,到大学IT资源与上面列出的任何设备之间或之间的语音和数据电信流量,以及在个人拥有的设备上的流量。

没有保修或保证

对于所提供的IT资源,大学不作任何形式的明示或暗示保证。对于因使用IT资源而造成的损失,大学不承担任何责任,包括但不限于由于大学雇员或任何用户的疏忽而导致的延误,未送达,交付失败,服务中断而造成的数据丢失’错误或遗漏。对于通过IT资源获得的信息的准确性或质量,大学明确不承担任何责任,但作为大学正式记录提供的材料除外。

此政策的原因

大学’s 信息资产s 和 IT Resources are provided for University-related purposes. Access to 和 usage of them entails certain expectations 和 responsibilities for both 使用者 和 managers of the University’的IT环境。这项政策规定了这些期望和责任。

大学认识到隐私权是一种根深蒂固的信念,特别是在知识和学术界。隐私对于形成高等教育基础的知识自由至关重要。  However, a user’IT资源的可用性和使用范围内的个人隐私权必须与大学保持平衡’的法律义务,社区和大学的更大需求’s own 兴趣爱好.

受此政策影响的个人和实体

本政策适用于大学的学生,教职员工,以及访问存储在或通过这些资源访问的Purdue信息技术(IT)资源或信息资产的所有其他人员,无论这些资源或资产是从校园还是外部访问校外位置或通过设备(在本政策中通常称为“users”). 

排除事项

虽然大学保留以下权利:(1)维护和实施对用户的控制’通过个人设备访问信息资产和IT资源的能力,以及(2)规范个人设备和大学IT资源之间这些类型的数据的传输,此政策并不授予大学对个人的访问权限’s personal Device.

该政策不适用于网络安全研究活动,这些活动本质上在以下情况下探索保护数据隐私能力的限制:

  1. 以采取充分适当的保障措施的方式进行,以将研究限制在预定的和计划的大学IT资源中;
  2. 从构思到研究终止均得到保障;和
  3. 不会干扰或损害其他大学IT资源的操作或安全性。

进行网络安全研究的教师,教职员工和学生必须咨询其校园或部门的IT员工,以确保针对该研究采取适当的保护措施。

此政策中的任何内容都不会更改或取代个人’ or the University’遵守适用于信息使用和隐私的联邦和州法律或法规的权利或义务,包括:

  1. 2003年《公平准确的信用交易法》(FACTA),
  2. 《家庭教育权利和隐私法》(FERPA),
  3. 格拉姆-里奇-布利利法案(GLBA),
  4. 1996年的《健康保险携带与责任法案》(HIPAA),以及
  5. 支付卡行业数据安全标准(PCI-DSS)。

责任

大学教职员工和其他可以访问大学信息资产和IT资源的各方

  • 根据所有适用法律以及大学政策,标准,法规和程序使用IT资源。
  • 熟悉并参考适用于用户的安全标准和技术参考资料’信息资产和IT资源的特殊使用。
  • 在用户拥有和控制的范围内,以物理方式保护和维护IT资源。
  • 了解并遵守本政策提供的指导以及适用的合规计划,包括但不限于与FACTA,FERPA,GLBA,HIPAA和PCI-DSS有关的计划。
  • 及时向 [email protected] 大学中定义的任何涉嫌违反本政策的行为,任何IT疑似事件’的事件响应政策(VII.B.3),以及任何涉嫌用户妥协的事件’大学提供的帐户或设备。

首席信息安全官(CISO)

  • 管理此政策。
  • 作为信息技术副总裁的官方指定人,请确保合理地要求根据政策要求访问或披露信息,以保护大学的利益,得到适当授权并指定允许访问的范围和条件。
  • 根据此政策向技术人员和管理员提供授权和指导。

大学授权的技术人员或管理员

  • 在获得适当授权的情况下,请按照本政策采取直接行动,以维护,保护和促进大学的利益。
  • 当采取本政策概述的任何措施时,请确保遵循所有相关程序。

定义

所有定义的术语在整个文档中均以大写字母表示。其他定义的术语可以在中央找到 政策词汇.

企业管理数据
由大学在开展业务过程中创建,收集,维护,使用或传输的信息资产,包括但不限于人力资源,财务,会计,设施和一般管理活动。

云计算服务或托管服务
软件即服务(SaaS),平台即服务(PaaS),基础架构即服务(IaaS)或其他类似的服务,提供商可以通过它们通过Web或主机和/或管理硬件向企业客户交付用于开发的软件应用程序或平台。通常支持数据中心操作。

数据
收集或捕获的离散的,客观的事实,统计数据或其他信息,以供参考,分析,计算,度量或其他用途。 

设备)
用于存储,检索,操作或传输数据的任何机制,包括但不限于台式机或笔记本电脑,CD,USB闪存驱动器,外部USB硬盘驱动器,平板电脑,智能手机或蜂窝电话。

信息资产
具有上下文关系或可定义的数据主体,无论其格式如何,均具有可识别和可管理的价值,风险,内容和生命周期,并且通常由大学定义,分类和管理,以便可以对其进行有效理解,共享,保护和使用。在日常活动中,大学定期创建,收集,维护,使用和传输信息资产。

信息所有者
该单位的行政首长,是该单位在开展大学业务中所拥有的信息资产的决策者。除非单位级别的控制会阻碍大学信息的一般使用’作为发现,学习和参与的使命,信息所有者对单位中使用,管理或定期访问的信息资产具有决策权 ’的管理职能,以及与该信息资产有关的任何形式,文件,信息和记录,无论格式如何。

机构学术数据
由大学根据其发现和学习的任务而创建,收集,维护,使用或传输的信息资产,包括但不限于有关学生多样性,入学率,学习成绩,保留率,专业和教学活动的一般数据;教职工人数和资金数据;研究数据;和同业基准数据。

兴趣爱好
根据本政策,大学的利益包括但不限于:

  1. 维护IT资源以及通过其提供的服务的稳定性,安全性和运营效率;
  2. 维护IT资源上维护的信息资产的可用性,完整性和机密性;
  3. 保护大学资产和资源,包括但不限于IT资源;
  4. 监测机构效力的进展情况,并确定对服务或计划交付的改进;
  5. 确保他人遵守大学的政策,标准,程序或规定;
  6. 维护和促进大学的诚信和声誉;
  7. 保护第三方的财产,权利和数据;
  8. 符合大学’自己的法律责任;
  9. 促进和保护公共安全;和
  10. 保护大学’s legal rights.

利益还包括在“合法的教育利益”FERPA年度学生权利通知中规定的大学名称。

IT资源(或信息技术资源)
大学或授权的第三方提供的所有有形和无形的计算和网络资产,无论这些资源或资产是从校园内还是校园外或通过设备访问。此类资产的示例包括但不限于硬件,软件,有线和无线网络以及语音电信资产和相关带宽(包括电子邮件),移动设备,电子和硬拷贝信息资源以及打印机。

受限制的数据
受适用法律,法规或政策要求限制访问的信息,或者信息所有者已行使其权利限制他人访问的信息。

敏感数据           
即使出于专有,道德或隐私方面的考虑,也必须保护其访问权限的信息,即使这些考虑不是适用的法律,法规或政策要求所强制要求的。

相关文件,表格和工具

相关培训:

家庭教育权利和隐私法(FERPA)培训

《健康保险携带与责任法案》(HIPAA)培训

格拉姆-里奇-布莱利法案(GLBA)培训

相关政策,标准和程序:

影响和影响该标准的法律包括但不限于:

  • COPPA:www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule
  • 数字千年版权法案(DMCA) :www.copyright.gov/legislation/dmca.pdf
  • ECPA : //it.ojp.gov/default.aspx?area=privacy&page=1285
  • 费帕:www.ed.gov/policy/gen/guid/fpco/ferpa/index.html
  • GLBA:www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act
  • HIPAA:www.hhs.gov/ocr/hipaa/
  • 美国爱国者法案:www.justice.gov/archive/ll/highlights.htm

费帕学生权利年度通知

此政策的网站地址

www.purdue.edu/policies/information-technology/viia4.html

历史与更新

2019年3月1日:更新了``适当使用''部分以引用``无保修或保证''部分。

2017年10月16日:合并并取代电子信息隐私(VII.B.2)和IT资源可接受使用(VII.A.2)的政策。增加了有关大学的说明’使用数据支持任务和目标;更新以反映当前的技术和功能;相关文档,表格和工具部分中的更新链接。

2011年11月18日:保单编号更改为VII.B.2(以前为V.1.3)。 “相关文档”部分中的策略链接也已更新。

附录

此政策没有附录。

普渡大学(Purdue University),普渡购物中心(Purdue Mall)610,西拉斐特,印第安纳州47907,(765)494-4600

©2017普渡大学 | 机会均等/机会均等的大学 | 版权投诉 | 由大学政策室维护

此页面有问题吗?残疾相关 可及性 问题?请通过以下方式与大学政策办公室联系 政策@ purdue.edu.