Postup plánu zabezpečení informací

 

Úvod

Účelem vývoje a implementace tohoto komplexního postupu písemného plánu zabezpečení informací („Plán“) je vytvořit efektivní administrativní, technické a fyzické zabezpečení ochrany „osobních informací“ potenciálních studentů, uchazečů, studentů, zaměstnanců, absolventů. a přátelé Hudson County Community College a abychom splnili naše povinnosti podle nařízení New Jersey 201 CMR 17.00:XNUMX. Plán stanoví naše postupy pro vyhodnocování našich elektronických a fyzických metod přístupu, shromažďování, ukládání, používání, přenosu a ochrany „osobních údajů“ složek akademie.

Pro účely tohoto plánu jsou „osobní údaje“ definovány jako křestní jméno a příjmení osoby nebo iniciála a příjmení v kombinaci s jedním nebo více z následujících datových prvků, které se vztahují k takovému obyvateli: (a) Sociální Bezpečnostní číslo; b) číslo řidičského průkazu nebo číslo státem vydané identifikační karty; nebo (c) číslo finančního účtu nebo číslo kreditní nebo debetní karty, s nebo bez jakéhokoli požadovaného bezpečnostního kódu, přístupového kódu, osobního identifikačního čísla nebo hesla, které by umožňovalo přístup k finančnímu účtu rezidenta, kde je správcem těchto údajů Hudson County Community College ; za předpokladu, že „osobní údaje“ nezahrnují informace, které jsou zákonně získány z veřejně dostupných informací nebo ze záznamů federální, státní nebo místní vlády zákonně zpřístupněných široké veřejnosti.

Účel

Účelem tohoto plánu je:

    1. Zajistit bezpečnost a důvěrnost osobních údajů;
    2. chránit před jakýmikoli potenciálními hrozbami nebo riziky pro bezpečnost nebo integritu osobních údajů; a,
    3. Chraňte se před neoprávněným přístupem k osobním údajům nebo jejich používáním způsobem, který vytváří značné riziko krádeže identity nebo podvodu.

Rozsah

Při formulování a provádění plánu instituce: (1) identifikuje rozumně předvídatelná vnitřní a vnější rizika pro bezpečnost, důvěrnost a integritu jakýchkoli elektronických, papírových nebo jiných záznamů obsahujících osobní informace; (2) posoudit pravděpodobnost a potenciální škody těchto hrozeb s přihlédnutím k citlivosti osobních údajů; (3) vyhodnotit dostatečnost stávajících politik, praktik, postupů, informačních systémů a dalších ochranných opatření ke kontrole rizik; (4) navrhnout a provést plán, který zavede ochranná opatření k minimalizaci těchto rizik, v souladu s požadavky 201 CMR 17.00; a (5) pravidelně monitorovat plán.

Koordinátor bezpečnosti dat

HCCC jmenovalo Chief Information Officer (CIO) a viceprezidenta pro obchod a finance/CFO, aby plán implementovali, dohlíželi na něj a udržovali jej. CIO a viceprezident pro obchod a finance/CFO budou zodpovědní za:

    1. Počáteční realizace plánu;
    2. Dohled nad průběžným školením zaměstnanců o prvcích a požadavcích plánu pro všechny vlastníky, manažery, zaměstnance a nezávislé dodavatele, kteří mají přístup k osobním údajům;
    3. Monitorování bezpečnostních opatření plánu;
    4. Posuzování poskytovatelů služeb třetích stran, kteří mají přístup k osobním údajům a jejich hostitele/přenášení/zálohování/udržování osobních údajů, a vyžadování těchto poskytovatelů služeb na základě smlouvy, aby zavedli a udržovali taková vhodná bezpečnostní opatření na ochranu osobních údajů;
    5. každoroční přezkoumání rozsahu bezpečnostních opatření v plánu nebo kdykoli dojde k podstatné změně v obchodních praktikách HCCC, která může mít dopad na bezpečnost nebo integritu záznamů obsahujících osobní údaje; a,
    6. Revize legislativy a zákonů a aktualizace zásad a postupů podle potřeby.

Vnitřní rizika

V zájmu boje proti interním rizikům pro bezpečnost, důvěrnost a integritu jakýchkoli elektronických, papírových nebo jiných záznamů obsahujících osobní údaje a za účelem vyhodnocení a zlepšení účinnosti současných záruk pro omezení takových rizik, je-li to nutné, jsou zavedena následující opatření jsou povinné a účinné okamžitě: 

Správní opatření

      1. Kopie plánu bude distribuována prezidentovi, kabinetu prezidenta, zaměstnancům služeb informačních technologií (ITS) a dalším určeným zaměstnancům, kteří nakládají s osobními údaji. Po obdržení plánu musí každý jednotlivec písemně potvrdit, že obdržel kopii plánu.
      2. Po školení budou všichni zaměstnanci povinni podepsat smlouvy o mlčenlivosti, které popisují nakládání s osobními údaji. Dohody o mlčenlivosti budou vyžadovat, aby zaměstnanci hlásili jakékoli podezřelé nebo neoprávněné použití „osobních informací“ CIO nebo viceprezidentovi pro lidské zdroje.
      3. Množství shromážděných osobních údajů musí být omezeno na to, co je přiměřeně nezbytné k dosažení legitimních obchodních účelů. Používání osobních údajů je řešeno prostřednictvím auditů v různých oblastech.
      4. Všechna opatření v oblasti zabezpečení údajů budou přezkoumána alespoň jednou ročně nebo kdykoli dojde k podstatné změně v obchodní praxi HCCC nebo změně zákona, která může přiměřeně narušit bezpečnost nebo integritu záznamů obsahujících osobní údaje. CIO a viceprezident pro obchod a finance/finanční ředitel ponesou odpovědnost za tuto kontrolu a plně seznámí vedoucí oddělení s výsledky této kontroly a se všemi doporučeními pro lepší zabezpečení vyplývající z této kontroly.
      5. Kdykoli dojde k incidentu, který vyžaduje oznámení podle NJ Stat. § 56:8-163, zákon New Jersey o hlášení porušení ochrany osobních údajů, bude po incidentu provedena okamžitá povinná kontrola událostí a přijatých opatření, pokud nějaké existují, s cílem určit, zda jsou nutné nějaké změny v bezpečnostních postupech HCCC za účelem zlepšení. zabezpečení osobních údajů podle plánu.
      6. Každé oddělení vypracuje pravidla (s ohledem na obchodní potřeby daného oddělení), která zajistí, že budou přijata přiměřená omezení fyzického přístupu k osobním informacím, včetně písemného postupu, který stanoví, jak je fyzický přístup k záznamu omezen. Každé oddělení musí uchovávat tyto záznamy a data v uzamčených zařízeních, zabezpečených skladovacích prostorách nebo uzamčených skříních.
      7. S výjimkou účtů Administrace systému bude přístup k elektronicky uloženým osobním údajům elektronicky omezen na ty zaměstnance, kteří mají jedinečné přihlašovací ID a mají odpovídající přístup. Přístup nebude udělen zaměstnancům, o kterých CIO rozhodne, že nepotřebují přístup k elektronicky uloženým osobním údajům.
      8. Není-li uzavřena dohoda o mlčenlivosti, musí být přístup návštěvníka nebo dodavatele k citlivým údajům, mimo jiné včetně hesel, šifrovacích klíčů a technických specifikací, v případě potřeby odsouhlasen písemně. Přístup je omezen na minimální nezbytnou částku. Pokud je pro přístup nutné vzdálené přihlášení, musí být tento přístup také schválen oddělením ITS HCCC.

Fyzikální míry

      1. Přístup k záznamům obsahujícím osobní údaje bude omezen na osoby, od kterých se přiměřeně požaduje, aby tyto informace znali, aby bylo možné splnit legitimní obchodní účel HCCC. Pro zmírnění zbytečného prozrazení budou citlivé a osobní informace redigovány, papírové záznamy budou uloženy v uzamčených zařízeních a budou zavedeny kontroly bezpečnosti dat pro elektronické záznamy.
      2. Na konci pracovního dne musí být všechny neelektronické soubory a další záznamy obsahující osobní údaje uloženy v uzamčených místnostech, kancelářích nebo skříních.
      3. Papírové záznamy obsahující osobní údaje budou likvidovány způsobem, který je v souladu se Statutem NJ. § 56:8-163, zákon New Jersey o hlášení porušení ochrany osobních údajů. To znamená, že záznamy by měly být likvidovány pomocí skartovače s příčným řezem nebo jinými metodami, které činí informace nečitelnými.

Technická opatření

      1. HCCC neumožňuje zaměstnancům ukládat osobní údaje na přenosná média. To zahrnuje notebooky, USB, CD atd. Když jsou zaměstnanci, kteří mají přístup k osobním údajům, ukončeni, HCCC ukončí jejich přístup k síťovým zdrojům a fyzickým zařízením obsahujícím osobní údaje. To zahrnuje ukončení nebo předání síťových účtů, databázových účtů, klíčů, odznaků, telefonů a notebooků nebo stolních počítačů.
      2. Zaměstnanci jsou povinni pravidelně měnit svá hesla pro systémy, které obsahují osobní údaje.
      3. Přístup k osobním údajům bude omezen na aktivní uživatele a pouze aktivní uživatelské účty.
      4. Kde je to technicky možné, všechny systémy spravované HCCC, které uchovávají osobní údaje, budou využívat funkce automatického zamykání, které uzamknou přístup po více neúspěšných pokusech o přihlášení.
      5. Elektronické záznamy (včetně záznamů uložených na pevných discích a jiných elektronických médiích) obsahující osobní údaje budou zlikvidovány v souladu a způsobem, který je v souladu se Statem NJ. § 56:8-163, zákon New Jersey o hlášení porušení ochrany osobních údajů. To vyžaduje, aby byly informace zničeny nebo vymazány, aby nebylo možné osobní údaje prakticky číst nebo rekonstruovat.

Externí rizika

      1. Aby bylo možné bojovat proti vnějším rizikům pro bezpečnost, důvěrnost a integritu jakýchkoli elektronických, papírových nebo jiných záznamů obsahujících osobní informace, a za účelem vyhodnocení nebo zlepšení účinnosti současných ochranných opatření pro omezení takových rizik, jsou povinná následující opatření a s okamžitou platností:

a.) Existují přiměřeně aktuální záplaty ochrany firewallu a zabezpečení operačního systému, které jsou přiměřeně navrženy tak, aby udržely integritu osobních údajů nainstalovaných v systémech s osobními údaji.

b.) Na systémech zpracovávajících osobní údaje jsou nainstalované přiměřeně aktuální verze softwaru agenta zabezpečení systému, který zahrnuje ochranu proti malwaru a přiměřeně aktuální záplaty a definice virů.

c.)Při ukládání na sdílené síťové složky HCCC by měly být soubory obsahující osobní informace zašifrovány. HCCC nepovoluje ukládání osobních údajů do notebooků, počítačů, zařízení USB nebo jiných přenosných médií. HCCC nasadí šifrovací software, aby splnil tento cíl.

d.) Jakékoli osobní údaje přenášené elektronicky prodejcům třetích stran by měly být zasílány prostřednictvím šifrované služby prodejce nebo prostřednictvím šifrované služby HCCC určené pro bezpečný přenos. 

e.) Všichni noví poskytovatelé služeb, kteří uchovávají osobní údaje HCCC v elektronické podobě, budou muset adekvátně prokázat bezpečnostní opatření prostřednictvím EDUCAUSE HECVAT nebo podobného nástroje. Tito prodejci musí být také schváleni viceprezidentem HCCC pro finance a obchod / finanční ředitel.

f.) Zaměstnanci oddělení lidských zdrojů a služeb informačních technologií se budou řídit postupy uvedenými v Postupu přijatelného užívání systémů informačních technologií HCCC souvisejícím s vytvářením, převodem nebo ukončením účtů, spolu se zásadami pro ukládání hesel a zabezpečení na základě rolí.

g.) Veškeré osobní údaje budou zlikvidovány v souladu s HCCC Policies and Procedures.

h.) Podle zdrojů a rozpočtu zavede HCCC technologii, která umožní kolegiu monitorovat databáze z hlediska neoprávněného použití osobních informací nebo přístupu k nim, a využívat zabezpečené protokoly ověřování a opatření pro kontrolu přístupu v souladu s postupy HCCC.

Schváleno kabinetem: červenec 2021
Související zásady představenstva: ITS

Zpět na Policies and Procedures