大约每三年,物联网雇用第三方公司来评估其服务和费率。目标是为物联网提供与其他州IT组织和私营部门业务的比较。自2006年以来,物联网已进行了四项评估。迄今为止,结果已被证明对物联网有利。在每个报告后,建议改进区域,并由CIO和工作人员评估,以确定如何进行必要的调整。最终目标是继续以最佳利率提供最佳服务。请注意,所有服务都包括IoT开销和全州成本分配计划(SWCAP)的一部分。高架包括:与提供产品或服务没有直接相关的所有费用(即间接成本)。这些费用包括高管团队(CXO),财务团队和行政团队的工资,福利和旅行(会议)。高额头顶还包括专业服务(承包商),软件/硬件费用(峰值计费系统),办公用品,办公家具,CDP费用(内部IoT费用)和设备上的折旧(复印机,软件,电视,安全摄像机等)SWCAP包括:运营部,采购,人员,档案和记录管理部,国家司库,国家审计师,国家办公室倡议,监察长办公室和总检察长办公室。
•Medicare和Medicaid服务中心(CMS)最低可接受的交换风险标准(MARS-E)•国土安全部(DHS)手册,用于维护敏感的个人身份信息,2012年3月•健康保险和问责制(HIPAA)•INDIANA CODA(IC)4-1-6,4-1-6,公平信息惯例;个人信息的隐私•IC 4-1-11-3,安全漏洞通知,个人信息•IC 35-43-5-1(i),伪造,欺诈和其他欺骗; Identifying Information • Internal Revenue Service (IRS) Publication 1075, November 2021 • National Institute for Standards and Technology (NIST) Special Publication (SP) 800-53 • Office of Management and Budget (OMB) Memorandum 06-19 • OMB Memorandum 07-16 PII Guidance Sources and Definitions SOURCE DEFINTION CMS MARS-E National Institute of Standards and Technology (NIST) Special Publication 800-122, April 2010年,保护个人身份信息(PII)的机密性指南,将PII定义为“有关代理商维护的个人的任何信息,包括(1)可用于区分或跟踪个人身份的任何信息,例如名称,姓名,社会安全号,日期和地点出生,母亲的名称,招聘记录,以及任何其他信息,以及任何其他信息,以及链接的任何其他信息;就业信息。” DHS有些PII作为独立数据敏感,例如SSN,驾驶执照或州身份证号码,护照号码,外星人注册号或财务帐户号。HIPAA根据NIST特别出版物800-66,Rev 2,单独识别的健康信息(IIHI)[45 C.F.R.sec。敏感PII数据要素的其他示例包括公民身份,医疗信息,种族,宗教,性取向或生活方式信息以及帐户密码,以及个人的身份(直接或间接推断)。160.103],需要保护的PII是健康信息的一部分,包括从个人那里收集的人口信息,并且:(1)由医疗保健提供者,健康计划,雇主或医疗保健人员创建或收到; (2)与个人的过去,现在或未来的身体或心理健康或个人有关;向个人提供医疗保健;或向个人提供医疗保健的过去,现在或将来的付款; (i)识别个人的;或(ii)有合理的依据,可以相信这些信息可用于识别个人。受保护的健康信息(PHI)是PII的一种形式。是IIHI:
国防部执法活动处理的个人身份信息和执法信息 发起部门:国防部监察长办公室 生效日期:2023 年 8 月 22 日 可发布性:已获准公开发布。可在指令司网站 https://www.esd.whs.mil/DD/ 上查阅。重新发布和取消:国防部指令 5505.17“国防部执法活动对个人身份信息和执法信息的收集、维护、使用和传播”,2012 年 12 月 19 日,经修订 批准人:国防部监察长罗伯特·P·斯托奇 目的:根据国防部指令 (DoDD) 5106.01 中的授权和 DoDD 5200.27 中的操作指导,此发布制定政策、分配职责并规定程序,供国防部执法活动 (LEA) 在预防犯罪、武力保护和刑事调查等执法职能期间收集、维护、使用和传播个人身份信息 (PII) 和执法信息。
• 概述报告 DOC 违规行为的程序; • 提供评估和减轻可能受违规行为影响的个人受到伤害的风险的指导; • 描述调查过程、通知和补救计划; • 确定适用的隐私合规文件; • 列出应对违规行为时适当的信息共享;以及 • 建立违规响应团队,称为 DOC PII 违规响应工作组(工作组)。该计划补充了根据《联邦信息安全现代化法案》(FISMA)、美国国家标准与技术研究所(NIST)特别出版物 800-61、《计算机安全事件处理指南》和美国国土安全部(DHS)的行动概念报告和处理事件的当前要求 –
2.标记包含 PII 的电子邮件和文档的程序已更改。隐私标记“仅供官方使用 (FOUO) – 隐私敏感。任何滥用或未经授权的披露都可能导致民事和刑事处罚”将不再使用,并且包含 PII 的文档将按照以下指南进行标记。过去许多人通过创建电子邮件模板将上述 FOUO 隐私声明或类似内容添加到他们所有的电子邮件中,无论电子邮件是否包含 PII。不应该这样做。没有等效的 CUI 声明。需要明确的是,上述隐私标记和“FOUO”本身不再是有效标记,不应使用。如果文档不包含 CUI,则不应将其标记为“CUI”。如果使用 CUI 标记,您应该能够识别文档中的特定 CUI。3.所有包含 PII 的文档的一般规则是在文档顶部或“横幅”上标记“CUI”,在底部或“页脚”上标记“CUI”。此外,电子邮件主题行也应标记为“CUI”。请勿在“CUI”标记中添加其他描述性措辞。例如,请勿使用“CUI-Privacy”、“CUI-PII”或类似的修饰符。请勿返回并重新标记现有(即 CUI 之前的程序或遗留文档)。如果使用这些“旧”文档中的信息创建新文档,则根据 CUI 程序标记政策标记新文档。4.除了在文档顶部和底部用“CUI”标记外,还需要在文档第一页底部的“CUI”横幅和页脚标记内添加 CUI“指定指示块”。国防部指导指示该块位于页面的右下角。这并不总是可行的。重要的是该块存在。该块包括组织、办公室、CUI 类别、传播信息和 POC 信息。请参阅下面的 CUI 资源,了解如何创建和使用 CUI“指定指示块”。
5.1.1.1访问5.1.1.1.1将对可识别信息的访问限制为需要知道的研究人员。5.1.1.2打印5.1.1.2.1请勿在复印机/打印机上留下无人看管的数据或信息。5.1.1.2.2在可能的情况下,使用存储/锁定作业将数据或信息发送给打印机。在机器上输入密码以打印。5.1.1.3基于纸张的信息5.1.1.3.1将数据或信息放在封闭的信封或框中(如果件间隔内部必须将其放置在件间信封内的密封信封中)。5.1.1.3.2通过扰流中或美国邮政服务发送数据或信息。 5.1.1.4在工作或个人计算机上存储电子文件5.1.1.4.1计算机必须满足低风险数据的弗吉尼亚技术安全要求(请参阅https://security.vt.edu/resources.html)。 5.1.1.5在外部便携式存储媒体上存储数据/文件(USB,CD/DVD,备用磁带等) 5.1.1.5.1必须加密设备。 5.1.1.5.2必须受密码保护设备。 5.1.1.6与授权个人共享数据/文件5.1.1.6.1与特定的授权个人共享数据或信息,而不是匿名或访客链接。 5.1.1.7根据数据传输安排向项目人员或个人发送数据/文件5.1.1.7.1在内部和外部传输数据时加密。 5.1.1.7.2使用弗吉尼亚理工学院支持的安全文件传输方法(请与您所在地区内的选项联系您的部门IT支持)。 5.1.1.7.3在网站表格上,使用https。5.1.1.3.2通过扰流中或美国邮政服务发送数据或信息。5.1.1.4在工作或个人计算机上存储电子文件5.1.1.4.1计算机必须满足低风险数据的弗吉尼亚技术安全要求(请参阅https://security.vt.edu/resources.html)。5.1.1.5在外部便携式存储媒体上存储数据/文件(USB,CD/DVD,备用磁带等)5.1.1.5.1必须加密设备。5.1.1.5.2必须受密码保护设备。5.1.1.6与授权个人共享数据/文件5.1.1.6.1与特定的授权个人共享数据或信息,而不是匿名或访客链接。 5.1.1.7根据数据传输安排向项目人员或个人发送数据/文件5.1.1.7.1在内部和外部传输数据时加密。 5.1.1.7.2使用弗吉尼亚理工学院支持的安全文件传输方法(请与您所在地区内的选项联系您的部门IT支持)。 5.1.1.7.3在网站表格上,使用https。5.1.1.6与授权个人共享数据/文件5.1.1.6.1与特定的授权个人共享数据或信息,而不是匿名或访客链接。5.1.1.7根据数据传输安排向项目人员或个人发送数据/文件5.1.1.7.1在内部和外部传输数据时加密。5.1.1.7.2使用弗吉尼亚理工学院支持的安全文件传输方法(请与您所在地区内的选项联系您的部门IT支持)。5.1.1.7.3在网站表格上,使用https。