Postup žádostí o přístup k informačním systémům obsahujícím citlivá data

 

Úvod

Tento postup určuje vlastníky systému / dat Hudson County Community College (HCCC). Tito jednotlivci dohlížejí na přístup k informačním systémům obsahujícím citlivá data, jako je Kolega ERP systém. Dohled je nezbytný pro ochranu a zachování důvěrnosti, integrity a dostupnosti dat HCCC a pro dodržení standardů a předpisů informačních technologií platných pro HCCC.

Určení vlastníci systému/dat pro informační systémy Hudson County Community College obsahující citlivá data budou mít pravomoc schvalovat jednotlivcům přístup k těmto systémům.

Určení vlastníků systému/dat

Následující členové výkonného personálu jsou označeni jako vlastníci systému/dat pro informační systémy obsahující citlivá data.

Kolega ERP systém

Studentský modul

Viceprezident pro záležitosti studentů a zápis

Studentský finanční modul

Viceprezident pro obchod a finance/CFO

Financial Aid Modul

Proděkan z Financial Aid

Modul lidských zdrojů

Viceprezident pro lidské zdroje

Systém zobrazování dokumentů

Registrační služby, přijímací řízení a poradenské dokumenty

Viceprezident pro záležitosti studentů a zápis

Student Financial Aid Dokumenty

Proděkan z Financial Aid

Finanční dokumenty

Viceprezident pro obchod a finance/CFO

Žádosti o přístup k informačním systémům obsahujícím citlivá data

Žádosti o přístup k informačním systémům obsahujícím citlivé údaje se udělují na základě „nejmenšího oprávnění“, což znamená přístup pouze k takovým informacím a systémům, které jsou nezbytné k plnění běžných pracovních povinností jednotlivce.

Výkonní zaměstnanci určení jako vlastníci systému/dat nebo určení manažeři ve funkčních oblastech přezkoumávají žádosti o přístup do informačních systémů obsahujících citlivá data od zaměstnanců spadajících pod jejich správní pravomoc. Ověří, že uživatelům je udělen přístup na základě „nejmenšího oprávnění“ pouze k těm oprávněním, která jsou nezbytná k plnění jejich běžných pracovních povinností. Žádosti schvalují odesláním formuláře žádosti o přístup do systému umístěného na portálu. Není-li přístup zaručen, žádost bude zamítnuta.

Odebrání přístupu k informačním systémům obsahujícím citlivá data

Výkonní zaměstnanci zajistí, aby nadřízení neprodleně informovali Služby informačních technologií (ITS), když již není vyžadován přístup uživatele k informačnímu systému a kdy musí být přístup uživatele změněn z důvodu změny základních povinností zaměstnance.

ITS bude okamžitě informována telefonickým hovorem a následně e-mailem Chief Information Officer (CIO), při ukončení zaměstnance superuživatele nebo v případě nedobrovolného ukončení zaměstnance. Rutinní ukončení, převedení na jiné oddělení vysoké školy nebo změny v povinnostech musí být podány do pěti pracovních dnů pomocí formuláře žádosti o přístup do systému umístěného na portálu.

Recenze přístupu k informačním systémům obsahujícím citlivá data

ITS provádí roční přezkum všech uživatelských účtů pro citlivé systémy IT, aby posoudil pokračující potřebu účtů a související úroveň přístupu.

Odpovědnost

CIO má celkovou odpovědnost za vývoj a udržování technických postupů v souladu s tímto postupem a musí splňovat platné normy Hudson County Community College.

Příloha A popisuje umístění formuláře pro žádost o přístup do vysokoškolských informačních systémů.

Definice

Data - zahrnuje jakékoli informace v působnosti HCCC, včetně údajů o studentech, osobních údajů, finančních údajů (rozpočet a mzdy), údajů o životě studentů, administrativních údajů oddělení, právních spisů, údajů o institucionálním výzkumu, vlastnických údajů a všech dalších údajů, které se týkají nebo podporují administrativa Koleje.

Informační systém - zahrnuje veškeré součásti a operace procesu uchovávání záznamů, včetně informací shromážděných nebo spravovaných pomocí počítačových sítí a internetu, ať už automatizovaných nebo manuálních, obsahujících osobní údaje a jméno, rodné číslo nebo jiné identifikační údaje subjektu údajů.

Citlivá data – zahrnuje jakékoli informace, které by mohly nepříznivě ovlivnit zájmy akademie, provádění agenturních programů nebo soukromí, na které mají jednotlivci nárok, pokud by byla ohrožena důvěrnost, integrita nebo dostupnost. Data jsou klasifikována jako citlivá, pokud kompromitace těchto dat má za následek závažný a významný nepříznivý dopad na zájmy akademie, nemožnost dotčené agentury provozovat svou činnost, porušení očekávání v oblasti ochrany soukromí nebo pokud zákon vyžaduje, aby byla důvěrná.

Superuser – je zaměstnanec, který má registrační panel nebo zvýšený privilegovaný přístup; např. bezpečnostní správce.

 Reference

  • Family Educational Rights and Privacy Act (FERPA) (20 USC § 1232g; 34 CFR část 99)
  • Zákon o modernizaci finančních služeb (Gramm-Leach-Bliley Act) (15 USC § 6801 a násl.)
  • Health Insurance Portability and Accountability Act (HIPAA) (veřejné právo 104-191)

Kontrola periodicity a odpovědnosti

CIO tento postup každoročně přezkoumá a v případě potřeby doporučí revize.

PŘÍLOHA A"

Formuláře žádosti o přístup do systému:

Kolega Přístup

https://myhudson.hccc.edu/ellucian

Žádost o vytvoření účtu nebo žádost o deaktivaci

https://myhudson.hccc.edu/its

 

Schváleno kabinetem: červenec 2021
Související zásady představenstva: ITS

Zpět na Policies and Procedures