home *** CD-ROM | disk | FTP | other *** search
/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / ethics / virgina.txt < prev    next >
Text File  |  1994-07-08  |  13KB  |  350 lines
  1. If you want more information on the guidelines and how they were formed, 
  2. Lore Balkan and Phil Sheldon presented a paper at CAUSE '89 entitled, 
  3. "Developing Guidelines for Information Resource Management:  A Grass-Roots 
  4. Process in a Decentralized Environment."
  5.  
  6. Janet Terry
  7. University Systems Analysis & Services
  8. Virginia Tech
  9. **************************************************************************
  10.  
  11.   Virginia Polytechnic Institute and State University
  12.                                                No. 2005 Rev. 0
  13.   Policy and Procedures                        Date: November 14, 1989
  14.  
  15.   Subject:  Guidelines for University Administrative Information Resource
  16.   Management
  17.   ---------------------------------------------------------------------------
  18.  
  19.  
  20.  
  21.  
  22.   1.0  Purpose
  23.  
  24.  
  25.   While all administrative data captured using University assets are re-
  26.   sources of the University, they vary in their relevance to the administra-
  27.   tive processes of the University.  This policy is intended to apply to
  28.   those data which are critical to the administration of the University.
  29.   While these data may reside in different data base management systems and
  30.   on different machines, these data in aggregate may be thought of as forming
  31.   a logical data base, which will herein be called the ADMINISTRATIVE UNIVER-
  32.   SITY DATA BASE (AUDB).  This terminology is not intended to imply that
  33.   these data now or in the future should reside in a single physical data
  34.   base.  Rather, it is a recognition that regardless of where these data re-
  35.   side, there are some general principles of data management that should be
  36.   applied in order to maintain the value and guarantee effective use of the
  37.   information resource.
  38.  
  39.  
  40.   2.0  Policy
  41.  
  42.  
  43.   2.1  Information Management Roles
  44.  
  45.  
  46.   o   The University is considered the DATA OWNER of all University adminis-
  47.       trative data.
  48.  
  49.   o   University officials, such as the Controller, the Associate Vice Presi-
  50.       dent for Personnel Resources, and the Registrar, are responsible for
  51.       data in their functional areas and are considered DATA CUSTODIANS.
  52.  
  53.   o   Staff delegated the responsibility for information management activ-
  54.       ities related to maintenance and dissemination of data are considered
  55.       DATA STEWARDS.
  56.  
  57.   o   Individuals who have need for University data in order to perform their
  58.       assigned duties and are therefore authorized access are considered DATA
  59.       USERS.
  60.  
  61.   o   The function of applying formal guidelines and tools to manage the Uni-
  62.       versity's information resource is termed DATA ADMINISTRATION.  Those
  63.       data administration activities that do not fall within the realm of re-
  64.       sponsibility of designated data custodians are the responsibility of
  65.       the Information Resource Management (IRM) department.
  66.  
  67.  
  68.  
  69.   2.2  Data Included in the AUDB
  70.  
  71.  
  72.   o   A data element is considered part of the AUDB and should conform to
  73.       AUDB standards if it satisfies one or more of the following criteria:
  74.  
  75.       -   It is relevant to planning, managing, operating, or auditing major
  76.           administrative functions.
  77.       -   It is referenced or required for use by more than one organiza-
  78.           tional unit.  Data elements used internally by a single department
  79.           or office are not typically part of the AUDB.
  80.  
  81.       -   It is included in an official University administrative report.
  82.  
  83.       -   It is used to derive an element that meets the criteria above.
  84.  
  85.   o   Data elements which meet the criteria for inclusion may be identified
  86.       as such by a data custodian, a data steward, IRM, or a user group.
  87.  
  88.   o   A data custodian should be identified for each data element to be in-
  89.       cluded in the AUDB.
  90.  
  91.   o   IRM should assist in the negotiations for inclusion and for identifica-
  92.       tion of data custodians.
  93.  
  94.  
  95.  
  96.   2.3  Data Capture
  97.  
  98.  
  99.   o   The data custodian is responsible for complete, accurate, valid, and
  100.       timely data capture.  These responsibilities may be delegated to data
  101.       stewards.
  102.  
  103.   o   Electronic data should be captured at or near its creation point as
  104.       identified by the data custodian.
  105.  
  106.  
  107.  
  108.   2.4  Data Storage
  109.  
  110.  
  111.   o   An official data storage location for each data element should be iden-
  112.       tified by the data custodian.
  113.  
  114.   o   A official data storage location of valid codes and values for each
  115.       data element should be identified by the data custodian.
  116.  
  117.   o   Data element names, formats, and codes should be consistent with Uni-
  118.       versity standards.
  119.  
  120.   o   Archiving requirements and strategies for storing historical data
  121.       should be determined for each data element by the data custodian.
  122.  
  123.   o   IRM should assist in determining data storage location and archiving
  124.       requirements for AUDB data.
  125.  
  126.  
  127.  
  128.   2.5  Data Validation and Correction
  129.  
  130.  
  131.   o   Applications that capture and update AUDB data should incorporate edit
  132.       and validation checks to assure the accuracy of the data.
  133.  
  134.   o   The accuracy of any element can be questioned by any authorized data
  135.       user.  The data user has the responsibility to help correct the problem
  136.       by supplying as much detailed information as available.
  137.  
  138.   o   The data custodian or delegated data steward is responsible for re-
  139.       sponding to questions and correcting inconsistencies if necessary.
  140.  
  141.  
  142.  
  143.   o   Upon written identification and notification of erroneous data, correc-
  144.       tive measures should be taken as soon as possible or in accordance with
  145.       the consensus of the users to:
  146.  
  147.       -   Correct the cause of the erroneous data.
  148.  
  149.       -   Correct the data in the official data storage location.
  150.  
  151.       -   Notify users who have received or accessed erroneous data.
  152.  
  153.  
  154.  
  155.   2.6  Data Manipulation, Modification, and Reporting
  156.  
  157.  
  158.   o   The data custodian is responsible for authorizing manipulation, modifi-
  159.       cation, or reporting of AUDB data elements and for creating derived el-
  160.       ements, which are also members of the AUDB.
  161.  
  162.   o   The data custodian is responsible for ensuring that data maintained are
  163.       consistent with official University reporting requirements.
  164.  
  165.   o   The data custodian has ultimate responsibility for proper use of AUDB
  166.       data; individual data users will be held accountable for their specific
  167.       uses of the data.
  168.  
  169.   o   All extracted or reported AUDB records should include the time and date
  170.       of data capture.
  171.  
  172.  
  173.  
  174.   2.7  Data Security
  175.  
  176.  
  177.   o   All AUDB data should be secured and access granted to a data user only
  178.       for University business on a "need-to-know" basis and within predefined
  179.       access rules and security requirements.
  180.  
  181.   o   The data custodian has ultimate responsibility for determining security
  182.       requirements and authorizing access.
  183.  
  184.   o   The individuals or office responsible for implementing access control
  185.       will be identified and charged with this responsibility in writing by
  186.       the data custodian.
  187.  
  188.   o   The data custodian is responsible for documenting authorization proce-
  189.       dures.
  190.  
  191.   o   The data custodian is responsible for monitoring and reviewing security
  192.       implementation and authorized access.
  193.  
  194.   o   All data users of AUDB data should sign a statement indicating their
  195.       understanding of the level of access provided and their responsibility
  196.       to likewise maintain the inherent privacy, accessibility, and integrity
  197.       of the data they are provided.
  198.  
  199.   o   The data custodian is responsible for assuring that data are backed up
  200.       and recoverable in response to events that compromise data integrity
  201.       such as system failure, inadvertent faulty manipulation, unauthorized
  202.       user penetration, or other unforeseen disasters.
  203.  
  204.  
  205.   2.8  Data Documentation
  206.  
  207.  
  208.   o   Documentation of data elements should be provided to IRM in machine-
  209.       readable format and will reside in a UNIVERSITY DATA RESOURCE DICTION-
  210.       ARY.
  211.  
  212.   o   IRM is responsible for the data administration function of maintaining
  213.       the University Data Resource Dictionary and for making it readily ac-
  214.       cessible to data custodians, data stewards, and data users.  In es-
  215.       sence, IRM is data custodian for the the University Data Resource
  216.       Dictionary.
  217.  
  218.   o   Documentation of data elements is the ultimate responsibility of the
  219.       data custodian.
  220.  
  221.   o   Documentation/definition for each data element should at least include:
  222.  
  223.       -   Name and Alias Names
  224.  
  225.       -   Description
  226.  
  227.       -   Data Custodian
  228.  
  229.       -   Usage and Relationships
  230.  
  231.       -   Frequency of Update
  232.  
  233.       -   Source for Data Capture
  234.  
  235.       -   Official Data Storage Location and Format
  236.  
  237.       -   Description of Validation Criteria and/or Edit Checks
  238.  
  239.       -   Description, Meaning, and Location of Allowable Codes
  240.  
  241.       -   Access Rules and Security Requirements
  242.  
  243.       -   Archiving Requirements
  244.  
  245.       -   Data Storage Location of Extracts
  246.  
  247.   o   Documentation for derived AUDB data elements should include the algo-
  248.       rithms or decision rules for the derivation.
  249.  
  250.   o   Change in any of these characteristics should be noted to IRM and/or
  251.       recorded in the University Data Resource Dictionary in advance of the
  252.       change.
  253.  
  254.  
  255.  
  256.   2.9  Data Availability
  257.  
  258.  
  259.   o   Data Custodians are responsible for providing accessible, meaningful,
  260.       and timely machine-readable AUDB data for University use.  This activ-
  261.       ity may be assigned to data stewards or to other University officials
  262.       within the predefined access rules and authorization procedures.
  263.  
  264.   o   Data custodians and IRM share responsibility for AUDB data compatibil-
  265.       ity, accessibility, and interfaces.
  266.  
  267.  
  268.  
  269.   3.0  Procedures
  270.  
  271.  
  272.   These GUIDELINES FOR UNIVERSITY ADMINISTRATIVE INFORMATION RESOURCE MANAGE-
  273.   MENT have been prepared by the Information Resource Management (IRM) de-
  274.   partment and the Office of Institutional Research and Planning Analysis in
  275.   association with the Administrative Systems Users Group (ASUG).  They serve
  276.   as a statement of objectives to manage the administrative information re-
  277.   source.  These GUIDELINES apply to all AUDB data.  In addition, these
  278.   GUIDELINES should be considered and followed where possible by all those
  279.   who capture data and manage administrative information systems using assets
  280.   of the University.  STANDARDS AND PROCEDURES SHOULD BE DEVELOPED TO CONFORM
  281.   TO THE OBJECTIVES EMBODIED IN THESE GUIDELINES.
  282.  
  283.   Copies of these GUIDELINES or related standards documents are available
  284.   from the Information Resource Management Department and from the Adminis-
  285.   trative Information System.
  286.  
  287.  
  288.  
  289.   3.1  Updates
  290.  
  291.  
  292.   As an ongoing document, these GUIDELINES FOR UNIVERSITY ADMINISTRATIVE IN-
  293.   FORMATION RESOURCE MANAGEMENT will be maintained and revised as needed by
  294.   the Information Resource Management department (IRM) in cooperation with
  295.   data custodians and administrative systems users groups.  All administra-
  296.   tive system users are encouraged to correspond with IRM describing any sug-
  297.   gestions for improving these GUIDELINES.  When corresponding please refer
  298.   to the document title and provide an appropriate section and page number
  299.   reference.
  300.  
  301.   Changes or updates to these GUIDELINES will be reviewed by the AGENCY RE-
  302.   CORDS ADMINISTRATOR to ensure compliance with MANAGEMENT OF UNIVERSITY RE-
  303.   CORDS (University Policy 2000) and related State regulations.  Revisions to
  304.   these GUIDELINES will be sent to the manager of the Administrative Informa-
  305.   tion System (before the effective date of the change, if possible).  The
  306.   update will be made, the date and revision number changed and the revision
  307.   noted in Section 6.0, and returned to be approved and released.
  308.  
  309.  
  310.   4.0  Definitions
  311.  
  312.  
  313.   1.  AUDB (ADMINISTRATIVE UNIVERSITY DATA BASE) is a conceptual term used to
  314.       identify that body of data critical to University planning, management
  315.       and business operations.
  316.  
  317.   2.  DATA ADMINISTRATION is the function of applying formal guidelines and
  318.       tools to manage the University's information resource.
  319.  
  320.   3.  DATA CUSTODIANS are the University officials responsible for managing a
  321.       segment of the University's information resource.
  322.  
  323.   4.  DATA STEWARDS are staff members delegated the responsibility for data
  324.       maintenance and data dissemination.
  325.  
  326.   5.  DATA USERS are individuals who are authorized access to University data
  327.       required by them to perform their assigned duties.
  328.  
  329.   6.  UNIVERSITY DATA RESOURCE DICTIONARY is a database system that functions
  330.       as a repository that contains comprehensive information about Univer-
  331.       sity data and documentation of University administrative systems.
  332.  
  333.  
  334.  
  335.   5.0  References
  336.  
  337.  
  338.   1.  Policy 2000, "Management of University Records."
  339.  
  340.  
  341.   6.0  Approvals and Revisions
  342.  
  343.  
  344.       Approved January 5, 1989 by the Administrative Systems Users Group
  345.       (ASUG).
  346.  
  347.       Approved November 14, 1989 by the Director of the Office of Institu-
  348.       tional Research and Planning Analysis, James R. Montgomery.
  349.  
  350.