La Stanislaus State La politique de sécurité des informations comprend des politiques, des normes, des lignes directrices et des procédures relatives à la sécurité des informations. Les informations contenues dans ces documents sont largement élaborées et mises en œuvre au niveau des CSU, même si certaines ne s'appliquent qu'aux Stanislaus State ou un département spécifique.
Directives de classification des données
Ce document décrit les trois niveaux de classification des données que l'Université a adoptés en ce qui concerne le niveau de sécurité placé sur les types particuliers d'actifs informationnels. Les niveaux décrits ci-dessous sont destinés à être illustratifs et la liste d'exemples des types de données ci-dessous n'est pas exhaustive. Veuillez noter que cette norme de classification n'est pas destinée à être utilisée pour déterminer l'éligibilité des demandes d'informations en vertu de la California Public Records Act ou HEERA. Ces demandes doivent être analysées par le conseiller juridique ou l'administrateur approprié.
L'accès, le stockage et la transmission des informations confidentielles de niveau 1 sont soumis aux restrictions décrites dans les normes de gestion des actifs CSU.
Les informations peuvent être classées comme confidentielles sur la base de critères comprenant, mais sans s'y limiter :
- Exemptions de divulgation - Informations conservées par l'Université qui sont exemptées de divulgation en vertu des dispositions de la California Public Records Act ou d'autres lois étatiques ou fédérales applicables.
- Risque grave - Informations dont l'utilisation, l'accès, la divulgation, l'acquisition, la modification, la perte ou la suppression non autorisés pourraient entraîner de graves dommages pour le CSU, ses étudiants, ses employés ou ses clients. Des pertes financières, des dommages à la réputation de la CSU et des poursuites judiciaires pourraient survenir.
- Utilisation limitée - Informations destinées uniquement à être utilisées au sein du CSU et limitées à ceux qui ont un "besoin commercial de savoir".
- Obligations légales - Les informations dont la divulgation à des personnes extérieures à l'Université sont régies par des normes et des contrôles spécifiques conçus pour protéger les informations.
Les exemples de Niveau 1 - Informations confidentielles incluent, mais ne sont pas limités à :
- Mots de passe ou informations d'identification permettant d'accéder aux données de niveau 1 et de niveau 2
- NIP (numéros d'identification personnels)
- Date de naissance combinée avec les quatre derniers chiffres du SSN et le nom
- Numéros de carte de crédit avec le nom du titulaire
- Numéro d'identification fiscale avec nom
- Numéro de permis de conduire, carte d'identité nationale et autres formes d'identification nationales ou internationales (telles que passeports, visas, etc.) en combinaison avec le nom
- Numéro et nom de sécurité sociale
- Informations sur l'assurance maladie
- Dossiers médicaux liés à un individu
- Dossiers de consultation psychologique liés à un individu
- Informations sur le compte bancaire ou la carte de débit en combinaison avec tout code de sécurité, code d'accès ou mot de passe requis qui permettrait d'accéder au compte financier d'un individu
- Informations biométriques
- Signatures électroniques ou numérisées
- Clé privée (certificat numérique)
- Dossiers du personnel chargé de l'application de la loi
- Résultats de la vérification des antécédents criminels
L'accès, le stockage et la transmission des informations de niveau 2 - à usage interne sont soumis aux restrictions décrites dans la norme de gestion des actifs CSU.
Les informations peuvent être classées comme "à usage interne" sur la base de critères comprenant, mais sans s'y limiter :
a) Sensibilité - Informations qui doivent être protégées en raison de considérations exclusives, éthiques, contractuelles ou de confidentialité.
b) Risque modéré - Informations qui peuvent ne pas être spécifiquement protégées par des lois, des règlements ou d'autres obligations ou mandats légaux, mais pour lesquelles l'utilisation, l'accès, la divulgation, l'acquisition, la modification, la perte ou la suppression non autorisés pourraient entraîner des pertes financières, des dommages au la réputation de CSU, violer les droits à la vie privée d'un individu ou rendre une action en justice nécessaire.
Des exemples d'informations de niveau 2 - à usage interne incluent, mais sans s'y limiter :
Clés de validation d'identité (nom avec)
-Date de naissance (complète : mm-jj-aa)
-Date de naissance (partiel : mm-jj uniquement)
Photo (prise à des fins d'identification)
Informations sur la circulation de la bibliothèque.
Secrets commerciaux ou propriété intellectuelle tels que les activités de recherche
Informations sur les étudiants - Dossiers pédagogiques non définis comme des informations de "répertoire", généralement :
-Notes
-Cours suivis
-Programme
-Les résultats des tests
-Conseil des dossiers
-Services éducatifs reçus
-Actions disciplinaires
-Photo d'étudiant
Emplacement des actifs critiques ou protégés
Logiciel sous licence
Informations sur la vulnérabilité/sécurité liées à un campus ou à un système
Communication campus avocat-client
Information sur les employés
-Salaire net des employés
-Adresse du domicile
-Numéros de téléphone personnels
-Adresse e-mail personnelle
-Historique de paiement
-Évaluations des employés
-Enquêtes préalables à l'embauche
-Nom de jeune fille de la mère
-Race et origine ethnique
-Noms des parents et des autres membres de la famille
-Lieu de naissance (ville, état, pays)
-Genre
-État civil
-Description physique
-Autre
Ces informations sont désignées comme accessibles au public et/ou destinées à être fournies au public.
Les informations à ce niveau ne nécessitent aucune mesure de protection spécifique mais peuvent être soumises à des procédures d'examen ou de divulgation appropriées à la discrétion de l'Unviserity afin d'atténuer les risques potentiels.
La divulgation de ces informations n'expose pas la CSU à des pertes financières ni ne compromet la sécurité des actifs informationnels de la CSU.
Exemples de niveau 3 - Accessible au public
- Warrior ID (Emplid, carte d'étudiant)
- Information sur les employés
- Nom de l'employé (prénom, deuxième prénom, nom de famille ; sauf lorsqu'il est associé à des informations protégées)
- Adresse e-mail professionnelle
- Adresse postale professionnelle
- Objet
- Emplacement du bureau et numéro de téléphone
- Département
- Salaire brut
- Signature (non électronique)
- Informations sur le budget financier
- Informations sur le bon de commande
- Informations sur les étudiants (étudiants restreints non FERPA uniquement)
- Nom
- Majeurs
- Participation à des sports/activités
- Poids et taille (membres de l'équipe sportive uniquement)
- Dates de fréquentation
- Statut à temps plein ou partiel
- Diplômes et récompenses obtenus
- Adresse e-mail du campus
- Collège/université/agence le plus récent ou le plus récent fréquenté
Escroqueries par e-mail et hameçonnage
L'hameçonnage (phishing) est une méthode visant à recueillir des informations personnelles à l'aide d'e-mails et de sites web trompeurs. Les hameçonneurs diffusent des logiciels malveillants par e-mail ou piratent votre compte pour voler des informations personnelles et professionnelles. 91 % des atteintes à la sécurité des données commencent par une attaque par e-mail.
- Pratique frauduleuse consistant à envoyer des courriels prétendant provenir d'entreprises réputées afin d'inciter des individus à révéler des informations personnelles, telles que des mots de passe et des numéros de carte de crédit.
Check out this Vidéo de formation de 2:28 minutes sur le phishing par e-mail et comment protéger vos informations personnelles et la sécurité des données du campus.
L'hameçonnage est une méthode qui consiste à essayer de recueillir des informations personnelles à l'aide d'e-mails et de sites Web trompeurs. 91 % des failles de sécurité des données commencent par une attaque par e-mail.
Ces attaques sont plus faciles à repérer une fois que vous savez ce qu'il faut rechercher. Soyez à l'affût des indicateurs suivants d'un e-mail malveillant :
- L'e-mail provient d'un expéditeur que vous ne reconnaissez pas
- Le message est inattendu ou non sollicité
- Le nom de l'organisation de l'expéditeur ne correspond pas au domaine de l'adresse e-mail
- L'objet de l'e-mail utilise des sujets émotionnels, des délais de réponse urgents, des réclamations trop belles pour être vraies ou essaie de vous effrayer
- Contient des fautes d'orthographe ou de grammaire
- Vous demande de télécharger une pièce jointe, de saisir des informations personnelles telles qu'un mot de passe ou un numéro de sécurité sociale
Le spam n'est pas la même chose qu'un e-mail de phishing. Le spam est un courrier électronique commercial non sollicité, souvent envoyé à un grand nombre de personnes. L'hameçonnage est une tentative active de vous inciter à cliquer sur un lien dangereux, à télécharger un fichier infecté par un logiciel malveillant ou à saisir des informations personnelles telles que des mots de passe ou des numéros de sécurité sociale. Le spam peut être bloqué ou supprimé, mais les e-mails de phishing doivent être signalés.
Prévisualisez les e-mails dans Outlook avant de les ouvrir et recherchez ces trois éléments :
Pièces jointes
Lorsqu'une pièce jointe provient d'une personne que vous ne connaissez pas ou si vous n'attendiez pas le fichier, assurez-vous qu'il est légitime avant de l'ouvrir.
Pages de connexion
Les harponneurs falsifient souvent les pages de connexion pour qu'elles ressemblent exactement à la vraie chose afin de voler vos informations d'identification.
Liens
Passez le pointeur de votre souris sur le lien et voyez si l'URL qui apparaît correspond à ce qui se trouve dans le message électronique. S'ils ne correspondent pas, ne cliquez pas.
Si vous voyez quelque chose qui semble bizarre, n'ouvrez pas ou ne cliquez pas sur le message. Contactez le bureau d'assistance technologique de l'OIT au techsupport@csustan.edu et signaler l'e-mail. Vous pouvez également utiliser le bouton PhishMe Signaler l'hameçonnage dans les versions plus récentes d'Outlook pour soumettre une tentative d'hameçonnage suspectée à OIT. Même si vous n'êtes pas sûr, contactez OIT pour le vérifier. Mieux vaut prévenir que guérir.
Cet e-mail de phishing a été envoyé au campus en avril dans le cadre d'une campagne éducative. Il s'est appuyé sur la curiosité pour inciter les téléspectateurs à cliquer sur le lien actif. S'il s'agissait d'une véritable tentative de phishing, le fait de cliquer sur le lien aurait pu voler des données personnelles au spectateur ou télécharger des logiciels malveillants sur le réseau du campus. Arrêtez-vous toujours et réfléchissez avant de cliquer sur un lien, et contactez toujours OIT si vous suspectez une tentative de phishing.
Contactez le bureau d'assistance technologique de l'OIT au techsupport@csustan.edu et signaler l'e-mail.
Pour en savoir plus sur la Stanislaus State Initiative de sécurité des e-mails CoFense : Résumé du plan de mise en œuvre de CoFense mai 2018.pdf
Mise à jour: juillet 17, 2025