資源收集

資料保管與管理政策

Committee on Information Technology (COIT)

2021年10月21日核准

目的和範圍

本政策的目的是:

  • 指定科技署(DT) 為基礎設施管理者(保管人),負責對 DT 管理的 IT 資產進行資料處理(基礎設施管理)。
  • 指定市政府部門為資料所有者(所有者)。
  • 概述各方在本政策中的角色和責任。

所有其他關於授權使用 CCSF 運算資源的政策仍然有效,所有保護委託給 CCSF 各部門的資料的機密性和完整性的法規(例如 HIPAA、CJIS、陽光法案、資料保留等)也仍然有效。

本政策適用於DT管理的網路、硬體、軟體、儲存、外部雲端環境、SaaS以及資料(資料庫記錄、視訊、聊天記錄、電話記錄等),DT對這些資源有直接的管理和/或技術監督權。這與DT管理的共享企業技術合約或協議有所區別,在共享企業技術合約或協議中,多個部門可以使用同一份企業協議,但各自獨立管理其技術實施或實例,包括DT在內。

政策聲明

科技署(DT) 始終是並將繼續是所有透過其管理的城市 IT 基礎設施傳輸、上傳、存取或儲存的資料的「保管人」。各部門是其自身資料的“所有者”,並負責所有與資料存取、隔離和保留相關的資料管理實踐。資料所有權責任歸各部門所有,但須遵守下文提及的其他相關政策。此外,除以下情況外,技術部不會分享、記錄、傳輸、更改或刪除屬於舊金山城市學院 (CCSF) 各部門的資訊:應City Attorney、審計長或道德委員會的調查應對,或應City Attorney的訴訟請求,技術部將共享和傳輸資訊。

政策詳情

科技署(DT) 負責全市資訊科技 (IT) 基礎架構的安全管理,包括連線、網路、作業系統、電子郵件/語音服務以及軟體業務應用。 IT 管理涵蓋對儲存在資料庫表、掃描影像、錄音、錄影、訊息、電子郵件和其他資料類型中的資訊進行維運管理。市政府各部門利用技術部的基礎設施實現業務流程自動化,並提供高品質的公共服務。

在系統管理和維護期間,DT 執行必要的維運操作以支援基礎架構服務,包括 IT 安全、管理和系統效能調優。 DT 已實施並將繼續實施適當的技術和組織安全措施,以保障資料儲存和處理的安全。這些措施充分考慮了資料的性質、範圍和用途(生產、開發、測試、災難復原和運行快照、備份、故障轉移),旨在保護資料免受 IT 基礎設施管理中固有的風險,特別是意外或非法銷毀、遺失、變更、未經授權披露或存取資料的風險。 DT 已實施存取控制、傳播加密、災難復原、安全保護和監測,以保護儲存在 DT 管理的基礎架構上的資料。

資料安全和隱私期望

DT 非常重視其在城市企業平台中儲存的資訊的安全和隱私責任。 DT 員工每年都會簽署《DT 資訊科技雇員保密確認書》,該確認書保證 DT 員工僅在履行工作職責時存取 DT 管理的基礎設施上的資訊/數據,且不得用於任何其他目的。此外,DT 還制定了 CCSF 網路安全實踐和政策,以規範 DT 在支援、維護和保護關鍵基礎設施和資料系統方面所扮演的角色。

資料歸屬於部門所有,DT 的政策是根據適用的法律、政策和程序,將此類記錄視為機密資訊。在少數情況下,為了遵守有效的調查和法律要求,可能會對本政策做出例外規定。

各部門將向資料保護部門 (DT) 提供資料安全要求(例如個人識別資訊 (PII)、刑事司法資訊系統 (CJIS)、刑事執法技術 (CLETS)、POS 等),以保護資料免遭未經授權或非法處理或揭露;免遭未經授權的存取、竄改或濫用;以及免遭意外遺失、銷毀或損壞。部門收集和保留的資料應根據其分類級別,按照美國國家標準與技術研究院 (NIST) 安全框架 800-53 或部門選擇的其他主要網路安全框架中的同等要求,採取相應的安全措施進行保護。

角色與職責

科技署– 基礎設施經理/管理員

  • 負責實施共享企業平台的技術基礎設施和架構。
  • 建立維護資料安全、完整性、傳輸和儲存的流程。
  • 負責 DT 支援的資料庫、資料集和企業資訊系統 (O365) 的日常營運和管理管理。
  • 執行系統維護,以確保服務的可用性和連續性。
  • 確保對企業應用程式和資料的存取獲得授權,並與資料所有者合作實施更改管理實務。
  • 發出警報,執行技術診斷,並解決可能影響資料品質、完整性和一致性的底層軟體和硬體故障。
  • 將所有城市資料作為機密資訊進行管理,只有擁有該資訊的部門才能授權發布。
  • 作為部門資料的保管者,DT 執行供應商風險評估和網路掃描/監測,以保護基礎設施、資料和服務。

三藩市市及縣各部門 – 資料所有者

  • 根據部門的業務目的和流程以及資料保留政策,建立、編輯、定義存取權限和刪除資料。
  • 管理資訊的資料保留。
  • 確保制定有效的本地規程,以指導資料的合理使用、品質、可用性和完整性。
  • 遵守所有法律、法規和數據政策及程序。這包括根據COIT的資料分類標準對資料進行分類的責任。
  • 積極與基礎設施經理合作,確定安全和存取的範圍和限制。

法規遵循

所有使用由DT管理的資源的CCSF使用者(包括員工、臨時工、承包商、供應商、實習生和志工)均有責任遵守本政策。屢次違反本政策的雇員可能會受到相應的紀律處分。