RSCC Policies & Guidelines
贝博体育
Policy Number: GA-18-11
Subject: Cloud Computing
- Purpose
此策略概述了使用云计算服务来支持处理的最佳实践和审批流程, sharing, storage, 机构数据的管理.
- Overview
- 云计算提供了许多优势,包括低成本, 高性能和快速的服务交付. However, 没有适当的控制, 它还使个人和组织面临数据丢失或被盗等在线威胁, 未经授权访问公司网络, and so on.
- 云计算服务是用户通过Internet访问的应用程序和基础设施资源. These services, 合同由苹果等公司提供, Google, Microsoft, and Amazon, 使客户能够利用强大的计算资源,否则他们将无法购买和支持这些资源. 云服务提供服务, platforms, 以及支持各种商业活动的基础设施. These services support, among other things, communication; collaboration; project management; scheduling; and data analysis, processing, sharing, and storage. 云计算服务对于个人和组织来说通常很容易使用, 它们可以通过Internet上的各种平台(工作站)访问, laptops, tablets, and smart phones), 而且它们可能比内部计算服务更容易、更有效地适应需求高峰.
- 此云计算策略旨在确保在首席信息官(CIO)不知情的情况下不会使用云服务. 员工不得为存储开设云服务账户或签订云服务合同, 在没有CIO输入的情况下操纵或交换与公司相关的通信或公司拥有的数据. 这对于保护Roane州立社区学院数据的完整性和保密性以及公司网络的安全性是必要的.
- 贝博体育(贝博体育)的IT部门仍然致力于让员工尽可能高效地利用技术完成工作. 以下准则旨在建立一种流程,使Roane State的员工能够在不损害公司数据和计算资源的情况下使用云服务.
-
Scope
- 这项政策适用于罗安州立社区学院所有部门的所有员工, no exceptions.
- 此策略涉及提供服务的云计算资源, platforms, 以及为涉及处理的广泛活动提供支持的基础设施, exchange, storage, 或者机构数据的管理. 本政策不包括社交媒体服务的使用. 此策略适用于所有外部云服务,例如.g. cloud-based email, document storage, 软件即服务(SaaS), “基础架构即服务”(IaaS), 平台即服务(PaaS), etc. 个人账户除外. 如果您不确定某个服务是否是基于云的,请联系IT部门.
-
Definitions
- 云计算——通过专有网络或因特网提供计算服务. 服务包括基础设施服务、开发平台和软件应用.
- 基础设施即服务(IaaS)——供应商提供计算资源,如服务器(物理和虚拟), storage, 网络组件和其他硬件,如防火墙或负载平衡器. 提供商负责操作系统和硬件,而客户负责在服务上运行的应用程序或软件. 例如:RackSpace, Amazon, IBM, HP.
- 平台即服务(PaaS)——供应商提供了一个环境,客户或开发人员可以在这个环境中通过Internet构建和交付基于web的服务. 例如:Microsoft Azure, Bungee Labs, Google App Engine.
- 软件即服务(SaaS)——供应商为客户托管软件应用程序和数据. 软件的任何部分都不驻留在用户的计算机上. 例如:SalesForce, NetSuite, Google Apps, Office 365, Gmail, Hotmail, Yahoo.
-
Policy
- 首席信息官必须正式授权将云计算服务用于工作目的. 首席信息官将证明云计算供应商将充分解决该安全问题, 隐私和所有其他IT管理要求.
- 对于任何需要用户同意服务条款的云服务, 此类协议必须由CIO审查和批准.
-
使用这些服务必须遵守贝博体育现有的可接受使用政策/计算机使用政策/互联网使用政策/BYOD政策(访问完整详细的RSCC政策GA-18-08), 数据和个人身份信息安全, at js.xgnongye.com/policies/.)
- 员工不得与同事共享登录凭证. IT部门将保留一份包含帐户信息的机密文件,以保持业务连续性.
- 使用此类服务必须遵守有关处理个人身份信息的所有法律法规, 公司财务数据或罗安州立社区学院拥有或收集的任何其他数据.
- 首席信息官将与数据管理员一起决定哪些数据可以或不可以存储在云中.
- 个人云服务账户不得用于存储, 操纵或交换与公司有关的通信或公司拥有的数据.
- Cloud Services
- Approved Cloud Services
- Azure(作为MEP/共享服务的一部分)
- ExaVault(安全文件共享)
- Microsoft OneDrive
- RSCC Office 365
- STS (OIR)
- SurveyMonkey
-
未经批准的云服务
- Amazon Cloud Drive
- Dropbox
- Google Drive
- iCloud
当使用经批准的机构信息云服务之一时, 仅用于分类如下的机构信息. 在与其他协作者共享文件和文件夹时,要特别注意访问级别,以确保数据不会被不当共享. 您不得使用您的个人云服务帐户进行收款, process, 或存储受HIPAA等法律保护的数据, FERPA, FISMA, and GLBA.
- Data Classification
Confidentiality Level |
Description |
Cloud Use |
受监管机构数据 |
所有受法律规定的隐私或信息保护规定管辖的机构数据, regulation, contract, binding agreement, 或者行业要求. |
不能使用自行提供的云服务进行存储, process, share, 或以其他方式管理受监管的机构数据,而不与TTS合同和许可服务部门合作制定适当的合同保障措施.
只有在与数据所有者和CIO确认该服务适合机构机密数据后,才能使用合同(本地或集中)提供的云服务. 并非所有集中和本地提供的服务都设计用于处理受监管的数据.
|
机构机密资料 |
机构数据的分发范围非常有限,只能在严格需要知道的基础上提供给罗恩州社区的成员. |
不应该使用自备的云服务进行存储, process, share, 或者以其他方式管理机密机构数据,而不确保服务的保护措施适合机密机构数据.
在与信息主管确认该服务适合机构机密数据后,是否应该只使用集中或本地提供的云服务. 并非所有合同提供的服务都设计用于处理机密数据.
|
行政机构资料 |
Institutional data that is meant for a limited distribution; available only to members of the Roane State community that need the institutional data to support their work. 这些机构数据对贝博体育有其价值, in part, 不被公开披露. |
不应该使用自备的云服务进行存储, process, share, 或者以其他方式管理管理机构数据,而不确保服务的保护措施适合管理机构数据.
在与Information Steward确认服务适合管理机构数据之后,是否应该只使用集中或本地提供的云服务. 并非所有契约提供的服务都设计用于处理管理数据.
|
公共机构数据 |
提供给罗安州立社区成员的机构数据,在某些情况下向公众广泛公开分发. 此机构数据不包含机密信息. |
可以谨慎使用自行提供的云服务来存储或管理公共机构数据. 是否应该确保使用这些云服务不会违反任何许可协议.
是否可以使用合同提供的云服务来存储或管理公共机构数据. |
- Responsible Party
CIO负责开发和维护此策略,以便由业务和财务副总裁发布.
TBR指南参考: B-090
修订生效日期: 03/30/2020
Revision Approval By: Christopher L. Whaley, President
原生效日期: 06/26/2017
Original Approval By: Christopher L. Whaley, President
Office Responsible: 商务副总裁 & Finance
Reviewed: 07/25/2018
©贝博体育
贝博体育不存在种族歧视, color, religion, creed, 种族或民族出身, sex, disability, age, 作为受保护的退伍军人或受联邦或州法律法规保护的任何其他阶层,以及田纳西州董事会在就业方面的政策, programs, and activities. 查看完整的非歧视政策.
报告欺诈、浪费和滥用行为
1998年数字千年版权法案