Anmodninger om adgang til informationssystemer, der indeholder følsomme data

 

Introduktion

Denne procedure udpeger Hudson County Community Colleges (HCCC) system/dataejere. Disse personer overvåger adgangen til informationssystemer, der indeholder følsomme data, såsom Colleague ERP-systemet. Tilsyn er nødvendigt for at beskytte og bevare fortroligheden, integriteten og tilgængeligheden af ​​HCCC's data og for at overholde de informationsteknologiske standarder og regler, der gælder for HCCC.

De udpegede system-/dataejere for Hudson County Community Colleges informationssystemer, der indeholder følsomme data, skal have bemyndigelse til at godkende enkeltpersoners adgang til disse systemer.

Udpegning af system-/dataejere

Følgende Executive Staff-medlemmer er udpeget som system-/dataejere for informationssystemer, der indeholder følsomme data.

Kollega ERP System

Studenter modul

Næstformand for Studenteranliggender og Indskrivning

Studerendes økonomimodul

Vice President for Business and Finance/CFO

Financial Aid Moduler

Associeret dekan for Financial Aid

Menneskelige ressourcer modul

Vicepræsident for Human Resources

Document Imaging System

Tilmeldingstjenester, optagelser og rådgivningsdokumenter

Næstformand for Studenteranliggender og Indskrivning

studerende Financial Aid Dokumenter

Associeret dekan for Financial Aid

Finansielle dokumenter

Vice President for Business and Finance/CFO

Anmodninger om adgang til informationssystemer, der indeholder følsomme data

Anmodninger om adgang til informationssystemer, der indeholder følsomme data, skal gives på et "mindst privilegeret" grundlag, dvs. kun adgang til sådanne oplysninger og systemer, der er nødvendige for at udføre den enkeltes almindelige arbejdsopgaver.

Ledende medarbejdere, der er udpeget som system-/dataejere eller udpegede ledere i funktionsområder, skal gennemgå anmodninger om adgang til informationssystemer, der indeholder følsomme data, fra medarbejdere under deres administrative myndighed. De skal validere, at brugere på et "mindst privilegium"-basis kun får adgang til de privilegier, der er nødvendige for at udføre deres almindelige arbejdsopgaver. De skal godkende anmodninger ved at indsende en formular til anmodning om systemadgang, som findes på portalen. Hvis adgangen ikke er berettiget, vil anmodningen blive afvist.

Fjernelse af adgang til informationssystemer, der indeholder følsomme data

Executive Staff-medlemmer skal sikre, at supervisorer omgående underretter Information Technology Services (ITS), når brugeradgang til et informationssystem ikke længere er påkrævet, og når en brugers adgang skal ændres på grund af en ændring i medarbejderens kerneopgaver.

ITS vil straks blive underrettet via telefonopkald, efterfulgt af en e-mail til Chief Information Officer (CIO), ved opsigelse af en superbrugermedarbejder eller i tilfælde af en medarbejders ufrivillige opsigelse. Rutinemæssige opsigelser, overførsler til en anden universitetsafdeling eller ændringer i pligter skal indsendes inden for fem hverdage ved at bruge formularen til anmodning om systemadgang, som findes på portalen.

Gennemgang af adgang til informationssystemer, der indeholder følsomme data

En årlig gennemgang af alle brugerkonti for følsomme it-systemer skal foretages af ITS for at vurdere kontines fortsatte behov og tilhørende adgangsniveau.

ansvar

CIO'en skal have det overordnede ansvar for at udvikle og vedligeholde de tekniske procedurer, der er i overensstemmelse med denne procedure, og skal overholde de gældende standarder fra Hudson County Community College.

Bilag A beskriver skemaets placering for at anmode om adgang til colleges informationssystemer.

Definitioner

data - omfatter enhver information inden for HCCC's kompetenceområde, herunder elevdata, personaledata, økonomiske data (budget og løn), data om studieliv, afdelingsadministrative data, juridiske filer, institutionelle forskningsdata, proprietære data og alle andre data, der vedrører eller understøtter kollegiets administration.

Informationssystem - omfatter de samlede komponenter og operationer af en registreringsproces, herunder oplysninger indsamlet eller administreret ved hjælp af computernetværk og internettet, hvad enten det er automatiseret eller manuelt, indeholdende personoplysninger og navn, personnummer eller andre identificerende oplysninger om en registreret.

Følsomme data – omfatter enhver information, der kan påvirke kollegiets interesser negativt, udførelsen af ​​agenturprogrammer eller det privatliv, som enkeltpersoner er berettiget til, hvis det kompromitteres med hensyn til fortrolighed, integritet eller tilgængelighed. Data klassificeres som følsomme, hvis kompromittering af disse data resulterer i en væsentlig og væsentlig negativ indvirkning på kollegiets interesser, det berørte bureaus manglende evne til at drive sin forretning, brud på forventningerne til privatlivets fred eller er forpligtet til at holdes fortrolige ved lov.

superbruger – er en medarbejder, der har tilmeldingspanel eller forhøjet privilegeret adgang; fx en sikkerhedsadministrator.

 Referencer

  • Family Educational Rights and Privacy Act (FERPA) (20 USC § 1232g; 34 CFR Part 99)
  • Financial Services Modernization Act (Gramm-Leach-Bliley Act) (15 USC § 6801 ff.)
  • Health Insurance Portability and Accountability Act (HIPAA) (Public Law 104-191)

Gennemgå periodicitet og ansvar

CIO'en skal gennemgå denne procedure årligt og om nødvendigt anbefale revisioner.

BILAG A"

Formularer til anmodning om systemadgang:

Kollega Adgang

https://myhudson.hccc.edu/ellucian

Kontooprettelsesanmodning eller deaktiver anmodning

https://myhudson.hccc.edu/its

 

Godkendt af kabinettet: juli 2021
Relateret bestyrelsespolitik: ITS

Vend tilbage til Policies and Procedures