Zásady služeb informačních technologií

 

ÚČEL

Tato politika poskytuje očekávání a pokyny Hudson County Community College („College“) všem, kteří používají a spravují služby a zdroje informačních technologií akademie („ITS Resources“).

Vysoká škola poskytuje zdroje ITS k prosazování cílů vysoké školy v oblasti vzdělávání, služeb, obchodu a úspěchu studentů. Jakýkoli přístup nebo použití zdrojů ITS akademie, které narušuje, přerušuje nebo je v rozporu s těmito účely, bude považováno za porušení těchto zásad. Budou podléhat důsledkům, včetně zrušení přístupu k ITS.

POLITIKA

Tato politika se vztahuje na všechny členy komunity akademie, včetně učitelů, studentů, administrátorů, zaměstnanců, absolventů, oprávněných hostů a nezávislých dodavatelů, kteří používají, přistupují nebo jinak využívají, místně nebo vzdáleně, zdroje ITS akademie, ať už jsou jednotlivě řízeny, sdílené, samostatné nebo síťové.

Představenstvo deleguje na prezidenta odpovědnost za vypracování postupů a pokynů pro implementaci této politiky. Za implementaci této politiky bude odpovědný úřad pro služby informačních technologií a finanční úřad.

Schváleno: červen 2021
Schválil: Správní rada
Kategorie: Služby informačních technologií
Naplánováno na kontrolu: červen 2024
Odpovědné kanceláře: Služby informačních technologií a finanční oddělení

 

postupy

Přijatelné použití pro systémy informačních technologií Postup

Úvod

Cílem tohoto postupu je zajistit, aby systémy informačních technologií (ITS) akademie byly využívány k podpoře poslání akademie. Tento postup je v souladu se Zásadami služeb informačních technologií HCCC schválenými správní radou HCCC.

Použitelnost

Tento postup platí pro všechny jednotlivé uživatele, kteří přistupují a používají výpočetní, síťové a informační zdroje prostřednictvím jakéhokoli zařízení školy. Mezi tyto uživatele patří všichni zaměstnanci Hudson County Community College, vyučující, správci a další osoby najaté nebo najaté k výkonu práce na vysoké škole.

Tento postup pokrývá všechny systémy informačních technologií akademie, včetně výpočetní techniky, sítí a dalších zdrojů informačních technologií vlastněných nebo provozovaných, pořizovaných nebo smluvně sjednaných akademie. Mezi tyto zdroje patří výpočetní a síťové systémy akademie (včetně těch, které jsou připojeny k telekomunikační infrastruktuře akademie, páteřním sítím akademie, místním sítím a internetu), veřejně přístupné stránky, sdílené počítačové systémy, stolní počítače, mobilní zařízení a další počítačový hardware, software, databáze uložené na síti nebo přístupné prostřednictvím sítě, zařízení ITS/podnikových aplikací a komunikační systémy a služby.

Odpovědnost

Tento postup zavedou Chief Information Officer (CIO) a ředitelé/manažeři ITS/Enterprise Applications. Hlášení uživatelů o podezření na zneužití a další stížnosti budou směrovány na CIO. CIO oznámí incident viceprezidentovi pro obchod a finance/CFO. Specifika postupu jsou popsána níže v části „Nedodržování předpisů a sankce“.

Ochrana osobních údajů

Vysoká škola klade velký důraz na soukromí a uznává jeho zásadní význam v akademickém prostředí. Za omezených okolností, mimo jiné včetně technických problémů nebo selhání, žádostí o vymáhání práva nebo vládních nařízení, může Kolegium rozhodnout, že jiné zájmy převažují nad hodnotou očekávání uživatele v oblasti soukromí. Teprve poté bude škola přistupovat k příslušným IT systémům bez souhlasu uživatele. College se zavázala chránit soukromí uživatelů, pokud to neohrozí institucionální zdroje. Okolnosti, za kterých může být College nutné získat přístup, jsou popsány níže. Byly zavedeny procesní záruky, aby bylo zajištěno, že přístup bude dosažen pouze tehdy, je-li to vhodné.

Podmínky – V souladu se státním a federálním právem může Kolej přistupovat ke všem aspektům IT systémů bez souhlasu uživatele za následujících okolností:

      1. Je-li to nutné k identifikaci nebo diagnostice systémů nebo bezpečnostních slabin a problémů, nebo k jinému zachování integrity IT systémů akademie;
      2. Pokud to vyžadují federální, státní nebo místní zákony nebo správní pravidla; 
      3. Existují-li přiměřené důvody domnívat se, že mohlo dojít k porušení zákona nebo k významnému porušení zásad nebo postupu kolegia, a přístup a kontrola nebo sledování mohou poskytnout důkazy související s nesprávným jednáním;
      4. Je-li takový přístup k IT/Enterprise Applications Systems vyžadován k provádění základních obchodních funkcí kolegia; a,
      5. Když je to nutné pro ochranu veřejného zdraví a bezpečnosti.

Podle New Jersey Open Public Records Act si College vyhrazuje právo na přístup k datům a jejich zveřejnění. Toto zveřejnění může zahrnovat zprávy, data, soubory a zálohy nebo archivy e-mailů. Zpřístupnění orgánům činným v trestním řízení a dalším osobám musí být provedeno tak, jak to vyžaduje zákon, aby bylo možné reagovat na právní procesy a plnit své závazky vůči třetím stranám. Dokonce i smazané e-maily podléhají právnímu odhalení během soudního sporu prostřednictvím archivů zpráv, záložních pásek a zrušení mazání zpráv.

Proces – Kolegium bude přistupovat k údajům bez souhlasu uživatele pouze se souhlasem CIO a viceprezidenta pro obchod a finance/CFO. Tento proces bude obcházen pouze v případě, kdy je nouzový přístup k datům nezbytný pro zachování integrity zařízení a zachování veřejného zdraví a bezpečnosti. Kolegium prostřednictvím CIO zaznamená všechny případy přístupu bez souhlasu. Uživatel bude upozorněn na přístup školy k příslušným IT systémům bez souhlasu. V závislosti na okolnostech k takovému oznámení dojde před, během nebo po přístupu podle uvážení akademie.

Obecné zásady

  1. Přístup k informačním technologiím je zásadní pro poslání akademie poskytovat svým studentům nejkvalitnější vzdělávací služby.
  2. Vysoká škola vlastní své výpočetní, síťové a další komunikační systémy.
  3. College má také různá licenční práva k softwaru a informacím umístěným nebo vyvinutým na těchto počítačích a sítích. Kolegium nese odpovědnost za bezpečnost, integritu, údržbu a důvěrnost svých komunikačních systémů.
  4. IT systémy akademie existují, aby podporovaly zaměstnance, vyučující, administrátory, konzultanty a studenty při plnění poslání akademie. Za tímto účelem College podporuje a podporuje využívání těchto zdrojů komunitou College pro zamýšlené účely. Přístup k těmto zdrojům a jejich používání mimo poslání akademie podléhá regulaci a omezení, aby bylo zajištěno, že nebudou narušovat legitimní práci. Přístup a používání zdrojů a služeb, které narušují poslání a cíle akademie, jsou zakázány.
  5. Když poptávka po zdrojích informačních technologií překročí dostupnou kapacitu, ITS stanoví priority pro alokaci zdrojů. ITS dává vyšší prioritu činnostem nezbytným pro poslání akademie. Viceprezidenti ve spolupráci s hlavním informačním důstojníkem doporučí tyto priority prezidentovi.
  6. Kolegium má pravomoc kontrolovat nebo odmítat přístup každému, kdo poruší tento postup. Ohrožování práv ostatních uživatelů, dostupnosti a integrity systémů a informací je porušením tohoto postupu. Důsledky porušení procedur zahrnují deaktivaci účtů, přístupových kódů nebo bezpečnostních prověrek, zastavení procesů, smazání dotčených souborů a znemožnění přístupu ke zdrojům informačních technologií.

Práva uživatelů

  1. Soukromí a důvěrnost: Jak je podrobněji popsáno v části IV (výše), College bude obecně respektovat práva uživatelů na soukromí a důvěrnost. Elektronická komunikace, zejména e-mail připojený k internetu, však ze své technologické podstaty nemusí být zabezpečena proti neoprávněnému přístupu, prohlížení nebo porušení. Přestože akademie využívá technologie k zabezpečení elektronických zpráv, důvěrnost e-mailů a dalších elektronických dokumentů nemůže být vždy zajištěna. Dobrý úsudek proto velí vytvářet elektronické dokumenty, které se mohou stát veřejnými bez rozpaků nebo újmy.
  2. Bezpečnost: Používání fakult, zaměstnanců nebo správců IT systémů akademie k přenosu výhrůžné, obtěžující nebo urážlivé komunikace (nebo zobrazování urážlivých obrázků nebo materiálů) je porušením postupu školy a může vést k přísným sankcím pro porušovatele. . Personál školy by měl co nejdříve hlásit CIO výhružnou, obtěžující nebo urážlivou komunikaci přijatou přes síť.

Odpovědnosti uživatelů

  1. Jednotlivci s přístupem k výpočetním, síťovým a informačním zdrojům akademie jsou zodpovědní za jejich profesionální, etické a právní použití a v souladu se všemi platnými zásadami akademie. Uživatelé musí přijmout přiměřená a nezbytná opatření k zajištění provozní integrity a dostupnosti systémů akademie. Uživatelé by měli udržovat akademické a pracovní prostředí vedoucí k efektivnímu a produktivnímu plnění poslání akademie. Mezi povinnosti uživatelů konkrétně patří:
      1. Respektování práv ostatních, včetně jejich práv na duševní vlastnictví, soukromí a ochranu před obtěžováním;
      2. Zajištění důvěrnosti citlivých informací o vysoké škole a soukromí informací o studentech podle zásad a postupů FERPA a školy;
      3. používání systémů a zdrojů tak, aby nenarušovaly nebo nenarušovaly běžný každodenní provoz akademie;
      4. Ochrana bezpečnosti a integrity informací uložených na College IT/Enterprise Applications Systems;
      5. Znalost a dodržování zásad a postupů specifických pro vysokou školu a jednotku, které upravují přístup k IT systémům a informacím o těchto systémech a jejich používání.

Specifické předpisy pro používání sítě

  1. Jednotlivci nesmějí sdílet hesla nebo přihlašovací ID ani jiným způsobem poskytovat přístup k jakémukoli systému, za který nejsou jednotlivci odpovědnými za data nebo systém. Uživatelé jsou odpovědní za jakoukoli činnost prováděnou s jejich počítačovými účty a zabezpečením jejich hesel. Pouze oprávněné osoby mohou používat IT/systémy podnikových aplikací akademie.
  2. Jednotlivci nesmí používat síťový účet jiné osoby ani se pokoušet získat hesla nebo přístupové kódy k síťovému účtu jiné osoby k odesílání nebo přijímání zpráv.
  3. Jednotlivci musí v elektronické komunikaci přesně a vhodně identifikovat sebe a svou příslušnost. Nesmí zastírat identitu síťového účtu, který jim byl přidělen, ani se vystupovat jako někdo jiný.
  4. Jednotlivci nesmějí používat systémy akademie k obtěžování, zastrašování, vyhrožování nebo urážení ostatních; zasahovat do cizí práce nebo vzdělávání; vytvářet zastrašující, nepřátelské nebo urážlivé pracovní nebo vzdělávací prostředí; nebo provádět nezákonné nebo neetické činnosti, včetně plagiátorství a narušování soukromí.
  5. Jednotlivci nesmějí používat systémy akademie k získání nebo pokusu o získání neoprávněného přístupu ke vzdáleným sítím nebo počítačovým systémům.
  6. Jednotlivci nesmějí úmyslně narušovat běžný provoz počítačů, pracovních stanic, terminálů, periferií nebo sítí školy.
  7. Jednotlivci nesmějí spouštět ani instalovat na počítačový systém školy programy, které by mohly poškodit data a systémy školy (např. počítačové viry, osobní programy). Uživatelé nesmí používat síť akademie k narušení externích systémů. Pokud má uživatel podezření, že program, který zamýšlí nainstalovat nebo používat, může způsobit takový účinek, musí se nejprve poradit s ITS/Enterprise Applications.
  8. Jednotlivci nesmí obcházet nebo se vyhýbat používání autentizačních systémů, mechanismů ochrany dat nebo jiných bezpečnostních opatření.
  9. Jednotlivci nesmí porušovat žádné platné zákony o autorských právech a licence a musí respektovat další práva duševního vlastnictví. Informace a software přístupné na internetu podléhají autorským právům nebo dodatečné ochraně práv duševního vlastnictví. Politika, postupy a zákony vysoké školy zakazují neoprávněné kopírování softwaru, který nebyl umístěn ve veřejné doméně a distribuován jako „freeware“. Proto by se nemělo nic stahovat nebo kopírovat z internetu bez výslovného souhlasu vlastníka materiálu. Uživatelé musí dodržovat požadavky nebo omezení vlastníka materiálu na materiál. Rovněž je zakázáno používání softwaru na více než licencovaných počítačích a neoprávněná instalace nelicencovaného softwaru.
    Uživatelé „Shareware“ musí dodržovat požadavky smlouvy o sdílení softwaru.
  10. Činnosti, které plýtvají nebo nečestně monopolizují výpočetní zdroje a nepropagují poslání akademie, jsou zakázány. Příklady takových činností zahrnují neoprávněné hromadné e-maily; elektronické řetězové dopisy, nevyžádaná pošta a další typy vysílaných zpráv; zbytečné vícenásobné procesy, výstupy nebo provoz; překročení omezení síťového adresářového prostoru; hraní her, „surfování“ na internetu pro rekreační účely nebo jiné aplikace nesouvisející s prací během pracovní doby; a nadměrný tisk.
  11. Čtení, kopírování, změna nebo mazání programů nebo souborů, které patří jiné osobě nebo Kolegiu, je bez povolení zakázáno.
  12. Jednotlivci nesmějí používat výpočetní zdroje akademie pro komerční účely nebo osobní finanční zisk.
  13. Používání IT systémů akademie, které porušuje místní, státní nebo národní zákony nebo předpisy nebo zásady, normy chování nebo směrnice, je zakázáno.
  14. E-mailová komunikace:
      1. E-mailový systém akademie existuje na podporu práce akademie a používání e-mailu musí souviset s podnikáním akademie. Je však povoleno i náhodné osobní, nekomerční použití bez přímých nákladů pro kolej, které nenarušuje legitimní podnikání školy.
      2. Elektronická komunikace, jejíž význam, přenos nebo distribuce je nezákonná, neetická, podvodná, pomlouvačná, obtěžující nebo nezodpovědná, je zakázána. Vysokoškolské e-mailové systémy nesmí být používány ke sdělování obsahu, který může být považován za nevhodný, urážlivý nebo neuctivý vůči ostatním.
      3. Jednotlivci by měli při veškeré elektronické komunikaci dodržovat příslušné profesní standardy zdvořilosti a slušnosti.
      4. Veškerá e-mailová korespondence týkající se podnikání na vysoké škole (včetně korespondence zasílané studentům a potenciálním studentům) by měla být zasílána s obyčejným bílým pozadím a neměla by používat žádné dekorativní psací potřeby.
      5. E-maily vysílané komunitě Koleje se budou týkat zásad a postupů Koleje, Kolejních novinek, akce sponzorované Kolejí nebo položek ovlivňujících Kolejní komunitu. Předměty na prodej, žádosti o dary a další obchodní záležitosti, které nesouvisí s vysokou školou, jsou zakázány. Jednotlivci nemohou posílat e-maily požadující tento typ informací prostřednictvím seznamů adresátů akademie.

World Wide Web

  1. Web Hudson County Community College je oficiální publikací College. Všechny informace obsažené na webových stránkách musí být přesné a odrážet oficiální politiku a postupy College.
  2. Oficiální webové stránky College splňují stejné standardy jako jakákoli tištěná publikace College. Konečnou odpovědnost za obsah a design každé stránky nese CIO, ředitel marketingu a vztahů s vysokou školou, manažer webových služeb a příslušný viceprezident nebo jejich zástupce.
  3. Manažer webových služeb a zaměstnanci školy odpovědní za každou divizi nebo oddělení budou pravidelně kontrolovat aktuálnost a přesnost oficiálních webových stránek Hudson County Community College. Jednotlivé oblasti jsou zodpovědné za sdělování revizí a aktualizací, jakmile k nim dojde, správci webových služeb, který je zkontroluje a zajistí jejich zveřejnění.

Nedodržení a sankce

Nedodržení tohoto postupu může mít za následek odepření nebo odebrání přístupových práv k elektronickým systémům akademie, disciplinární řízení podle platných zásad a postupů akademie, občanskoprávní odpovědnost a soudní spory a trestní stíhání podle příslušných státních, federálních a místních zákonů.

Proces vyšetřování podezření na zneužití a nedodržení tohoto postupu je následující:

    1. Nahlaste podezření na zneužití CIO.
    2. Pokud viceprezident pro obchod a finance/CFO souhlasí, CIO zprávu prošetří.
    3. CIO nahlásí jakékoli zjištěné zneužití příslušnému viceprezidentovi divize, který rozhodne o vhodném disciplinárním řízení.

Postupy pro síťové, e-mailové a internetové účty

Způsobilé pro účty jsou následující:

    1. Všichni zaměstnanci Hudson County Community College na plný úvazek.
    2. Všichni pomocní učitelé a další konzultanti, které akademie angažuje prostřednictvím dopisů o dohodě, memoranda o porozumění nebo smlouvy.
    3. Všichni členové správní rady.
    4. Zaměstnanci Hudson County Community College na částečný úvazek, kteří prokazatelně potřebují počítačové zdroje dostupné z ITS/Enterprise Applications (jiné než obecný přístup k internetu), související s jejich prací na College, mají nárok na dočasné účty.
    5. Zaměstnanci přidružených vzdělávacích institucí, kteří mají vztahy s Hudson County Community College a prokázali potřebu počítačových zdrojů ITS/Enterprise Applications (jiných než obecný přístup k internetu), mají nárok na dočasné účty.
    6. Přidružené organizace s akademickým posláním, jejichž aktivity související s kolegií vyžadují výpočetní zdroje, které pobočka nemůže sama rozumně poskytnout, mají nárok na dočasné účty.

ITS odebere účty, když:

    1.  Majitel účtu již nesplňuje požadavky způsobilosti.
    2. Účet je dočasný a datum vypršení platnosti uplyne bez obnovení.
    3. Majitel účtu se k účtu nepřihlásil 18 po sobě jdoucích měsíců.

Hesla

    1. Účty jsou vytvářeny s předem přiděleným heslem, které musí držitel účtu změnit při prvním přihlášení, a v souladu s postupy College.
    2. Je přísně zakázáno sdílet nebo vyzrazovat hesla.

Postup emailu Hudson County Community College

Jednotlivci s přístupem k IT systémům akademie jsou odpovědní za jejich profesionální, etické, právní a dodržování příslušných zásad a postupů akademie. Uživatelé by měli udržovat akademické a pracovní prostředí vedoucí k efektivnímu a produktivnímu plnění poslání akademie.

Elektronická komunikace, jejíž význam, přenos nebo distribuce je nezákonná, neetická, podvodná, pomlouvačná, obtěžující, nezodpovědná nebo porušuje zásady nebo postupy College, je zakázána. Elektronická komunikace by neměla obsahovat nic, co by nemohlo být zveřejněno na nástěnce, vidět nezamýšlenými diváky nebo co by se nemohlo objevit v publikaci College. Materiál, který může být považován za nevhodný, urážlivý nebo neuctivý vůči ostatním, by neměl být zasílán nebo přijímán jako elektronická komunikace pomocí zařízení školy. CIO bude dohlížet na prosazování tohoto postupu.

A. Zvažované akce Porušení tohoto e-mailového postupu je následující:

      1. Odesílání neoprávněných hromadných e-mailových zpráv („nevyžádaná pošta“ nebo „spam“).
      2. Používání e-mailu k obtěžování, ať už prostřednictvím jazyka, frekvence, obsahu nebo velikosti zpráv.
      3. Přeposílání nebo jiné šíření řetězových dopisů a pyramidových schémat bez ohledu na to, zda si příjemce takové zásilky přeje nebo ne.
      4. Škodlivé e-maily, jako je „e-mailové bombardování“ nebo zahlcení uživatelského webu velmi velkými nebo mnoha kusy e-mailů.
      5. Falšování jiných informací o odesílateli než accountname@hccc.edu nebo jiné předem schválené adresy záhlaví.
      6. Zasílání e-mailů pro komerční účely nebo osobní finanční zisk.

Kolegium má právo odebrat přístup k účtům, u kterých bylo zjištěno porušení tohoto postupu.

B. Pravidla a ovládací prvky e-mailu:

      1. Škola e-maily nearchivuje.
      2. Škola filtruje e-maily na spam a škodlivý obsah.
      3. College blokuje e-mailové účty, které rozesílají spam a škodlivý obsah.

Schváleno kabinetem: červenec 2021
Související zásady představenstva: Služby informačních technologií

 

Postup životních cyklů počítače

Úvod

Tento postup má za cíl zajistit přístup k aktuální výpočetní technologii potřebné k podpoře úspěchu studentů a plnění pracovních povinností zaměstnanců. Tento postup umožňuje úřadu Office of Information Technology Services (ITS) plánovanou výměnu počítačů pro zaměstnance, učebny a laboratoře. 

Účel

Účelem tohoto postupu je nastavení parametrů a procesu výměny osobních počítačů. Tento postup vylučuje pracovní stanice a terminály s jedinečným účelem pro použití s ​​infrastrukturou virtuálních desktopů (VDI). 

Rozsah

Tento postup zahrnuje osobní počítače používané na plný úvazek vyučujícími, zaměstnanci na plný úvazek, laboratořemi a učebnami. Počítače zakoupené v rámci grantů nebo pro vyhrazené použití musí být nakládány samostatně podle parametrů jejich grantů a účelu. Tyto zásady se nevztahují na periferní zařízení, kancelářské telefony, mobilní telefony, tiskárny, skenery, audio/vizuální zařízení, servery nebo jiná zařízení související s IT. Toto zařízení je nahrazeno ITS podle potřeby, stavu a rozpočtových zdrojů na základě jejich analýzy, posouzení a smluv o podpoře. 

Hardwarové platformy 

Škola každý rok určí standardní specifikace pro stolní a přenosné počítače na základě pracovních funkcí tak, aby obsahovaly náklady, údržbu a efektivitu podpory. ITS vyvinula standardy vybavení, které byly přezkoumány technologickým výborem All College Council a schváleny Chief Information Officer a Vice President for Finance and Business/Chief Financial Officer. Vzhledem k tomu, že ITS podporuje jedno zařízení na zaměstnance, bude uživatelům přidělen notebook a dokovací stanice spíše než stolní počítač. Stolní počítače budou umístěny v oblastech, kde bude jejich použití sdíleno, jako jsou recepce, učebny, laboratoře a vedlejší nebo pracovní studijní prostory.

Postup

    1. Osobní počítače budou udržovány a podporovány ze strany ITS po dobu jejich určeného provozu. Současná doba servisu osobních počítačů HCCC je pět let.
    2. ITS každý rok nahradí část osobních počítačů na seznamu zásob. ITS nasadí v létě a na podzim osobní počítače fakult a zaměstnanců. ITS také každý rok obnoví část učebny, laboratoře a počítače s otevřeným přístupem. Odhadované náhradní rozpočty budou předloženy na každoročních slyšeních o rozpočtu. ITS uznává, že někteří učitelé, zaměstnanci a studenti mají různé počítačové potřeby. Akademické laboratoře se specializovanými počítači budou zabudovány do náhradního rozpočtu, pokud to bude možné. Pedagogové a zaměstnanci, kteří požadují nestandardní stroj, který převyšuje náklady na standardní osobní počítač, budou muset získat schválení kanceláře/školy. Jejich kancelář/škola uhradí cenový rozdíl.
    3. Fakulta a zaměstnanci na částečný úvazek, kteří si chtějí půjčit notebook, vyplní formulář žádosti vyžadující souhlas manažera. Po schválení manažerem poskytne ITS notebook.
    4. ITS bude spolupracovat s uživatelem počítače na migraci dat zaměstnanců do náhradního počítače. ITS odstraní starší osobní počítač. ITS podrží pevný disk starého počítače po dobu dvou týdnů až 90 dnů, aby bylo zajištěno, že během nasazení nedojde ke ztrátě dat.

      1. Důchodci mohou dostat možnost koupit si svůj starý počítač za přiměřenou tržní hodnotu stanovenou ITS. Tyto nákupy jsou „tak jak jsou“ a ITS před převodem vlastnictví odstraní veškerý software a data HCCC. Zaměstnanci vypíší šek na Hudson County Community College, který bude uložen na účtu akademie.
    5. V některých případech mohou být počítače znovu použity nebo přemístěny na jiná místa v kampusu podle uvážení ITS.
    6. Když je třeba přestěhovat osobní počítače, musí úřad/škola kontaktovat ITS. ITS zodpovídá za přesnou inventuru. Uživatelé by neměli sami přemisťovat osobní počítače. Počítače by neměly být znovu přiděleny nebo distribuovány bez oznámení ITS a získání souhlasu.
    7. Když zaměstnanec s osobním počítačem opustí kolej, bude ITS upozorněno úřadem/školou a personálním oddělením. Ve většině případů bude tento počítač přerozdělen dalšímu zaměstnanci přijatému na danou pozici.
    8. Pokud se osobní počítač rozbije a nelze jej opravit, ITS nahradí počítač novým strojem. Tento počítač se pak stane osobním strojem tohoto zaměstnance. 

Schváleno kabinetem: duben 2023
Související zásady představenstva: Služby informačních technologií

 

Postup řízení událostí

Úvod

Cílem tohoto postupu je zajistit úspěšné akce napříč kolegií, které budou nadále podporovat poslání akademie. Tento postup je v souladu se Zásadami služeb informačních technologií HCCC schválenými správní radou.

Použitelnost

Tento postup platí pro všechny pedagogy a zaměstnance College, kteří pořádají akce College.

Odpovědnost

Associate Vice President for Information Technology Services and Chief Information Officer zavede tento postup v koordinaci s výkonným ředitelem pro zařízení, provoz a inženýrství, výkonným ředitelem pro veřejnou bezpečnost a bezpečnost a dalšími vedoucími vysokých škol.

Postup

  1. Definice události HCCC
    1. Vysokoškolské akademické aktivity: CAA jsou aktivity nebo události přímo související s výukovým posláním College. Příklady zahrnují hodiny nesoucí kredity, programové aktivity související s akademickým kurzem a schůzky fakult/administrativních oddělení.​
    2. Akce na vysoké škole: CE jsou aktivity organizované a řízené fakultou, zaměstnanci, kancelářemi akademie a registrovanými a schválenými studentskými organizacemi, které jsou primárně určeny pro členy komunity HCCC a ve prospěch koleje. Příklady zahrnují programovací aktivity studentů, rozvoj fakulty a zaměstnanců, zahájení, svolání, dny otevřených dveří, náborové akce, hostující přednášející a další. Mezi účastníky těchto akcí patří členové komunity, vyučující, zaměstnanci, studenti, hosté a absolventi.​
    3. Akce pořádané vysokou školou: CHE jsou akademické programy, konference, retreaty a setkání zahrnující dva subjekty: subjekt College (škola, akademická nebo administrativní jednotka nebo registrovaná a schválená studentská organizace) a externí organizace (jako je profesní sdružení, ve kterém je College členem nebo udržuje vztah, který přímo prospívá komunitě College nebo komunitní organizaci.)​
    4. Mimoškolní/externí akce: NC/EE jsou definovány jako programy a aktivity organizované jednotlivci, skupinami, podniky nebo organizacemi, které nejsou zahrnuty v organizační struktuře College. Příkladem jsou recepce, charitativní akce, firemní setkání a akce, tábory mládeže, konference, společenské aktivity, výstavy atd. Neuniverzitní/externí akce vyžadují smluvní ujednání a řádný doklad o pojištění s College.​
  2. Kanceláře podporující akce a co poskytují

    1. Služby informačních technologií
      1. Technologické vybavení
      2. Před akcí otestujte prezentace a média
      3. Odkazy na setkání a podpora hybridních setkání/událostí
      4. Host WiFi
      5. Technická podpora během akce
    2. Vybavení
      1. Sestavení a rozbití nábytku
      2. Rozbíjení nábytku
      3. Čištění
      4. HVAC monitorování
    3. Bezpečnost
      1. Bezpečnostní podpora během akcí
      2. Stavební otvory a uzávěry
      3. Podpora parkování a dopravy
    4. Flik
      1. Jídlo a pití
      2. Servery a další podpora
      3. Koordinace s vnějšími skupinami
  3. Proces řízení událostí

    1. Online žádosti musí být zadány prostřednictvím systému Coursedog College.
    2. Pro speciální prostory a typy akcí bude vyžadován souhlas; např. Zasedací místnost prezidenta, Atrium, Galerie.
    3. Na všechny akce je nutné ohlášení předem.
    4. Přednost budou mít celoškolské akce s vysokým profilem.
  4. Průvodce typy událostí

    Typ události

    Popis
    Akademická počítačová laboratoř Služby počítačové laboratoře, včetně podpory laboratorního asistenta, vyžadují třídenní upozornění. Tyto požadavky lze zadat 180 dní předem.
    Administrativní služby Schůzky vyžadují jednodenní oznámení předem.
    další vzdělávání (CE) Události a kurzy dalšího vzdělávání a rozvoje pracovní síly vyžadují jednodenní upozornění. Tyto požadavky lze zadat 180 dní předem.
    Zápisové služby / Přijímací řízení Přihlašovací služby a přijímací akce vyžadují tři dny předem. Tyto požadavky lze zadat 90 dní předem.
    Pohostinské a stravovací služby Priorita 1 Události s prioritou 1 zahrnují události v rámci celého areálu, externí účastníky, inzerované události a události na úrovni kabinetu. Tyto žádosti vyžadují oznámení 30 dní předem a lze je zadat 180 dní předem.
    Pohostinské a stravovací služby Priorita 2 Události s prioritou 2 zahrnují události na úrovni oddělení s více než 50 účastníky, které se zaznamenávají, vyžadují 14denní upozornění. Tyto požadavky lze zadat 180 dní předem.
    Pohostinské a stravovací služby Priorita 3 Akce s prioritou 3 jsou malé a neformálnější a vyžadují tři dny předem. Tyto požadavky lze zadat 180 dní předem.
    Akce kampusu North Hudson Programy a události pořádané v North Hudson Campus vyžadují tři dny předem. Tyto požadavky lze zadat 180 dní předem.
    Kancelářské prostory North Hudson Schůzky v North Hudson Campus vyžadují jeden den předem.
    Registrační úřad Programy a události v učebnách pro akademické záležitosti na náměstí Journal Square vyžadují jednodenní upozornění. Tyto požadavky lze zadat 180 dní předem.
    Škola ošetřovatelství testování / hostující řečník Programy a události v počítačové laboratoři F129 vyžadují jednodenní upozornění. Tyto požadavky lze zadat 180 dní předem.
    Studentský život Všechny studentské životní akce vyžadují dva dny předem. Tyto požadavky lze zadat 180 dní předem.
    Posuňte pro více
  5. Odpovědnost

    1. Pořadatelé v žádosti uvedou všechny dostupné informace, včetně kontaktů na akci, e-mailových a telefonních čísel atd.
    2. Organizátoři budou o jakýchkoli změnách včas a písemně informovat.
    3. Organizátoři zahrnou prohlášení akademie o přístupnosti do veškeré komunikace o akci.
    4. Organizátoři se zúčastní prohlídek a praktických cvičení, jak to vyžaduje typ akce.
    5. Kanceláře vysoké školy poskytující služby budou včas komunikovat s organizátory.
    6. Odkazy na hybridní akce budou vytvořeny výhradně službami informačních technologií pro akce HCCC.
    7. Pořadatelé budou o zrušení předem informovat kanceláře školy, aby uvolnili prostor akce.
    8. Kanceláře HCCC upozorní organizátory na jakékoli problémy, jakmile je objeví.

Schváleno kabinetem: prosinec 2024
Související zásady představenstva: Služby informačních technologií

 

Postup žádostí o přístup k informačním systémům obsahujícím citlivá data

Úvod

 Tento postup určuje vlastníky systému / dat Hudson County Community College (HCCC). Tito jednotlivci dohlížejí na přístup k informačním systémům obsahujícím citlivá data, jako je Kolega ERP systém. Dohled je nezbytný pro ochranu a zachování důvěrnosti, integrity a dostupnosti dat HCCC a pro dodržení standardů a předpisů informačních technologií platných pro HCCC.

Určení vlastníci systému/dat pro informační systémy Hudson County Community College obsahující citlivá data budou mít pravomoc schvalovat jednotlivcům přístup k těmto systémům.

Určení vlastníků systému/dat

 Následující členové výkonného personálu jsou označeni jako vlastníci systému/dat pro informační systémy obsahující citlivá data.

 Kolega ERP systém

Studentský modul

Viceprezident pro záležitosti studentů a zápis

Studentský finanční modul

Viceprezident pro obchod a finance/CFO

Financial Aid Modul

Proděkan z Financial Aid

Modul lidských zdrojů

Viceprezident pro lidské zdroje

 Systém zobrazování dokumentů

Registrační služby, přijímací řízení a poradenské dokumenty

Viceprezident pro záležitosti studentů a zápis

Student Financial Aid Dokumenty

Proděkan z Financial Aid

Finanční dokumenty

Viceprezident pro obchod a finance/CFO

Žádosti o přístup k informačním systémům obsahujícím citlivá data

Žádosti o přístup k informačním systémům obsahujícím citlivé údaje se udělují na základě „nejmenšího oprávnění“, což znamená přístup pouze k takovým informacím a systémům, které jsou nezbytné k plnění běžných pracovních povinností jednotlivce.

Výkonní zaměstnanci určení jako vlastníci systému/dat nebo určení manažeři ve funkčních oblastech přezkoumávají žádosti o přístup do informačních systémů obsahujících citlivá data od zaměstnanců spadajících pod jejich správní pravomoc. Ověří, že uživatelům je udělen přístup na základě „nejmenšího oprávnění“ pouze k těm oprávněním, která jsou nezbytná k plnění jejich běžných pracovních povinností. Žádosti schvalují odesláním formuláře žádosti o přístup do systému umístěného na portálu. Není-li přístup zaručen, žádost bude zamítnuta.

Odebrání přístupu k informačním systémům obsahujícím citlivá data

Výkonní zaměstnanci zajistí, aby nadřízení neprodleně informovali Služby informačních technologií (ITS), když již není vyžadován přístup uživatele k informačnímu systému a kdy musí být přístup uživatele změněn z důvodu změny základních povinností zaměstnance.

ITS bude okamžitě informována telefonickým hovorem a následně e-mailem Chief Information Officer (CIO), při ukončení zaměstnance superuživatele nebo v případě nedobrovolného ukončení zaměstnance. Rutinní ukončení, převedení na jiné oddělení vysoké školy nebo změny v povinnostech musí být podány do pěti pracovních dnů pomocí formuláře žádosti o přístup do systému umístěného na portálu.

Recenze přístupu k informačním systémům obsahujícím citlivá data

ITS provádí roční přezkum všech uživatelských účtů pro citlivé systémy IT, aby posoudil pokračující potřebu účtů a související úroveň přístupu.

Odpovědnost

CIO má celkovou odpovědnost za vývoj a udržování technických postupů v souladu s tímto postupem a musí splňovat platné normy Hudson County Community College.

Příloha A popisuje umístění formuláře pro žádost o přístup do vysokoškolských informačních systémů.

Definice

 Data - zahrnuje jakékoli informace v působnosti HCCC, včetně údajů o studentech, osobních údajů, finančních údajů (rozpočet a mzdy), údajů o životě studentů, administrativních údajů oddělení, právních spisů, údajů o institucionálním výzkumu, vlastnických údajů a všech dalších údajů, které se týkají nebo podporují administrativa Koleje.

Informační systém - zahrnuje veškeré součásti a operace procesu uchovávání záznamů, včetně informací shromážděných nebo spravovaných pomocí počítačových sítí a internetu, ať už automatizovaných nebo manuálních, obsahujících osobní údaje a jméno, rodné číslo nebo jiné identifikační údaje subjektu údajů.

Citlivá data – zahrnuje jakékoli informace, které by mohly nepříznivě ovlivnit zájmy akademie, provádění agenturních programů nebo soukromí, na které mají jednotlivci nárok, pokud by byla ohrožena důvěrnost, integrita nebo dostupnost. Data jsou klasifikována jako citlivá, pokud kompromitace těchto dat má za následek závažný a významný nepříznivý dopad na zájmy akademie, nemožnost dotčené agentury provozovat svou činnost, porušení očekávání v oblasti ochrany soukromí nebo pokud zákon vyžaduje, aby byla důvěrná.

Superuser – je zaměstnanec, který má registrační panel nebo zvýšený privilegovaný přístup; např. bezpečnostní správce.

 Reference

  • Family Educational Rights and Privacy Act (FERPA) (20 USC § 1232g; 34 CFR část 99)
  • Zákon o modernizaci finančních služeb (Gramm-Leach-Bliley Act) (15 USC § 6801 a násl.)
  • Health Insurance Portability and Accountability Act (HIPAA) (veřejné právo 104-191)

Kontrola periodicity a odpovědnosti

 CIO tento postup každoročně přezkoumá a v případě potřeby doporučí revize.

PŘÍLOHA A"

Formuláře žádosti o přístup do systému:

Kolega Přístup

https://myhudson.hccc.edu/ellucian

Žádost o vytvoření účtu nebo žádost o deaktivaci

https://myhudson.hccc.edu/its

Schváleno kabinetem: červenec 2021
Související zásady představenstva: ITS

 

Postup plánu zabezpečení informací

Úvod

Účelem vývoje a implementace tohoto komplexního postupu písemného plánu zabezpečení informací („Plán“) je vytvořit efektivní administrativní, technické a fyzické zabezpečení ochrany „osobních informací“ potenciálních studentů, uchazečů, studentů, zaměstnanců, absolventů. a přátelé Hudson County Community College a abychom splnili naše povinnosti podle nařízení New Jersey 201 CMR 17.00:XNUMX. Plán stanoví naše postupy pro vyhodnocování našich elektronických a fyzických metod přístupu, shromažďování, ukládání, používání, přenosu a ochrany „osobních údajů“ složek akademie.

Pro účely tohoto plánu jsou „osobní údaje“ definovány jako křestní jméno a příjmení osoby nebo iniciála a příjmení v kombinaci s jedním nebo více z následujících datových prvků, které se vztahují k takovému obyvateli: (a) Sociální Bezpečnostní číslo; b) číslo řidičského průkazu nebo číslo státem vydané identifikační karty; nebo (c) číslo finančního účtu nebo číslo kreditní nebo debetní karty, s nebo bez jakéhokoli požadovaného bezpečnostního kódu, přístupového kódu, osobního identifikačního čísla nebo hesla, které by umožňovalo přístup k finančnímu účtu rezidenta, kde je správcem těchto údajů Hudson County Community College ; za předpokladu, že „osobní údaje“ nezahrnují informace, které jsou zákonně získány z veřejně dostupných informací nebo ze záznamů federální, státní nebo místní vlády zákonně zpřístupněných široké veřejnosti.

Účel

Účelem tohoto plánu je:

    1. Zajistit bezpečnost a důvěrnost osobních údajů;
    2. chránit před jakýmikoli potenciálními hrozbami nebo riziky pro bezpečnost nebo integritu osobních údajů; a,
    3. Chraňte se před neoprávněným přístupem k osobním údajům nebo jejich používáním způsobem, který vytváří značné riziko krádeže identity nebo podvodu.

Rozsah

Při formulování a provádění plánu instituce: (1) identifikuje rozumně předvídatelná vnitřní a vnější rizika pro bezpečnost, důvěrnost a integritu jakýchkoli elektronických, papírových nebo jiných záznamů obsahujících osobní informace; (2) posoudit pravděpodobnost a potenciální škody těchto hrozeb s přihlédnutím k citlivosti osobních údajů; (3) vyhodnotit dostatečnost stávajících politik, praktik, postupů, informačních systémů a dalších ochranných opatření ke kontrole rizik; (4) navrhnout a provést plán, který zavede ochranná opatření k minimalizaci těchto rizik, v souladu s požadavky 201 CMR 17.00; a (5) pravidelně monitorovat plán.

Koordinátor bezpečnosti dat

HCCC jmenovalo Chief Information Officer (CIO) a viceprezidenta pro obchod a finance/CFO, aby plán implementovali, dohlíželi na něj a udržovali jej. CIO a viceprezident pro obchod a finance/CFO budou zodpovědní za:

    1. Počáteční realizace plánu;
    2. Dohled nad průběžným školením zaměstnanců o prvcích a požadavcích plánu pro všechny vlastníky, manažery, zaměstnance a nezávislé dodavatele, kteří mají přístup k osobním údajům;
    3. Monitorování bezpečnostních opatření plánu;
    4. Posuzování poskytovatelů služeb třetích stran, kteří mají přístup k osobním údajům a jejich hostitele/přenášení/zálohování/udržování osobních údajů, a vyžadování těchto poskytovatelů služeb na základě smlouvy, aby zavedli a udržovali taková vhodná bezpečnostní opatření na ochranu osobních údajů;
    5. každoroční přezkoumání rozsahu bezpečnostních opatření v plánu nebo kdykoli dojde k podstatné změně v obchodních praktikách HCCC, která může mít dopad na bezpečnost nebo integritu záznamů obsahujících osobní údaje; a,
    6. Revize legislativy a zákonů a aktualizace zásad a postupů podle potřeby.

Vnitřní rizika

V zájmu boje proti interním rizikům pro bezpečnost, důvěrnost a integritu jakýchkoli elektronických, papírových nebo jiných záznamů obsahujících osobní údaje a za účelem vyhodnocení a zlepšení účinnosti současných záruk pro omezení takových rizik, je-li to nutné, jsou zavedena následující opatření jsou povinné a účinné okamžitě: 

Správní opatření

      1. Kopie plánu bude distribuována prezidentovi, kabinetu prezidenta, zaměstnancům služeb informačních technologií (ITS) a dalším určeným zaměstnancům, kteří nakládají s osobními údaji. Po obdržení plánu musí každý jednotlivec písemně potvrdit, že obdržel kopii plánu.
      2. Po školení budou všichni zaměstnanci povinni podepsat smlouvy o mlčenlivosti, které popisují nakládání s osobními údaji. Dohody o mlčenlivosti budou vyžadovat, aby zaměstnanci hlásili jakékoli podezřelé nebo neoprávněné použití „osobních informací“ CIO nebo viceprezidentovi pro lidské zdroje.
      3. Množství shromážděných osobních údajů musí být omezeno na to, co je přiměřeně nezbytné k dosažení legitimních obchodních účelů. Používání osobních údajů je řešeno prostřednictvím auditů v různých oblastech.
      4. Všechna opatření v oblasti zabezpečení údajů budou přezkoumána alespoň jednou ročně nebo kdykoli dojde k podstatné změně v obchodní praxi HCCC nebo změně zákona, která může přiměřeně narušit bezpečnost nebo integritu záznamů obsahujících osobní údaje. CIO a viceprezident pro obchod a finance/finanční ředitel ponesou odpovědnost za tuto kontrolu a plně seznámí vedoucí oddělení s výsledky této kontroly a se všemi doporučeními pro lepší zabezpečení vyplývající z této kontroly.
      5. Kdykoli dojde k incidentu, který vyžaduje oznámení podle NJ Stat. § 56:8-163, zákon New Jersey o hlášení porušení ochrany osobních údajů, bude po incidentu provedena okamžitá povinná kontrola událostí a přijatých opatření, pokud nějaké existují, s cílem určit, zda jsou nutné nějaké změny v bezpečnostních postupech HCCC za účelem zlepšení. zabezpečení osobních údajů podle plánu.
      6. Každé oddělení vypracuje pravidla (s ohledem na obchodní potřeby daného oddělení), která zajistí, že budou přijata přiměřená omezení fyzického přístupu k osobním informacím, včetně písemného postupu, který stanoví, jak je fyzický přístup k záznamu omezen. Každé oddělení musí uchovávat tyto záznamy a data v uzamčených zařízeních, zabezpečených skladovacích prostorách nebo uzamčených skříních.
      7. S výjimkou účtů Administrace systému bude přístup k elektronicky uloženým osobním údajům elektronicky omezen na ty zaměstnance, kteří mají jedinečné přihlašovací ID a mají odpovídající přístup. Přístup nebude udělen zaměstnancům, o kterých CIO rozhodne, že nepotřebují přístup k elektronicky uloženým osobním údajům.
      8. Není-li uzavřena dohoda o mlčenlivosti, musí být přístup návštěvníka nebo dodavatele k citlivým údajům, mimo jiné včetně hesel, šifrovacích klíčů a technických specifikací, v případě potřeby odsouhlasen písemně. Přístup je omezen na minimální nezbytnou částku. Pokud je pro přístup nutné vzdálené přihlášení, musí být tento přístup také schválen oddělením ITS HCCC.

Fyzikální míry

      1. Přístup k záznamům obsahujícím osobní údaje bude omezen na osoby, od kterých se přiměřeně požaduje, aby tyto informace znali, aby bylo možné splnit legitimní obchodní účel HCCC. Pro zmírnění zbytečného prozrazení budou citlivé a osobní informace redigovány, papírové záznamy budou uloženy v uzamčených zařízeních a budou zavedeny kontroly bezpečnosti dat pro elektronické záznamy.
      2. Na konci pracovního dne musí být všechny neelektronické soubory a další záznamy obsahující osobní údaje uloženy v uzamčených místnostech, kancelářích nebo skříních.
      3. Papírové záznamy obsahující osobní údaje budou likvidovány způsobem, který je v souladu se Statutem NJ. § 56:8-163, zákon New Jersey o hlášení porušení ochrany osobních údajů. To znamená, že záznamy by měly být likvidovány pomocí skartovače s příčným řezem nebo jinými metodami, které činí informace nečitelnými.

Technická opatření

      1. HCCC neumožňuje zaměstnancům ukládat osobní údaje na přenosná média. To zahrnuje notebooky, USB, CD atd. Když jsou zaměstnanci, kteří mají přístup k osobním údajům, ukončeni, HCCC ukončí jejich přístup k síťovým zdrojům a fyzickým zařízením obsahujícím osobní údaje. To zahrnuje ukončení nebo předání síťových účtů, databázových účtů, klíčů, odznaků, telefonů a notebooků nebo stolních počítačů.
      2. Zaměstnanci jsou povinni pravidelně měnit svá hesla pro systémy, které obsahují osobní údaje.
      3. Přístup k osobním údajům bude omezen na aktivní uživatele a pouze aktivní uživatelské účty.
      4. Kde je to technicky možné, všechny systémy spravované HCCC, které uchovávají osobní údaje, budou využívat funkce automatického zamykání, které uzamknou přístup po více neúspěšných pokusech o přihlášení.
      5. Elektronické záznamy (včetně záznamů uložených na pevných discích a jiných elektronických médiích) obsahující osobní údaje budou zlikvidovány v souladu a způsobem, který je v souladu se Statem NJ. § 56:8-163, zákon New Jersey o hlášení porušení ochrany osobních údajů. To vyžaduje, aby byly informace zničeny nebo vymazány, aby nebylo možné osobní údaje prakticky číst nebo rekonstruovat.

Externí rizika

      1. Aby bylo možné bojovat proti vnějším rizikům pro bezpečnost, důvěrnost a integritu jakýchkoli elektronických, papírových nebo jiných záznamů obsahujících osobní informace, a za účelem vyhodnocení nebo zlepšení účinnosti současných ochranných opatření pro omezení takových rizik, jsou povinná následující opatření a s okamžitou platností:

a.) Existují přiměřeně aktuální záplaty ochrany firewallu a zabezpečení operačního systému, které jsou přiměřeně navrženy tak, aby udržely integritu osobních údajů nainstalovaných v systémech s osobními údaji.

b.) Na systémech zpracovávajících osobní údaje jsou nainstalované přiměřeně aktuální verze softwaru agenta zabezpečení systému, který zahrnuje ochranu proti malwaru a přiměřeně aktuální záplaty a definice virů.

c.)Při ukládání na sdílené síťové složky HCCC by měly být soubory obsahující osobní informace zašifrovány. HCCC nepovoluje ukládání osobních údajů do notebooků, počítačů, zařízení USB nebo jiných přenosných médií. HCCC nasadí šifrovací software, aby splnil tento cíl.

d.) Jakékoli osobní údaje přenášené elektronicky prodejcům třetích stran by měly být zasílány prostřednictvím šifrované služby prodejce nebo prostřednictvím šifrované služby HCCC určené pro bezpečný přenos. 

e.) Všichni noví poskytovatelé služeb, kteří uchovávají osobní údaje HCCC v elektronické podobě, budou muset adekvátně prokázat bezpečnostní opatření prostřednictvím EDUCAUSE HECVAT nebo podobného nástroje. Tito prodejci musí být také schváleni viceprezidentem HCCC pro finance a obchod / finanční ředitel.

f.) Zaměstnanci oddělení lidských zdrojů a služeb informačních technologií se budou řídit postupy uvedenými v Postupu přijatelného užívání systémů informačních technologií HCCC souvisejícím s vytvářením, převodem nebo ukončením účtů, spolu se zásadami pro ukládání hesel a zabezpečení na základě rolí.

g.) Veškeré osobní údaje budou zlikvidovány v souladu s HCCC Policies and Procedures.

h.) Podle zdrojů a rozpočtu zavede HCCC technologii, která umožní kolegiu monitorovat databáze z hlediska neoprávněného použití osobních informací nebo přístupu k nim, a využívat zabezpečené protokoly ověřování a opatření pro kontrolu přístupu v souladu s postupy HCCC.

 

Schváleno kabinetem: červenec 2021
Související zásady představenstva: Služby informačních technologií

 

Postup plánu reakce na incidenty informační bezpečnosti

Účel

Tento plán uvádí, jak reagovat na incidenty zabezpečení informací na Hudson County Community College (HCCC). Plán identifikuje role a odpovědnosti týmu HCCC pro reakci na incidenty a kroky, které je třeba podniknout v případě incidentu. Plán reakce na incidenty informační bezpečnosti (ISIRP) má za cíl minimalizovat dopad incidentu, uchovat důkazy pro účely vyšetřování a co nejrychleji obnovit normální provoz.

Definice

Událost: Událost, která má za následek ztrátu důvěrnosti, integrity nebo dostupnosti informací nebo informačních systémů.

Odpověď: Akce, které se provádějí za účelem zmírnění dopadu incidentu a obnovení postižených systémů a dat do jejich normálního stavu.

Tým pro reakci na incidenty (IRT): Za implementaci ISIRP je odpovědný tým pro reakci na incidenty (IRT). IRT se skládá ze zástupců příslušných oddělení, mimo jiné včetně služeb informačních technologií (ITS), financí (řízení rizik), právního poradenství, lidských zdrojů a komunikací. IRT je odpovědné za koordinaci reakce na incident a zajištění dostupnosti všech nezbytných zdrojů.

Role a odpovědnosti

IRT je zodpovědná za následující:

  • Reakce na incidenty a zmírnění jejich dopadu.
  • Vyšetřování incidentů a zjišťování jejich příčiny.
  • Obnova systémů a dat, které byly ovlivněny incidentem.
  • Komunikace se zúčastněnými stranami o incidentech.
  • Protokolování a hlášení incidentů.
Nahlášení incidentu

Všechny podezřelé nebo potvrzené incidenty informační bezpečnosti musí být okamžitě hlášeny ITS. ITS poté incident vyhodnotí a určí, zda se jedná o bezpečnostní incident. Pokud se jedná o bezpečnostní incident, ITS eskaluje incident na IRT.

Kroky odezvy
Kategorizace incidentu:

IRT kategorizuje incident na základě jeho závažnosti a dopadu. Kategorie jsou následující:

Kategorie 1: Menší incident – ​​Žádný významný dopad na vysokou školu nebo její provoz.
Kategorie 2: Mírný incident – ​​Omezený dopad na vysokou školu nebo její provoz.
Kategorie 3: Velký incident – ​​Významný dopad na vysokou školu nebo její provoz.
Kategorie 4: Kritický incident – ​​Závažný dopad na vysokou školu nebo její provoz.

Reakce na incident podle kategorie:

IRT bude reagovat na incident podle následujících kroků:
Kategorie 1: Není vyžadována žádná formální odpověď.
Kategorie 2: IRT incident prošetří a přijme vhodná opatření k omezení a zmírnění incidentu.
Kategorie 3: IRT bude koordinovat s příslušnými odděleními a externími zdroji, jako jsou vymáhání práva a experti na kybernetickou bezpečnost, aby incident vyšetřili a přijali vhodná opatření k omezení a zmírnění incidentu.
Kategorie 4: IRT zavede plán krizového řízení HCCC, který nastiňuje kroky, které je třeba dodržovat během významné krize.

Kroky ISIRP pro IRT

IRT bude v případě incidentu postupovat takto:

  1. Odpovězte na hlášení o incidentu.
  2. Zmírnit dopad incidentu.
  3. Kategorizujte účinky podle výše uvedené stupnice.
  4. Vyšetřete incident.
  5. Určete příčinu incidentu.
  6. Obnovte systémy a data, která byla incidentem ovlivněna.
  7. Komunikujte se zúčastněnými stranami o incidentu.
  8. Zaznamenejte a nahlaste incident.
Nástroje a zdroje

IRT bude k reakci na incidenty používat následující nástroje a zdroje:

  • Bezpečnostní software: Sophos, Crowdstrike
  • Systémy zálohování a obnovy dat: Cohesity, Arcserve, OneDrive
  • Komunikační kanály: e-mail, text, sociální média
  • Odborníci na kybernetickou bezpečnost třetích stran: poradci NJ Edge, CyberSecOp, Cybersecurity Insurance
Testování a školení

IRT bude pravidelně testovat a školit zavedené postupy a nástroje.

Komunikační plán

IRT bude v případě incidentu komunikovat s následujícími zainteresovanými stranami:

  • Studenti
  • Fakulta
  • Zaměstnanci
  • Media
  • Vymáhání práva
  • Regulační agentury
Metriky a přehledy

IRT zdokumentuje všechny aspekty incidentu, včetně, ale bez omezení, typu incidentu, závažnosti, dopadu, odezvy a řešení. Dokumentace bude bezpečně uložena a přístupná pouze oprávněným osobám.

IRT bude shromažďovat a analyzovat následující metriky související s incidenty:

  • Počet incidentů
  • Náklady na incidenty
  • Čas se vzpamatovat z incidentů

Associate Vice President for Technology a CIO podá o těchto metrikách zprávu správní radě HCCC.

Kontrola a aktualizace

AVP CIO každoročně přezkoumá ISIRP a aktualizuje jej, aby odrážel měnící se bezpečnostní prostředí a vyvíjející se potřeby HCCC.

Schváleno kabinetem: květen 2023
Související zásady představenstva: Služby informačních technologií

 

Postup odpovědnosti za přenosné technologie

  1. ÚVOD
    Tento postup si klade za cíl stanovit jasná pravidla pro odpovědnost a odpovědnost za ztrátu nebo poškození přenosných technologických zařízení poskytovaných Hudson County Community College (HCCC) zaměstnancům a studentům. Tento postup je v souladu se Zásadami služeb informačních technologií HCCC schválenými správní radou HCCC.
  2. POUŽITELNOST
    Tento postup platí pro všechny fyzické osoby, včetně zaměstnanců a studentů, pro které HCCC vydalo přenosná technologická zařízení.
  3. ODPOVĚDNOST
    1. Individuální odpovědnost
      1. Všichni jednotlivci vydávající přenosná technologická zařízení jsou osobně odpovědní za řádnou péči a úschovu zařízení.
      2. Uživatelé musí každou ztrátu nebo krádež přenosného technologického zařízení okamžitě nahlásit Úřadu veřejné bezpečnosti a ochrany. Jakékoli poškození zařízení je nutné neprodleně nahlásit Úřadu služeb informačních technologií (ITS).
    2. Postup hlášení
      1. Osoby hlásící ztrátu nebo poškození zařízení musí poskytnout podrobné informace o incidentu, včetně data, času a místa.
      2. Písemné hlášení o incidentu musí být předloženo Úřadu veřejné bezpečnosti a zabezpečení do 24 hodin od vzniku ztráty nebo krádeže.
    3. Vyšetřování
      1. Okolnosti ztráty přenosného technologického zařízení bude vyšetřovat Úřad veřejné bezpečnosti.
      2. Zúčastněné osoby mohou být požádány, aby při vyšetřování plně spolupracovaly a poskytly jakékoli relevantní informace.
    4. Opatření týkající se odpovědnosti
      1. Pokud se zjistí, že ztráta nebo poškození byly způsobeny nedbalostí nebo úmyslným jednáním, může být jednotlivec finančně odpovědný za náklady na opravu nebo výměnu zařízení.
      2. Jednotlivci budou písemně informováni o výsledku vyšetřování a jakýchkoli finančních závazcích.
    5. Finanční odpovědnost
      1. Osoby odpovědné za ztrátu nebo poškození budou muset společnosti HCCC uhradit náklady na opravu nebo výměnu přenosného technologického zařízení. Náklady na opravu nebo výměnu vybavení zaměstnanců by mohly pocházet z rozpočtu kanceláře/školy.
      2. Platební ujednání lze uzavřít s Úřadem pro účetnictví a nesplnění finančních závazků může mít za následek další důsledky, včetně zadržení akademických záznamů nebo jiných disciplinárních opatření.
  4. Výjimky
    Případy zahrnující ztrátu nebo poškození v důsledku krádeže nebo jiné trestné činnosti budou řešeny podle místních postupů pro vymáhání práva.
  5. KOMUNIKACE
    Tato politika bude sdělena všem jednotlivcům, kteří obdrží přenosná technologická zařízení, prostřednictvím distribuce písemných materiálů, zahrnutí do příruček pro zaměstnance/studenty a elektronických komunikačních kanálů.

Schváleno kabinetem v březnu 2024
Související zásady: ITS

 

Postup plánu řízení rizik dodavatele

Úvod

Tjeho plán řízení rizik dodavatelů si klade za cíl vytvořit rámec pro efektivní řízení a zmírňování rizik spojených s dodavateli třetích stran na Hudson County Community College. Postup popisuje procesy a postupy pro hodnocení, výběr a průběžné monitorování dodavatelů, aby byla zajištěna bezpečnost, soulad a spolehlivost vztahů s dodavateli. Postup se primárně zaměřuje na shromažďování a kontrolu informací o vhodnosti a zabezpečení dodavatele a na posouzení podmínek a smluvního jazyka při prvním podpisu a obnovení smlouvy.

  1. Proces výběru dodavatele
    1. Identifikace dodavatele: Identifikujte potenciální dodavatele na základě požadavků a potřeb vysoké školy.
    2. Počáteční hodnocení dodavatele: Vyhodnoťte potenciální dodavatele pomocí následujících kritérií:
      1. Kvalifikace a odbornost
      2. Pověst a reference
      3. Finanční stabilita
      4. Bezpečnostní normy a standardy shody
      5. Smlouvy o úrovni služeb
    3. Žádost o návrh (RFP): Připravte a vydejte RFP, je-li to nutné, dodavatelům z užšího výběru s uvedením očekávání, požadavků a kritérií hodnocení vysoké školy.
    4. Hodnocení dodavatele: Vyhodnoťte návrhy dodavatelů na základě předem definovaných kritérií a proveďte nezbytné pohovory nebo prezentace.
    5. Výběr dodavatele: Vyberte dodavatele na základě výsledků hodnocení s ohledem na faktory, jako jsou náklady, možnosti a rizikový profil.
  1. Shromažďování a revize sady nástrojů pro hodnocení dodavatelů komunit pro vysokoškolské vzdělávání (HECVAT).
    1. Požadavek na formulář HECVAT: Všichni potenciální dodavatelé musí odeslat svůj vyplněný HECVAT; Výsledky auditu SOC 2 mohou být nahrazeny HECVAT.
    2. Počáteční revize: Projděte si HECVAT, abyste posoudili bezpečnostní postupy prodejců, opatření na ochranu dat a soulad s příslušnými předpisy.
    3. Posouzení rizik: Proveďte hodnocení rizik na základě informací uvedených v HECVAT, abyste identifikovali potenciální rizika spojená se vztahem dodavatele.
    4. Opatření ke zmírnění: Vyviňte opatření ke zmírnění zjištěných rizik, jako je vyžádání dalších informací, provádění bezpečnostních auditů nebo stanovení smluvních závazků v oblasti bezpečnosti a soukromí.
  2. Přehled smluvních podmínek
    1. Přezkoumání smlouvy: Projděte si podmínky navrhované smlouvy dodavatele se zaměřením na oblasti související s ochranou osobních údajů, zabezpečením, dodržováním předpisů a duševním vlastnictvím.
    2. Právní přezkum: V případě potřeby zajistěte, aby smluvní jazyk dostatečně chránil zájmy vysoké školy a byl v souladu s platnými zákony a předpisy.
    3. Vyjednávání a dodatek: Spolupracujte s prodejcem na vyjednávání a úpravě smluvního jazyka, abyste vyřešili jakékoli zjištěné obavy nebo mezery.
    4. Schválení a podpis: Získejte potřebná schválení pro smlouvu a smlouvu podepište, jakmile budou všechny strany spokojeny s podmínkami.
  3. Průběžná správa prodejců
    1. Pravidelné monitorování: Průběžně sledujte výkon dodavatele, bezpečnostní postupy a dodržování předpisů po celou dobu trvání smlouvy.
    2. Přezkoumání obnovení smlouvy: Obnovení smlouvy závisí na statutu smluvního práva Community College. Během procesu obnovy smlouvy proveďte důkladnou kontrolu vztahů s dodavateli, včetně přehodnocení nového HECVAT, podmínek a jazyka smlouvy.
    3. Hodnocení výkonu dodavatele: Pravidelně vyhodnocujte výkon dodavatele ve srovnání se zavedenými dohodami o úrovni služeb a očekáváními.
    4. Reakce na incident: Postupujte podle postupu Reakce na incident, abyste neprodleně řešili jakékoli porušení zabezpečení nebo datové incidenty týkající se prodejců.
    5. Vendor Offboarding: Vyviňte proces pro zajištění správného offboardingu dodavatelů, včetně vrácení citlivých informací a ukončení přístupu k systému.
  4. Dokumentace a výkaznictví
    1. Dokumentace
      1. Úložiště smluv: Všechny smlouvy s dodavateli, včetně jejich podmínek, dodatků a souvisejících dokumentů, by měly být uloženy v systému správy smluv kolegia. Zajistěte, aby bylo úložiště smluv organizované, snadno dostupné a pravidelně aktualizované.
      2. Dokončené HECVAT a bezpečnostní dokumentace: Uchovávejte záznamy o všech HECVAT a bezpečnostních auditech obdržených od dodavatelů, včetně jakékoli podpůrné dokumentace nebo vysvětlení poskytnutých dodavateli.
      3. Posouzení rizik: Zdokumentujte výsledky hodnocení rizik provedených na základě HECVAT a jakýchkoli dalších provedených hodnocení nebo auditů.
      4. Hlášení o incidentech: Uchovávejte záznamy o všech bezpečnostních incidentech nebo narušeních týkajících se dodavatelů, spolu s odpovídajícími přijatými akcemi reakce na incidenty.
    2. Hlášení
      1. Executive Reporting: Poskytujte pravidelné zprávy výkonnému managementu, včetně Chief Information Officer (CIO) a kabinetu, které shrnují oblast rizik dodavatele, úsilí o zmírnění a pozoruhodné incidenty nebo obavy.
      2. Zpráva o obnovení smlouvy: Připravte komplexní zprávu zdůrazňující zjištění z kontroly obnovení smlouvy, včetně všech doporučených změn nebo vylepšení vztahů s dodavateli.
      3. Hlášení o shodě: Vytvářejte pravidelné zprávy o souladu dodavatelů s platnými předpisy, smluvními závazky a dohodnutými bezpečnostními standardy.
    3. Uchování záznamu
      1. Období uchovávání: Dokumentace hodnocení rizik dodavatele se bude řídit záznamy o uchovávání dokumentace související s dodavatelem, což zajistí soulad s právními, regulačními a interními požadavky.
      2. Soukromí a ochrana dat: Při ukládání a manipulaci s dokumenty souvisejícími s dodavateli dodržujte platné předpisy o ochraně osobních údajů a dat a zajistěte, aby byla zavedena správná ochranná opatření.

Schváleno kabinetem: květen 2023
Související zásady představenstva: Služby informačních technologií

Zpět na Policies and Procedures