Politik for informationsteknologitjenester

 

FORMÅL

Denne politik giver Hudson County Community Colleges (“College”) forventninger og retningslinjer til alle, der bruger og administrerer Colleges informationsteknologitjenester og -ressourcer (“ITS-ressourcer”).

Kollegiet leverer ITS-ressourcer til at fremme kollegiets uddannelses-, service-, forretnings- og studerendes succesmål. Enhver adgang til eller brug af kollegiets ITS-ressourcer, der forstyrrer, afbryder eller er i konflikt med disse formål, vil blive betragtet som en overtrædelse af denne politik. De vil være underlagt konsekvenser, herunder tilbagekaldelse af ITS-adgang.

POLITIK

Denne politik gælder for alle medlemmer af College-fællesskabet, herunder fakulteter, studerende, administratorer, personale, alumner, autoriserede gæster og uafhængige kontrahenter, som bruger, får adgang til eller på anden måde anvender, lokalt eller eksternt, Colleges ITS-ressourcer, uanset om de er individuelt kontrollerede, delt, enkeltstående eller netværk.

Bestyrelsen delegerer til formanden ansvaret for at udvikle procedurer og retningslinjer for implementering af denne politik. Informationsteknologitjenesten og økonomikontoret vil være ansvarlig for at implementere politikken.

Godkendt: juni 2021
Godkendt af: Bestyrelsen
Kategori: Informationsteknologitjenester
Planlagt til gennemgang: juni 2024
Ansvarlige kontor(er): Informationsteknologiservice og økonomikontor

 

Procedurer

Acceptabel brug for informationsteknologisystemer

Introduktion

Denne procedure har til formål at sikre, at kollegiets informationsteknologisystemer (ITS) bruges til at fremme kollegiets mission. Denne procedure er i overensstemmelse med HCCC Information Technology Services Policy godkendt af HCCC Board of Trustees.

Anvendelsesområde

Denne procedure gælder for alle individuelle brugere, der får adgang til og bruger computer-, netværks- og informationsressourcer gennem enhver College-facilitet. Disse brugere omfatter alle Hudson County Community College-ansatte, fakulteter, administratorer og andre personer, der er ansat eller fastholdt til at udføre College-arbejde.

Denne procedure dækker alle kollegiets informationsteknologisystemer, herunder computer-, netværks- og andre informationsteknologiske ressourcer, der ejes eller drives af, indkøbt gennem eller indgået kontrakt med kollegiet. Sådanne ressourcer omfatter kollegiets computer- og netværkssystemer (inklusive dem, der er forbundet til kollegiets telekommunikationsinfrastruktur, kollegiets-dækkende backbones, lokale netværk og internettet), websteder med offentlig adgang, delte computersystemer, stationære computere, mobile enheder, andre computerhardware, software, databaser lagret på eller tilgængelige via netværket, ITS/Enterprise Applications-faciliteter og kommunikationssystemer og -tjenester.

Ansvarlighed

Chief Information Officer (CIO) og direktører/ledere af ITS/Enterprise Applications skal implementere denne procedure. Brugerrapporter om formodet misbrug og andre klager skal sendes til CIO'en. CIO'en skal rapportere hændelsen til Vice President for Business and Finance/CFO. Specifikt for proceduren er beskrevet nedenfor under "Manglende overholdelse og sanktioner."

Privatliv

Kollegiet vægter privatlivets fred højt og anerkender dets kritiske betydning i en akademisk kontekst. Under begrænsede omstændigheder, herunder, men ikke begrænset til, tekniske problemer eller fejl, retshåndhævelsesanmodninger eller regeringsbestemmelser, kan kollegiet bestemme, at andre interesser opvejer værdien af ​​en brugers forventning om privatliv. Først da vil kollegiet få adgang til relevante it-systemer uden brugerens samtykke. Kollegiet er forpligtet til at beskytte brugernes privatliv, så længe dette ikke kompromitterer institutionelle ressourcer. Omstændigheder, hvorunder kollegiet kan have behov for at få adgang, er diskuteret nedenfor. Der er etableret proceduremæssige sikkerhedsforanstaltninger for at sikre, at der kun opnås adgang, når det er relevant.

Betingelser – I overensstemmelse med stats- og føderal lovgivning kan kollegiet få adgang til alle aspekter af it-systemer uden brugerens samtykke under følgende omstændigheder:

      1. Når det er nødvendigt for at identificere eller diagnosticere systemer eller sikkerhedssårbarheder og -problemer, eller på anden måde bevare integriteten af ​​kollegiets it-systemer;
      2. Når det kræves af føderal, statslig eller lokal lovgivning eller administrative regler; 
      3. Når der er rimelig grund til at tro, at en lovovertrædelse eller et væsentligt brud på kollegiets politik eller procedure kan have fundet sted, og adgang og inspektion eller overvågning kan frembringe beviser relateret til forseelsen;
      4. Når en sådan adgang til IT/Enterprise Applications Systems er påkrævet for at udføre kollegiets væsentlige forretningsfunktioner; og,
      5. Når det er nødvendigt for at bevare folkesundheden og sikkerheden.

I henhold til New Jersey Open Public Records Act forbeholder kollegiet sig retten til at få adgang til og videregive data. Denne afsløring kan omfatte meddelelser, data, filer og e-mail backup eller arkiver. Videregivelse til retshåndhævende myndigheder og andre skal ske som påkrævet ved lov, for at reagere på juridiske processer og for at opfylde sine forpligtelser over for tredjeparter. Selv slettede e-mails er underlagt juridisk opdagelse under retssager gennem meddelelsesarkiver, backup-bånd og fjernelse af sletning af meddelelser.

Proces – Kollegiet vil kun få adgang til data uden brugerens samtykke med godkendelse af CIO'en og Vice President for Business and Finance/CFO. Denne proces vil kun blive omgået, når nøddataadgang er nødvendig for at bevare faciliteternes integritet og bevare offentlig sundhed og sikkerhed. Kollegiet vil gennem CIO'en logge alle tilfælde af adgang uden samtykke. En bruger vil blive underrettet om College adgang til relevante IT-systemer uden samtykke. Afhængigt af omstændighederne vil en sådan underretning ske før, under eller efter adgangen efter kollegiets skøn.

Generelle principper

  1. Adgang til informationsteknologi er afgørende for kollegiets mission om at give sine studerende uddannelsestjenester af højeste kvalitet.
  2. Kollegiet ejer sine computer-, netværks- og andre kommunikationssystemer.
  3. Kollegiet har også forskellige licensrelaterede rettigheder til den software og information, der findes på eller udvikles på disse computere og netværk. Kollegiet har ansvaret for sikkerheden, integriteten, vedligeholdelsen og fortroligheden af ​​dets kommunikationssystemer.
  4. Kollegiets IT-systemer eksisterer for at støtte medarbejdere, fakulteter, administratorer, konsulenter og studerende, når de udfører kollegiets mission. Med henblik herpå opfordrer og fremmer kollegiet kollegiets brug af disse ressourcer til deres tilsigtede formål. Adgang til og brug af disse ressourcer uden for kollegiets mission er underlagt regulering og begrænsninger for at sikre, at de ikke forstyrrer lovligt arbejde. Adgang og brug af ressourcer og tjenester, der forstyrrer kollegiets mission og mål, er forbudt.
  5. Når efterspørgslen efter informationsteknologiressourcer overstiger tilgængelig kapacitet, opstiller ITS prioriteter for allokering af ressourcerne. ITS giver en højere prioritet til aktiviteter, der er afgørende for kollegiets mission. I samarbejde med Chief Information Officer skal vicepræsidenterne anbefale disse prioriteter til præsidenten.
  6. Kollegiet har bemyndigelse til at kontrollere eller nægte adgang til enhver, der overtræder denne procedure. At true andre brugeres rettigheder, tilgængeligheden og integriteten af ​​systemerne og information er en overtrædelse af denne procedure. Konsekvenser af procedureovertrædelse omfatter deaktivering af konti, adgangskoder eller sikkerhedsgodkendelser, stop af processer, sletning af berørte filer og deaktivering af adgang til informationsteknologiressourcer.

Brugernes rettigheder

  1. Privatliv og fortrolighed: Som beskrevet mere udførligt i afsnit IV (ovenfor), vil kollegiet generelt respektere brugernes ret til privatliv og fortrolighed. Men på grund af deres teknologiske karakter er elektronisk kommunikation, især e-mail forbundet til internettet, muligvis ikke sikret mod uautoriseret adgang, visning eller krænkelse. Selvom kollegiet anvender teknologier til at sikre elektroniske meddelelser, kan fortroligheden af ​​e-mail og andre elektroniske dokumenter ikke altid sikres. Derfor dikterer god dømmekraft udformning af elektroniske dokumenter, der kan blive offentlige uden forlegenhed eller skade.
  2. Sikkerhed: Kollegiets fakultet, personale eller administratorers brug af Colleges IT-systemer til at overføre truende, chikanerende eller stødende kommunikation (eller visning af stødende billeder eller materialer) er en overtrædelse af Colleges procedure og kan udsætte overtræderen for strenge sanktioner . Kollegiets personale bør rapportere truende, chikanerende eller stødende kommunikation modtaget over netværket til CIO'en så hurtigt som muligt.

Brugernes ansvar

  1. Personer med adgang til kollegiets computer-, netværks- og informationsressourcer er ansvarlige for at bruge dem professionelt, etisk og lovligt og i overensstemmelse med alle gældende kollegiepolitikker. Brugere skal træffe rimelige og nødvendige foranstaltninger for at sikre den operationelle integritet og tilgængelighed af kollegiets systemer. Brugere bør opretholde et akademisk og arbejdsmiljø, der er befordrende for effektivt og produktivt at udføre kollegiets mission. Specifikt omfatter brugernes ansvar:
      1. Respektere andres rettigheder, herunder deres rettigheder til intellektuel ejendomsret, privatliv og frihed fra chikane;
      2. Sikring af fortroligheden af ​​følsomme collegeoplysninger og privatlivets fred for studerendes oplysninger i henhold til FERPA og Colleges politik og procedurer;
      3. Brug af systemer og ressourcer for ikke at forstyrre eller forstyrre kollegiets normale daglige drift;
      4. Beskyttelse af sikkerheden og integriteten af ​​oplysninger, der er lagret på College IT/Enterprise Applications Systems;
      5. At kende og adlyde College- og enhedsspecifikke politikker og procedurer, der styrer adgang til og brug af College IT-systemer og information om disse systemer.

Specifikke betingelser for netværksbrug

  1. Enkeltpersoner må ikke dele adgangskoder eller login-id'er eller på anden måde give andre adgang til et system, som de ikke er den enkelte ansvarlige for dataene eller systemet for. Brugere er ansvarlige for enhver aktivitet, der udføres med deres computerkonti og deres adgangskodesikkerhed. Kun autoriserede personer må anvende Højskolens IT/Enterprise Applications Systems.
  2. Enkeltpersoner må ikke bruge en anden persons netværkskonto eller forsøge at få adgangskoder eller adgangskoder til en andens netværkskonto til at sende eller modtage beskeder.
  3. Enkeltpersoner skal identificere sig selv og deres tilknytning nøjagtigt og passende i elektronisk kommunikation. De må ikke skjule identiteten af ​​den netværkskonto, der er tildelt dem, eller repræsentere sig selv som en anden.
  4. Enkeltpersoner må ikke bruge kollegiets systemer til at chikanere, intimidere, true eller fornærme andre; at forstyrre en andens arbejde eller uddannelse; at skabe et intimiderende, fjendtligt eller stødende arbejds- eller læringsmiljø; eller at udføre ulovlige eller uetiske aktiviteter, herunder plagiat og krænkelse af privatlivets fred.
  5. Enkeltpersoner må ikke bruge kollegiets systemer til at få eller forsøge at få uautoriseret adgang til fjernnetværk eller computersystemer.
  6. Enkeltpersoner må ikke bevidst forstyrre den normale drift af kollegiets computere, arbejdsstationer, terminaler, perifere enheder eller netværk.
  7. Enkeltpersoner må ikke køre eller installere programmer på noget College computersystem, der kan beskadige Colleges data og systemer (f.eks. computervirus, personlige programmer). Brugere må ikke bruge højskolens netværk til at forstyrre eksterne systemer. Hvis en bruger har mistanke om, at et program, de har til hensigt at installere eller bruge, kan forårsage en sådan effekt, skal de først rådføre sig med ITS/Enterprise Applications.
  8. Enkeltpersoner må ikke omgå eller undgå at bruge autentificeringssystemer, databeskyttelsesmekanismer eller andre sikkerhedsforanstaltninger.
  9. Enkeltpersoner må ikke overtræde nogen gældende love og licenser om ophavsret, og de skal respektere andre intellektuelle ejendomsrettigheder. Information og software, der er tilgængelig på internettet, er underlagt copyright eller yderligere beskyttelse af intellektuel ejendomsret. Kollegiets politik, procedurer og loven forbyder uautoriseret kopiering af software, der ikke er blevet placeret i det offentlige domæne og distribueret som "freeware". Derfor må intet downloades eller kopieres fra internettet uden udtrykkelig tilladelse fra ejeren af ​​materialet. Brugere skal overholde materialeejerens krav eller begrænsninger for materialet. Brug af software på mere end det licenserede antal computere og uautoriseret installation af ulicenseret software er også forbudt.
    "Shareware"-brugere skal overholde kravene i shareware-aftalen.
  10. Aktiviteter, der spilder eller uretfærdigt monopoliserer computerressourcer og ikke fremmer kollegiets mission, er forbudt. Eksempler på sådanne aktiviteter omfatter uautoriserede masse-e-mails; elektroniske kædebreve, uønsket post og andre typer udsendelsesmeddelelser; unødvendige flere processer, output eller trafik; overskridelse af pladsbegrænsninger i netværksbiblioteket; spil, "surfing" på internettet til rekreative formål eller andre ikke-arbejdsrelaterede applikationer i arbejdstiden; og overdreven udskrivning.
  11. Det er forbudt at læse, kopiere, ændre eller slette programmer eller filer, der tilhører en anden person eller kollegiet uden tilladelse.
  12. Enkeltpersoner må ikke bruge kollegiets computerressourcer til kommercielle formål eller personlig økonomisk vinding.
  13. Brug af kollegiets it-systemer, der overtræder lokale, statslige eller nationale love eller regler eller kollegiets politikker, adfærdsstandarder eller retningslinjer, er forbudt.
  14. E-mail kommunikation:
      1. Højskolens e-mail-system eksisterer for at understøtte kollegiets arbejde, og e-mailbrug skal være relateret til kollegiets forretning. Tilfældig personlig, ikke-kommerciel brug uden direkte omkostninger for kollegiet, som ikke forstyrrer lovlig kollegiums forretning, er dog også tilladt.
      2. Elektronisk kommunikation, hvis betydning, transmission eller distribution er ulovlig, uetisk, svigagtig, ærekrænkende, chikanerende eller uansvarlig, er forbudt. College e-mail-systemer må ikke bruges til at kommunikere indhold, der kan anses for upassende, stødende eller respektløst over for andre.
      3. Enkeltpersoner bør overholde passende professionelle standarder for høflighed og anstændighed i al elektronisk kommunikation.
      4. Al e-mail-korrespondance vedrørende college-virksomhed (inklusive den, der sendes til studerende og potentielle studerende) skal sendes med en almindelig hvid baggrund og bør ikke bruge dekorative papirvarer.
      5. Broadcast-e-mails til College Community vil relatere til Colleges politik og procedurer, College nyheder, en College-sponsoreret begivenhed eller emner, der påvirker College Community. Genstande til salg, donationsanmodninger og andre ikke-højskoleforretninger er forbudt. Enkeltpersoner må ikke sende e-mails med anmodning om denne type oplysninger via kollegiets mailinglister.

Internettet

  1. Hudson County Community Colleges websted er en officiel publikation af College. Alle oplysninger indeholdt på websiderne skal være nøjagtige og afspejle skolens officielle politik og procedurer.
  2. Officielle College-websider overholder de samme standarder som enhver trykt publikation fra College. CIO'en, Director of Marketing and College Relations, Web Services Manager og den relevante Vice President eller deres udpegede har det endelige ansvar for hver sides indhold og design.
  3. Web Services Manager og College-medarbejdere, der er ansvarlige for hver afdeling eller afdeling, vil regelmæssigt gennemgå valutaen og nøjagtigheden af ​​officielle Hudson County Community College-websider. Individuelle områder er ansvarlige for at kommunikere revisioner og opdateringer, efterhånden som de forekommer, til Web Services Manager, som vil gennemgå dem og sørge for deres opslag.

Manglende overholdelse og sanktioner

Manglende overholdelse af denne procedure kan resultere i nægtelse eller fjernelse af adgangsrettigheder til kollegiets elektroniske systemer, disciplinære handlinger i henhold til gældende kollegiums politikker og procedurer, civilretligt ansvar og retssager og strafferetlig forfølgning i henhold til relevante statslige, føderale og lokale love.

Processen for en undersøgelse af formodet misbrug og manglende overholdelse af denne procedure er som følger:

    1. Rapportér formodet misbrug til CIO.
    2. Hvis der er enighed fra Vice President for Business and Finance/CFO, skal CIO'en undersøge rapporten.
    3. CIO skal rapportere ethvert opdaget misbrug til den relevante afdelingsvicepræsident, som vil træffe passende disciplinære foranstaltninger.

Procedurer for netværks-, e-mail- og internetkonti

Følgende er kvalificerede til konti:

    1. Alle lønnede Hudson County Community College fuldtidsansatte.
    2. Alle adjungerede fakulteter og andre konsulenter engageret af kollegiet gennem aftalebreve, aftalememoranda eller kontrakt.
    3. Alle medlemmer af bestyrelsen.
    4. Hudson County Community College deltidsansatte, der har et påvist behov for computerressourcer tilgængelige fra ITS/Enterprise Applications (bortset fra generel internetadgang), relateret til deres arbejde på College, er berettiget til midlertidige konti.
    5. Ansatte ved tilknyttede uddannelsesinstitutioner, der har relationer til Hudson County Community College og et påvist behov for ITS/Enterprise Applications computerressourcer (bortset fra generel internetadgang), er berettiget til midlertidige konti.
    6. Tilknyttede organisationer med en akademisk mission, hvis aktiviteter relateret til kollegiet kræver computerressourcer, som det tilknyttede selskab ikke med rimelighed kan levere på egen hånd, er berettiget til midlertidige konti.

ITS fjerner konti, når:

    1.  Kontoindehaveren opfylder ikke længere berettigelseskravene.
    2. Kontoen er midlertidig, og udløbsdatoen passerer uden fornyelse.
    3. Kontohaveren har ikke haft adgang til kontoen i 18 på hinanden følgende måneder.

Nulstilling/ændring af adgangskoder

    1. Konti oprettes med en forudtildelt adgangskode, som kontohavere skal ændre, når de logger på første gang, og i overensstemmelse med Colleges procedurer.
    2. Det er strengt forbudt at dele eller videregive adgangskoder.

Hudson County Community College E-mail-procedure

Personer med adgang til kollegiets it-systemer er ansvarlige for at bruge dem professionelt, etisk, juridisk og at følge gældende kollegiums politikker og procedurer. Brugere bør opretholde et akademisk og arbejdsmiljø, der er befordrende for effektivt og produktivt at udføre kollegiets mission.

Elektronisk kommunikation, hvis betydning, transmission eller distribution er ulovlig, uetisk, svigagtig, ærekrænkende, chikanerende, uansvarlig eller overtræder kollegiets politikker eller procedurer, er forbudt. Elektronisk kommunikation bør ikke indeholde noget, der ikke kan lægges op på en opslagstavle, ses af utilsigtede seere eller vises i en college-publikation. Materiale, der kan anses for at være upassende, stødende eller respektløst over for andre, bør ikke sendes eller modtages som elektronisk kommunikation ved hjælp af Colleges faciliteter. CIO'en vil føre tilsyn med håndhævelsen af ​​denne procedure.

A. Handlinger, der anses for at overtræde denne e-mailprocedure er som følger:

      1. Afsendelse af uautoriserede masse-e-mail-meddelelser ("junk mail" eller "spam").
      2. Brug af e-mail til chikane, uanset om det er gennem sprog, hyppighed, indhold eller størrelse på beskeder.
      3. Videresendelse eller på anden måde udbredelse af kædebreve og pyramidespil, uanset om modtageren ønsker at modtage sådanne forsendelser eller ej.
      4. Ondsindede e-mails, såsom "mail-bombning" eller oversvømmelse af et brugerwebsted med meget store eller talrige e-mails.
      5. Forfalskning af andre afsenderoplysninger end kontonavn@hccc.edu eller en anden forhåndsgodkendt header-adresse.
      6. Afsendelse af e-mail til kommercielle formål eller personlig økonomisk vinding.

Kollegiet har ret til at fjerne adgangen til konti fundet i strid med denne procedure.

B. Regler og kontroller for e-mail:

      1. Kollegiet arkiverer ikke e-mail.
      2. Kollegiet filtrerer e-mail for spam og ondsindet indhold.
      3. Kollegiet blokerer e-mail-konti, der sender spam og ondsindet indhold.

Godkendt af kabinettet: juli 2021
Relateret bestyrelsespolitik: Informationsteknologitjenester

 

Procedure for computerlivscyklusser

Introduktion

Denne procedure har til formål sikre adgang til den nuværende computerteknologi, der kræves for at fremme elevernes succes og opfylde medarbejdernes jobansvar. Denne procedure giver Office of Information Technology Services (ITS) planlagt udskiftning af computere til medarbejder-, klasseværelse- og laboratoriebrug. 

Formål

Formålet med denne procedure er at indstille parametrene og processen for udskiftning af personlige computere. Denne procedure udelukker unikke arbejdsstationer og terminaler til brug med Virtual Desktop Infrastructure (VDI). 

Anvendelsesområde

Denne procedure dækker personlige computere, der bruges af fuldtidsansatte, fuldtidsansatte, laboratorier og klasseværelser. Computere købt under tilskud eller til dedikeret brug skal håndteres separat af parametrene for deres tilskud og formål. Denne politik gælder ikke for perifert udstyr, kontortelefoner, mobiltelefoner, printere, scannere, audio/visuelt udstyr, servere eller andet IT-relateret udstyr. Dette udstyr erstattes af ITS i henhold til behov, tilstand og budgetmæssige ressourcer baseret på deres analyse, bedømmelse og supportkontrakter. 

Hardware platforme 

Hvert år vil kollegiet fastlægge standardspecifikationer for stationære og bærbare computere baseret på jobfunktion for at indeholde omkostninger, vedligeholdelse og supporteffektivitet. ITS har udviklet udstyrsstandarderne, gennemgået af All College Council Technology Committee og godkendt af Chief Information Officer og Vice President for Finance and Business/Chief Financial Officer. Da ITS understøtter én enhed pr. medarbejder, vil brugerne blive tildelt en bærbar computer og dockingstation i stedet for en stationær computer. Stationære computere vil blive givet i områder, hvor deres brug vil blive delt, såsom receptionsområder, klasseværelser, laboratorier og supplerende arbejdsområder eller arbejdsområder.

Procedure

    1. Personlige computere vil blive vedligeholdt og understøttet af ITS gennem deres angivne tjenesteperiode. Den nuværende tjenesteperiode for HCCC personlige computere er fem år.
    2. Hvert år vil ITS erstatte en del af personlige computere på inventarlisten. ITS vil implementere fakultets- og personalecomputere hen over sommeren og efteråret. ITS vil også opdatere en del af klasseværelset, laboratoriet og computere med åben adgang hvert år. Anslåede erstatningsbudgetter vil blive fremlagt ved årlige budgethøringer. ITS erkender, at nogle fakulteter, medarbejdere og studerende har forskellige computerbehov. Akademiske laboratorier med specialiserede computere vil blive indbygget i erstatningsbudgettet, når det er muligt. Fakultetet og personalet, der har brug for en ikke-standard maskine, der overstiger en standard personlig computers omkostninger, skal indhente kontor-/skolegodkendelse. Deres kontor/skole vil finansiere prisforskellen.
    3. Deltidsansatte fakulteter og medarbejdere, der ønsker at låne en bærbar computer, udfylder en anmodningsformular, der kræver lederens godkendelse. Ved lederens godkendelse vil ITS klargøre en bærbar computer.
    4. ITS vil arbejde sammen med computerens bruger om at migrere medarbejderdata til erstatningscomputeren. ITS vil fjerne den ældre personlige computer. ITS holder den gamle computers harddisk i to uger til 90 dage for at sikre, at ingen data går tabt under installationen.

      1. Pensionister kan få mulighed for at købe deres gamle computer til en rimelig markedsværdi fastsat af ITS. Disse køb er "som de er", og ITS vil fjerne al HCCC-software og -data før overdragelsen af ​​ejerskabet. Medarbejderne vil skrive en check til Hudson County Community College, som vil blive deponeret på højskolens konto.
    5. I nogle tilfælde kan computere blive genbrugt eller omdistribueret til andre steder på campus efter ITS's skøn.
    6. Når personlige computere skal flyttes, skal Kontoret/Skolen kontakte ITS. ITS er ansvarlig for en nøjagtig opgørelse. Brugere bør ikke selv flytte personlige computere. Computere bør ikke omfordeles eller omfordeles uden at give ITS besked og opnå godkendelse.
    7. Når en medarbejder med en personlig computer forlader kollegiet, vil ITS blive underrettet af kontoret/skolen og menneskelige ressourcer. I de fleste tilfælde vil denne computer blive omfordelt til den næste medarbejder, der ansættes i denne stilling.
    8. Hvis en personlig computer går i stykker og ikke kan repareres, vil ITS erstatte computeren med en ny maskine. Den computer bliver så den personlige maskine for den pågældende medarbejder. 

Godkendt af kabinettet: april 2023
Relateret bestyrelsespolitik: Informationsteknologitjenester

 

Begivenhedsstyringsprocedure

Introduktion

Denne procedure har til formål at sikre vellykkede arrangementer på tværs af kollegiet, der fortsætter med at fremme kollegiets mission. Denne procedure er i overensstemmelse med HCCC's politik for informationsteknologitjenester, der er godkendt af bestyrelsen.

Anvendelsesområde

Denne procedure gælder for alle fakulteter og medarbejdere på kollegiet, der afholder kollegiearrangementer.

Ansvarlighed

Associate Vice President for Information Technology Services og Chief Information Officer vil implementere denne procedure i koordinering med den administrerende direktør for faciliteter, drift og teknik, den administrerende direktør for offentlig sikkerhed og sikkerhed og andre collegeledere.

Procedure

  1. Definition af en HCCC-begivenhed
    1. Akademiske aktiviteter: CAA er aktiviteter eller begivenheder, der er direkte relateret til kollegiets instruktionsmission. Eksempler omfatter meritgivende klasser, programmatiske aktiviteter i forbindelse med akademiske kurser og møder på fakultetet/administrative afdelinger.
    2. College arrangementer: CE er aktiviteter, der organiseres og drives af fakultetet, personalet, kollegiets kontorer og registrerede og godkendte studenterorganisationer, der primært er planlagt til medlemmer af HCCC-samfundet og til gavn for kollegiet. Eksempler omfatter studerendes programmeringsaktiviteter, fakultets- og personaleudvikling, påbegyndelse, indkaldelse, åbent hus, rekrutteringsarrangementer, gæsteforelæsere og andre. Deltagere i disse begivenheder omfatter medlemmer af samfundet, fakultetet, personale, studerende, gæster og alumner
    3. Arrangementer afholdt af college: CHE er akademiske programmer, konferencer, retreater og møder, der involverer to enheder: en College-enhed (skole, akademisk eller administrativ enhed eller registreret og godkendt studenterorganisation) og en ekstern organisation (såsom en professionel sammenslutning, hvori College har medlemskab eller opretholder et forhold, der direkte gavner College-fællesskabet eller lokalsamfundsbaseret organisation).
    4. Ikke-højskole/eksterne arrangementer: NC/EE defineres som programmer og aktiviteter organiseret af enkeltpersoner, grupper, virksomheder eller organisationer, der ikke er inkluderet i kollegiets organisatoriske struktur. Eksempler er receptioner, velgørenhedsarrangementer, firmamøder og arrangementer, ungdomslejre, konferencer, sociale aktiviteter, udstillinger osv. Ikke-universitets-/eksterne arrangementer kræver en kontraktlig ordning og korrekt bevis for forsikring med kollegiet.
  2. Kontorer, der understøtter arrangementer, og hvad de tilbyder

    1. Informationsteknologitjenester
      1. Teknologisk udstyr
      2. Test præsentationer og medier forud for arrangementet
      3. Mødelinks og hybrid møde/event support
      4. Gæst WiFi
      5. Teknologistøtte under arrangementet
    2. Faciliteter
      1. Møbelopsætning og nedbrydning
      2. Nedbrydning af møbler
      3. Rengøring
      4. VVS-overvågning
    3. Sikkerhed
      1. Sikkerhedsstøtte under arrangementer
      2. Bygningsåbninger og -lukninger
      3. Parkering og transportstøtte
    4. Flik
      1. Mad og drikke
      2. Servere og anden support
      3. Koordinering med eksterne grupper
  3. Begivenhedsstyringsproces

    1. Online anmodninger skal indtastes gennem kollegiets Coursedog-system.
    2. Godkendelse vil være påkrævet for særlige rum og begivenhedstyper; fx præsidentens bestyrelseslokale, atrium, galleri.
    3. Forudgående varsel er påkrævet til alle arrangementer.
    4. Prioritet vil blive givet til højprofilerede begivenheder på kollegiet.
  4. Begivenhedstypeguide

    Hændelsestype

    Beskrivelse
    Akademisk computerlaboratorium Computerlaboratorietjenester, herunder support fra en laboratorieassistent, kræver tre dages varsel. Disse anmodninger kan indtastes 180 dage i forvejen.
    Administrative tjenester Møder kræver en dags varsel.
    Efteruddannelse (CE) Efteruddannelse og arbejdsstyrkeudviklingsarrangementer og klasser kræver en dags varsel. Disse anmodninger kan indtastes 180 dage i forvejen.
    Tilmeldingstjenester / optagelser Tilmeldingstjenester og optagelsesbegivenheder kræver tre dages varsel. Disse anmodninger kan indtastes 90 dage i forvejen.
    Hospitality and Catering Services Prioritet 1 Prioritet 1-begivenheder omfatter arrangementer på hele campus, eksterne deltagere, annoncerede arrangementer og arrangementer på kabinetniveau. Disse anmodninger kræver 30 dages varsel og kan indtastes 180 dage i forvejen.
    Hospitality and Catering Services Prioritet 2 Prioritet 2 Arrangementer omfatter arrangementer på afdelingsniveau med mere end 50 deltagere, og som bliver optaget kræver 14 dages varsel. Disse anmodninger kan indtastes 180 dage i forvejen.
    Hospitality and Catering Services Prioritet 3 Prioritet 3 Arrangementer er små og mere uformelle og kræver tre dages varsel. Disse anmodninger kan indtastes 180 dage i forvejen.
    North Hudson Campus Event Programmer og arrangementer, der afholdes på North Hudson Campus, kræver tre dages varsel. Disse anmodninger kan indtastes 180 dage i forvejen.
    North Hudson Office Space Møder på North Hudson Campus kræver en dags varsel.
    Registratorens kontor Programmer og arrangementer i Academic Affairs klasseværelser på Journal Square kræver en dags varsel. Disse anmodninger kan indtastes 180 dage i forvejen.
    Sygeplejerskeskolen Test / gæstetaler Programmer og arrangementer i F129 Computer Lab kræver en dags varsel. Disse anmodninger kan indtastes 180 dage i forvejen.
    studieliv Alle Studenterlivsarrangementer kræver to dages varsel. Disse anmodninger kan indtastes 180 dage i forvejen.
    Slid for mere
  5. ansvar

    1. Arrangørerne vil give alle tilgængelige oplysninger i anmodningen, herunder kontakter til begivenheden, e-mail og telefonnumre osv.
    2. Arrangørerne vil meddele eventuelle ændringer rettidigt og skriftligt.
    3. Arrangørerne vil inkludere kollegiets tilgængelighedserklæring i al kommunikation om begivenheden.
    4. Arrangørerne vil deltage i gennemgange og træningssessioner som krævet af begivenhedstypen.
    5. College kontorer, der leverer tjenester, vil kommunikere rettidigt med arrangørerne.
    6. Hybride begivenhedslinks vil udelukkende blive skabt af Information Technology Services til HCCC-begivenheder.
    7. Arrangørerne vil underrette kollegiets kontorer på forhånd, når der er en aflysning for at frigive begivenhedspladsen.
    8. HCCC-kontorer vil underrette arrangørerne om eventuelle problemer, så snart de opdages.

Godkendt af kabinettet: december 2024
Relateret bestyrelsespolitik: Informationsteknologitjenester

 

Anmodninger om adgang til informationssystemer, der indeholder følsomme data

Introduktion

 Denne procedure udpeger Hudson County Community Colleges (HCCC) system/dataejere. Disse personer overvåger adgangen til informationssystemer, der indeholder følsomme data, såsom Colleague ERP-systemet. Tilsyn er nødvendigt for at beskytte og bevare fortroligheden, integriteten og tilgængeligheden af ​​HCCC's data og for at overholde de informationsteknologiske standarder og regler, der gælder for HCCC.

De udpegede system-/dataejere for Hudson County Community Colleges informationssystemer, der indeholder følsomme data, skal have bemyndigelse til at godkende enkeltpersoners adgang til disse systemer.

Udpegning af system-/dataejere

 Følgende Executive Staff-medlemmer er udpeget som system-/dataejere for informationssystemer, der indeholder følsomme data.

 Kollega ERP System

Studenter modul

Næstformand for Studenteranliggender og Indskrivning

Studerendes økonomimodul

Vice President for Business and Finance/CFO

Financial Aid Moduler

Associeret dekan for Financial Aid

Menneskelige ressourcer modul

Vicepræsident for Human Resources

 Document Imaging System

Tilmeldingstjenester, optagelser og rådgivningsdokumenter

Næstformand for Studenteranliggender og Indskrivning

studerende Financial Aid Dokumenter

Associeret dekan for Financial Aid

Finansielle dokumenter

Vice President for Business and Finance/CFO

Anmodninger om adgang til informationssystemer, der indeholder følsomme data

Anmodninger om adgang til informationssystemer, der indeholder følsomme data, skal gives på et "mindst privilegeret" grundlag, dvs. kun adgang til sådanne oplysninger og systemer, der er nødvendige for at udføre den enkeltes almindelige arbejdsopgaver.

Ledende medarbejdere, der er udpeget som system-/dataejere eller udpegede ledere i funktionsområder, skal gennemgå anmodninger om adgang til informationssystemer, der indeholder følsomme data, fra medarbejdere under deres administrative myndighed. De skal validere, at brugere på et "mindst privilegium"-basis kun får adgang til de privilegier, der er nødvendige for at udføre deres almindelige arbejdsopgaver. De skal godkende anmodninger ved at indsende en formular til anmodning om systemadgang, som findes på portalen. Hvis adgangen ikke er berettiget, vil anmodningen blive afvist.

Fjernelse af adgang til informationssystemer, der indeholder følsomme data

Executive Staff-medlemmer skal sikre, at supervisorer omgående underretter Information Technology Services (ITS), når brugeradgang til et informationssystem ikke længere er påkrævet, og når en brugers adgang skal ændres på grund af en ændring i medarbejderens kerneopgaver.

ITS vil straks blive underrettet via telefonopkald, efterfulgt af en e-mail til Chief Information Officer (CIO), ved opsigelse af en superbrugermedarbejder eller i tilfælde af en medarbejders ufrivillige opsigelse. Rutinemæssige opsigelser, overførsler til en anden universitetsafdeling eller ændringer i pligter skal indsendes inden for fem hverdage ved at bruge formularen til anmodning om systemadgang, som findes på portalen.

Gennemgang af adgang til informationssystemer, der indeholder følsomme data

En årlig gennemgang af alle brugerkonti for følsomme it-systemer skal foretages af ITS for at vurdere kontines fortsatte behov og tilhørende adgangsniveau.

ansvar

CIO'en skal have det overordnede ansvar for at udvikle og vedligeholde de tekniske procedurer, der er i overensstemmelse med denne procedure, og skal overholde de gældende standarder fra Hudson County Community College.

Bilag A beskriver skemaets placering for at anmode om adgang til colleges informationssystemer.

Definitioner

 data - omfatter enhver information inden for HCCC's kompetenceområde, herunder elevdata, personaledata, økonomiske data (budget og løn), data om studieliv, afdelingsadministrative data, juridiske filer, institutionelle forskningsdata, proprietære data og alle andre data, der vedrører eller understøtter kollegiets administration.

Informationssystem - omfatter de samlede komponenter og operationer af en registreringsproces, herunder oplysninger indsamlet eller administreret ved hjælp af computernetværk og internettet, hvad enten det er automatiseret eller manuelt, indeholdende personoplysninger og navn, personnummer eller andre identificerende oplysninger om en registreret.

Følsomme data – omfatter enhver information, der kan påvirke kollegiets interesser negativt, udførelsen af ​​agenturprogrammer eller det privatliv, som enkeltpersoner er berettiget til, hvis det kompromitteres med hensyn til fortrolighed, integritet eller tilgængelighed. Data klassificeres som følsomme, hvis kompromittering af disse data resulterer i en væsentlig og væsentlig negativ indvirkning på kollegiets interesser, det berørte bureaus manglende evne til at drive sin forretning, brud på forventningerne til privatlivets fred eller er forpligtet til at holdes fortrolige ved lov.

superbruger – er en medarbejder, der har tilmeldingspanel eller forhøjet privilegeret adgang; fx en sikkerhedsadministrator.

 Referencer

  • Family Educational Rights and Privacy Act (FERPA) (20 USC § 1232g; 34 CFR Part 99)
  • Financial Services Modernization Act (Gramm-Leach-Bliley Act) (15 USC § 6801 ff.)
  • Health Insurance Portability and Accountability Act (HIPAA) (Public Law 104-191)

Gennemgå periodicitet og ansvar

 CIO'en skal gennemgå denne procedure årligt og om nødvendigt anbefale revisioner.

BILAG A"

Formularer til anmodning om systemadgang:

Kollega Adgang

https://myhudson.hccc.edu/ellucian

Kontooprettelsesanmodning eller deaktiver anmodning

https://myhudson.hccc.edu/its

Godkendt af kabinettet: juli 2021
Relateret bestyrelsespolitik: ITS

 

Informationssikkerhedsplan Procedure

Introduktion

Formålet med udviklingen og implementeringen af ​​denne omfattende skriftlige informationssikkerhedsplanprocedure ("Plan") er at skabe effektive administrative, tekniske og fysiske sikkerhedsforanstaltninger til beskyttelse af "personlige oplysninger" om potentielle studerende, ansøgere, studerende, ansatte, alumner , og venner af Hudson County Community College, og for at overholde vores forpligtelser i henhold til New Jersey-regulativ 201 CMR 17.00. Planen angiver vores procedurer for evaluering af vores elektroniske og fysiske metoder til at få adgang til, indsamle, opbevare, bruge, transmittere og beskytte "personlige oplysninger" om kollegiets bestanddele.

I denne plan defineres "personoplysninger" som en persons fornavn og efternavn, eller fornavn og efternavn, i kombination med et eller flere af følgende dataelementer, der vedrører en sådan beboer: (a) Socialt Sikkerheds nummer; (b) kørekortnummer eller statsudstedt id-kortnummer; eller (c) finansielt kontonummer eller kredit- eller debetkortnummer, med eller uden nogen påkrævet sikkerhedskode, adgangskode, personligt identifikationsnummer eller adgangskode, der ville tillade adgang til en beboers finansielle konto, hvor Hudson County Community College er depotholder af disse data ; dog forudsat, at "personlige oplysninger" ikke omfatter oplysninger, der lovligt er indhentet fra offentligt tilgængelige oplysninger eller fra føderale, statslige eller lokale myndigheders optegnelser, der lovligt er gjort tilgængelige for offentligheden.

Formål

Formålet med denne plan er at:

    1. Sikre sikkerheden og fortroligheden af ​​personlige oplysninger;
    2. Beskyt mod eventuelle potentielle trusler eller farer for sikkerheden eller integriteten af ​​personlige oplysninger; og,
    3. Beskyt mod uautoriseret adgang til eller brug af personlige oplysninger på en måde, der skaber en væsentlig risiko for identitetstyveri eller svindel.

Anvendelsesområde

Ved formulering og implementering af planen vil institutionen: (1) identificere rimeligt forudsigelige interne og eksterne risici for sikkerheden, fortroligheden og integriteten af ​​enhver elektronisk, papir- eller anden registrering, der indeholder personlige oplysninger; (2) vurdere sandsynligheden for og den potentielle skade af disse trusler under hensyntagen til følsomheden af ​​de personlige oplysninger; (3) evaluere tilstrækkeligheden af ​​eksisterende politikker, praksis, procedurer, informationssystemer og andre sikkerhedsforanstaltninger på plads til at kontrollere risici; (4) designe og implementere en plan, der sætter sikkerhedsforanstaltninger på plads for at minimere disse risici, i overensstemmelse med kravene i 201 CMR 17.00; og (5) regelmæssigt overvåge planen.

Datasikkerhedskoordinator

HCCC har udpeget Chief Information Officer (CIO) og Vice President for Business and Finance/CFO til at implementere, overvåge og vedligeholde planen. CIO og Vice President for Business and Finance/CFO vil være ansvarlig for:

    1. Indledende implementering af planen;
    2. Overvågning af løbende medarbejderuddannelse om elementerne og kravene i Planen for alle ejere, ledere, medarbejdere og uafhængige kontrahenter, der har adgang til personlige oplysninger;
    3. Overvågning af planens sikkerhedsforanstaltninger;
    4. Vurdering af tredjepartstjenesteudbydere, der har adgang til og hoster/transmitterer/backuper/vedligeholder personlige oplysninger, og kræver, at disse tjenesteudbydere ved kontrakt implementerer og vedligeholder sådanne passende sikkerhedsforanstaltninger for at beskytte personlige oplysninger;
    5. Gennemgang af omfanget af sikkerhedsforanstaltningerne i planen årligt, eller når der er en væsentlig ændring i HCCC's forretningspraksis, der kan implicere sikkerheden eller integriteten af ​​optegnelser, der indeholder personlige oplysninger; og,
    6. Gennemgang af lovgivning og love og opdatering af politikker og procedurer efter behov.

Interne risici

For at bekæmpe interne risici for sikkerheden, fortroligheden og integriteten af ​​elektroniske, papir- eller andre optegnelser, der indeholder personlige oplysninger, og for at evaluere og om nødvendigt forbedre effektiviteten af ​​de nuværende sikkerhedsforanstaltninger for at begrænse sådanne risici, skal følgende foranstaltninger er obligatoriske og træder i kraft straks: 

Administrative foranstaltninger

      1. En kopi af planen skal distribueres til præsidenten, præsidentens kabinet, informationsteknologitjenester (ITS) personale og andre udpegede medarbejdere, der håndterer personlige oplysninger. Efter modtagelse af planen skal hver enkelt skriftligt bekræfte, at de har modtaget en kopi af planen.
      2. Efter uddannelse skal alt personale underskrive fortrolighedsaftaler, der beskriver håndteringen af ​​personoplysninger. Fortrolighedsaftalerne vil kræve, at personalemedlemmer rapporterer enhver mistænkelig eller uautoriseret brug af "personlige oplysninger" til CIO'en eller Vice President for Human Resources.
      3. Mængden af ​​indsamlede personlige oplysninger skal begrænses til, hvad der med rimelighed er nødvendigt for at opnå legitime forretningsformål. Brug af personoplysninger behandles gennem revisioner på forskellige områder.
      4. Alle datasikkerhedsforanstaltninger skal gennemgås mindst årligt, eller når der er en væsentlig ændring i HCCC's forretningspraksis eller lovændring, som med rimelighed kan implicere sikkerheden eller integriteten af ​​registre, der indeholder personlige oplysninger. CIO'en og Vice President for Business and Finance/CFO skal være ansvarlig for denne gennemgang og skal fuldt ud informere afdelingsledere om resultaterne af denne gennemgang og eventuelle anbefalinger til forbedret sikkerhed, der udspringer af denne gennemgang.
      5. Når der er en hændelse, der kræver anmeldelse i henhold til NJ Stat. § 56:8-163, New Jerseys lov om indberetning af databrud på personoplysninger, skal der være en umiddelbar obligatorisk gennemgang efter hændelsen af ​​hændelser og eventuelle handlinger, der er truffet for at afgøre, om der er behov for ændringer i HCCC's sikkerhedspraksis for at forbedre sikkerheden af ​​personlige oplysninger under planen.
      6. Hver afdeling skal udvikle regler (under hensyntagen til den pågældende afdelings forretningsbehov), som sikrer, at rimelige begrænsninger for fysisk adgang til personlige oplysninger er på plads, herunder en skriftlig procedure, der angiver, hvordan registreringens fysiske adgang begrænses. Hver afdeling skal opbevare sådanne optegnelser og data i aflåste faciliteter, sikre opbevaringsområder eller aflåste skabe.
      7. Med undtagelse af systemadministrationskonti skal adgangen til elektronisk lagrede personoplysninger være elektronisk begrænset til de medarbejdere, der har et unikt login-id, med passende adgang. Der gives ikke adgang til medarbejdere, som CIO'en vurderer, ikke har behov for adgang til elektronisk lagrede personoplysninger.
      8. Når en fortrolighedsaftale ikke er på plads, skal besøgendes eller entreprenørens adgang til følsomme data, herunder, men ikke begrænset til, adgangskoder, krypteringsnøgler og tekniske specifikationer, når det er nødvendigt, godkendes skriftligt. Adgangen skal være begrænset til det nødvendige minimum. Hvis fjernlogin er nødvendig for adgang, skal denne adgang også godkendes gennem HCCC's ITS-afdeling.

Fysiske foranstaltninger

      1. Adgang til registre, der indeholder personlige oplysninger, skal være begrænset til dem, der med rimelighed er forpligtet til at kende sådanne oplysninger for at opnå HCCC's legitime forretningsformål. For at afbøde unødvendig afsløring vil følsomme og personlige oplysninger blive redigeret, papirregistreringer vil blive opbevaret i aflåste faciliteter, og datasikkerhedskontrol for elektroniske optegnelser vil blive implementeret.
      2. Ved arbejdsdagens afslutning skal alle ikke-elektroniske filer og andre optegnelser indeholdende personoplysninger opbevares i aflåste lokaler, kontorer eller skabe.
      3. Papirjournaler, der indeholder personlige oplysninger, skal bortskaffes på en måde, der er i overensstemmelse med NJ Stat. § 56:8-163, New Jerseys lov om indberetning af brud på personoplysninger. Det betyder, at optegnelser skal bortskaffes ved hjælp af en tværgående makuleringsmaskine eller andre metoder, der gør oplysningerne ulæselige.

Tekniske foranstaltninger

      1. HCCC tillader ikke medarbejdere at gemme personlige oplysninger på bærbare medier. Dette omfatter bærbare computere, USB, cd'er osv. Når medarbejdere, der har adgang til personlige oplysninger, opsiges, skal HCCC afslutte deres adgang til netværksressourcer og fysiske enheder, der indeholder personlige oplysninger. Dette omfatter opsigelse eller afgivelse af netværkskonti, databasekonti, nøgler, badges, telefoner og bærbare eller stationære computere.
      2. Medarbejdere er forpligtet til at ændre deres adgangskoder rutinemæssigt for systemer, der indeholder personlige oplysninger.
      3. Adgang til personlige oplysninger skal være begrænset til aktive brugere og kun aktive brugerkonti.
      4. Hvor det er teknisk muligt, vil alle HCCC-vedligeholdte systemer, der gemmer personlige oplysninger, anvende automatiske låsefunktioner, der låser adgangen efter flere mislykkede loginforsøg.
      5. Elektroniske optegnelser (herunder optegnelser gemt på harddiske og andre elektroniske medier) indeholdende personoplysninger skal bortskaffes i overensstemmelse med og måde, der er i overensstemmelse med NJ Stat. § 56:8-163, New Jerseys lov om indberetning af brud på personoplysninger. Dette kræver, at oplysninger destrueres eller slettes, så personoplysninger ikke praktisk kan læses eller rekonstrueres.

Eksterne risici

      1. For at bekæmpe eksterne risici for sikkerheden, fortroligheden og integriteten af ​​elektroniske, papir- eller andre optegnelser, der indeholder personlige oplysninger, og for at evaluere eller om nødvendigt forbedre effektiviteten af ​​de nuværende sikkerhedsforanstaltninger for at begrænse sådanne risici, er følgende foranstaltninger obligatoriske og med øjeblikkelig virkning:

a.) Der er rimelig opdateret firewallbeskyttelse og sikkerhedsrettelser til operativsystemer, der er rimeligt designet til at opretholde integriteten af ​​personlige oplysninger installeret på systemer med personlige oplysninger.

b.) Der er rimeligt opdaterede versioner af systemsikkerhedsagentsoftware, der inkluderer malwarebeskyttelse og rimeligt opdaterede patches og virusdefinitioner installeret på systemer, der behandler personlige oplysninger.

c.)Når de opbevares på HCCC's netværksshares, skal filer, der indeholder personlige oplysninger, krypteres. HCCC tillader ikke, at personlige oplysninger gemmes på bærbare computere, pc'er, USB-enheder eller andre bærbare medier. HCCC vil implementere krypteringssoftware for at overholde dette mål.

d.) Alle personlige oplysninger, der overføres elektronisk til tredjepartsleverandører, skal sendes via leverandørens krypterede tjeneste eller gennem HCCC's udpegede krypterede tjeneste for sikker transmission. 

e.) Alle nye tjenesteudbydere, der opbevarer HCCC's personlige oplysninger i elektronisk form, skal på passende vis demonstrere sikkerhedsforanstaltninger gennem EDUCAUSE HECVAT eller lignende instrument. Disse leverandører skal også godkendes af HCCC's Vice President for Finance and Business/CFO.

f.) Personale i Human Resources og Information Technology Services skal følge de procedurer, der er skitseret i HCCC Proceduren for acceptabel brug for informationsteknologisystemer i forbindelse med oprettelse, overførsel eller afslutning af konti, sammen med politikker for adgangskodelagring og rollebaseret sikkerhed.

g.) Alle personlige oplysninger vil blive bortskaffet efter HCCC Policies and Procedures.

h.) Som ressourcer og budget tillader det, vil HCCC implementere teknologi, der vil gøre det muligt for kollegiet at overvåge databaser for uautoriseret brug af eller adgang til personlige oplysninger og anvende sikre autentificeringsprotokoller og adgangskontrolforanstaltninger i henhold til HCCC's procedurer.

 

Godkendt af kabinettet: juli 2021
Relateret bestyrelsespolitik: Informationsteknologitjenester

 

Informationssikkerhed Incident Response Plan Procedure

Formål

Denne plan guider, hvordan man reagerer på informationssikkerhedshændelser på Hudson County Community College (HCCC). Planen identificerer roller og ansvar for HCCC-hændelsesresponsteamet og de skridt, der skal tages i tilfælde af en hændelse. Information Security Incident Response Plan (ISIRP) har til formål at minimere virkningen af ​​en hændelse, bevare beviser til efterforskningsformål og genoprette normal drift så hurtigt som muligt.

Definitioner

Incident: En hændelse, der resulterer i tab af fortrolighed, integritet eller tilgængelighed af information eller informationssystemer.

Respons: De handlinger, der træffes for at afbøde virkningen af ​​en hændelse og gendanne de berørte systemer og data til deres normale tilstand.

Incident Response Team (IRT): Incident Response Team (IRT) er ansvarlig for implementering af ISIRP. IRT består af repræsentanter fra relevante afdelinger, herunder men ikke begrænset til informationsteknologitjenester (ITS), økonomi (risikostyring), juridisk rådgiver, HR og kommunikation. IRT er ansvarlig for at koordinere reaktionen på en hændelse og sikre, at alle nødvendige ressourcer er tilgængelige.

Roller og ansvar

IRT er ansvarlig for følgende:

  • At reagere på hændelser og afbøde deres indvirkning.
  • Undersøgelse af hændelser og fastlæggelse af deres årsag.
  • Gendannelse af systemer og data, der er blevet påvirket af en hændelse.
  • Kommunikation med interessenter om hændelser.
  • Logning og rapportering af hændelser.
Rapportering af hændelser

Alle formodede eller bekræftede informationssikkerhedshændelser skal straks rapporteres til ITS. ITS vil derefter vurdere hændelsen og afgøre, om det er en sikkerhedshændelse. ITS vil eskalere hændelsen til IRT, hvis det er en sikkerhedshændelse.

Reaktionstrin
Hændelseskategorisering:

IRT vil kategorisere hændelsen baseret på dens alvor og virkning. Kategorierne er som følger:

Kategori 1: Mindre hændelse - Ingen væsentlig indvirkning på kollegiet eller dets drift.
Kategori 2: Moderat hændelse - Begrænset indvirkning på kollegiet eller dets drift.
Kategori 3: Større hændelse - Betydelig indvirkning på kollegiet eller dets drift.
Kategori 4: Kritisk hændelse - Alvorlig indvirkning på kollegiet eller dets drift.

Hændelsesvar efter kategori:

IRT vil følge nedenstående trin for at reagere på en hændelse:
Kategori 1: Der kræves ikke noget formelt svar.
Kategori 2: IRT vil undersøge hændelsen og træffe passende foranstaltninger for at begrænse og afbøde hændelsen.
Kategori 3: IRT vil koordinere med relevante afdelinger og eksterne ressourcer, såsom retshåndhævelses- og cybersikkerhedseksperter, for at undersøge hændelsen og træffe passende foranstaltninger for at begrænse og afbøde hændelsen.
Kategori 4: IRT vil implementere HCCC Emergency Management Plan, som skitserer de trin, der skal følges under en betydelig krise.

ISIRP-trin til IRT at følge

IRT vil følge disse trin i tilfælde af en hændelse:

  1. Reager på hændelsesrapporten.
  2. Afbød virkningen af ​​hændelsen.
  3. Kategoriser effekterne på ovenstående skala.
  4. Undersøg hændelsen.
  5. Bestem årsagen til hændelsen.
  6. Gendan systemer og data, der er blevet påvirket af hændelsen.
  7. Kommuniker med interessenter om hændelsen.
  8. Log og rapporter hændelsen.
Værktøjer og ressourcer

IRT vil bruge følgende værktøjer og ressourcer til at reagere på hændelser:

  • Sikkerhedssoftware: Sophos, Crowdstrike
  • Datasikkerhedskopiering og -gendannelsessystemer: Cohesity, Arcserve, OneDrive
  • Kommunikationskanaler: E-mail, tekst, sociale medier
  • Tredjeparts cybersikkerhedseksperter: NJ Edge, CyberSecOp, Cybersecurity Insurance konsulenter
Test og træning

IRT vil teste og træne regelmæssigt i de procedurer og værktøjer, der er på plads.

Kommunikationsplan

IRT vil kommunikere med følgende interessenter i tilfælde af en hændelse:

  • Studerende
  • Fakultet
  • Personale
  • Medier
  • Retshåndhævelse
  • Tilsynsmyndigheder
Metrics og rapportering

IRT vil dokumentere alle aspekter af hændelsen, herunder, men ikke begrænset til, hændelsens type, alvor, påvirkning, respons og løsning. Dokumentation vil blive opbevaret sikkert og kun tilgængeligt for autoriseret personale.

IRT vil indsamle og analysere følgende metrics relateret til hændelser:

  • Antal hændelser
  • Udgifter til hændelser
  • Tid til at komme sig over hændelser

Associate Vice President for Technology og CIO vil rapportere om disse målinger til HCCC Board of Trustees.

Gennemgå og opdater

AVP CIO vil gennemgå ISIRP årligt og opdatere det for at afspejle det skiftende sikkerhedslandskab og HCCC's skiftende behov.

Godkendt af kabinettet: maj 2023
Relateret bestyrelsespolitik: Informationsteknologitjenester

 

Ansvarsprocedure for bærbar teknologi

  1. INDLEDNING
    Denne procedure har til formål at etablere klare retningslinjer for ansvarlighed og ansvar vedrørende tab eller beskadigelse af bærbare teknologienheder leveret af Hudson County Community College (HCCC) til ansatte og studerende. Denne procedure er i overensstemmelse med HCCC Information Technology Services Policy godkendt af HCCC Board of Trustees.
  2. ANVENDELSE
    Denne procedure gælder for alle personer, herunder ansatte og studerende, for hvem HCCC har udstedt bærbare teknologienheder.
  3. ANSVARLIGHED
    1. Individuelt ansvar
      1. Alle enkeltpersoner udstedt bærbare teknologienheder er personligt ansvarlige for korrekt pleje og sikker opbevaring af udstyret.
      2. Brugere skal straks rapportere ethvert tab eller tyveri af den bærbare teknologienhed til Office of Public Safety and Security. Enhver skade på enheden skal straks rapporteres til Office of Information Technology Services (ITS).
    2. Indberetningsprocedure
      1. Personer, der rapporterer en mistet eller beskadiget enhed, skal give detaljerede oplysninger om hændelsen, herunder dato, klokkeslæt og sted.
      2. En skriftlig hændelsesrapport skal indsendes til Office of Public Safety and Security inden for 24 timer efter en forekomst af tab eller tyveri.
    3. Undersøgelse
      1. Kontoret for offentlig sikkerhed og sikkerhed vil undersøge omstændighederne omkring tabet af den bærbare teknologienhed.
      2. Personer, der er involveret, kan blive bedt om at samarbejde fuldt ud med undersøgelsen og give alle relevante oplysninger.
    4. Ansvarlighedsforanstaltninger
      1. Hvis tabet eller skaden viser sig at skyldes uagtsomhed eller forsætlige handlinger, kan den enkelte blive holdt økonomisk ansvarlig for reparations- eller udskiftningsomkostningerne for udstyret.
      2. Enkeltpersoner vil blive underrettet skriftligt om resultatet af undersøgelsen og eventuelle økonomiske forpligtelser.
    5. Økonomisk ansvar
      1. Personer, der holdes ansvarlige for tabet eller skaden, skal refundere HCCC for reparations- eller udskiftningsomkostningerne for den bærbare teknologienhed. Reparations- eller udskiftningsomkostningerne for medarbejdernes udstyr kan komme fra kontorets/skolens budget.
      2. Betalingsordninger kan indgås med Kontoret for Regnskab, og manglende opfyldelse af økonomiske forpligtelser kan resultere i yderligere konsekvenser, herunder tilbageholdelser af akademiske optegnelser eller andre disciplinære handlinger.
  4. UNDTAGELSER
    Sager, der involverer tab eller skade på grund af tyveri eller andre kriminelle aktiviteter, vil blive behandlet efter lokale retshåndhævelsesprocedurer.
  5. KOMMUNIKATION
    Denne politik vil blive kommunikeret til alle personer, der modtager bærbare teknologienheder, gennem distribution af skriftligt materiale, medtagelse i medarbejder-/elevhåndbøger og elektroniske kommunikationskanaler.

Godkendt af kabinettet marts 2024
Tilknyttet politik: ITS

 

Procedure for leverandørrisikostyringsplan

Introduktion

Thans Vendor Risk Management Plan har til formål at etablere en ramme for effektiv styring og afbødning af risici forbundet med tredjepartsleverandører på Hudson County Community College. Proceduren skitserer processerne og procedurerne for leverandørevaluering, udvælgelse og løbende overvågning for at sikre leverandørrelationers sikkerhed, overholdelse og pålidelighed. Proceduren fokuserer primært på at indsamle og gennemgå oplysninger om leverandørens egnethed og sikkerhed og vurdere vilkår og betingelser og kontraktsprog under indledende kontraktunderskrivelse og -fornyelse.

  1. Proces for leverandørvalg
    1. Leverandøridentifikation: Identificer potentielle leverandører baseret på kollegiets krav og behov.
    2. Indledende leverandørevaluering: Evaluer potentielle leverandører ved at bruge følgende kriterier:
      1. Kvalifikationer og ekspertise
      2. Omdømme og referencer
      3. Finansiel stabilitet
      4. Sikkerheds- og overholdelsesstandarder
      5. Service niveau aftaler
    3. Anmodning om forslag (RFP): Forbered og udsend en RFP, hvis det er nødvendigt, til udvalgte leverandører, der beskriver kollegiets forventninger, krav og evalueringskriterier.
    4. Leverandørevaluering: Evaluer leverandørforslag baseret på foruddefinerede kriterier og foretag eventuelle nødvendige interviews eller præsentationer.
    5. Leverandørvalg: Vælg leverandøren/leverandørerne baseret på evalueringsresultater under hensyntagen til faktorer som omkostninger, muligheder og risikoprofil.
  1. Higher Education Community Vendor Assessment Toolkit (HECVAT) Indsamling og gennemgang
    1. Krav til HECVAT-formular: Alle potentielle leverandører skal indsende deres udfyldte HECVAT; SOC 2-revisionsresultater kan erstatte en HECVAT.
    2. Indledende gennemgang: Gennemgå HECVAT for at vurdere leverandørernes sikkerhedspraksis, databeskyttelsesforanstaltninger og overholdelse af relevante regler.
    3. Risikovurdering: Udfør en risikovurdering baseret på oplysningerne i HECVAT for at identificere potentielle risici forbundet med leverandørforholdet.
    4. Afværgeforanstaltninger: Udvikle afværgeforanstaltninger for at imødegå identificerede risici, såsom at anmode om yderligere oplysninger, udføre sikkerhedsrevisioner eller etablere kontraktlige forpligtelser for sikkerhed og privatliv.
  2. Gennemgang af vilkår og betingelser
    1. Kontraktgennemgang: Gennemgå vilkårene og betingelserne for den foreslåede leverandørkontrakt, med fokus på områder relateret til databeskyttelse, sikkerhed, overholdelse og intellektuel ejendom.
    2. Juridisk gennemgang: Engager juridisk rådgiver, hvis det er nødvendigt, for at sikre, at kontraktsproget i tilstrækkelig grad beskytter kollegiets interesser og er i overensstemmelse med gældende love og regler.
    3. Forhandling og ændring: Samarbejd med leverandøren for at forhandle og ændre kontraktsproget for at løse eventuelle identificerede problemer eller huller.
    4. Godkendelse og underskrift: Indhent nødvendige godkendelser til kontrakten og underskriv aftalen, når alle parter er tilfredse med vilkårene og betingelserne.
  3. Løbende leverandørstyring
    1. Regelmæssig overvågning: Overvåg løbende leverandørens ydeevne, sikkerhedspraksis og overholdelse i hele kontraktens varighed.
    2. Gennemgang af kontraktfornyelse: Kontraktfornyelser er betinget af Community Colleges kontraktlovgivning. Foretag en grundig gennemgang af leverandørforhold, herunder reevaluering af ny HECVAT, vilkår og betingelser og kontraktsprog, under kontraktfornyelsesprocessen.
    3. Evaluering af leverandørens ydeevne: Vurder jævnligt leverandørens ydeevne i forhold til etablerede serviceniveauaftaler og forventninger.
    4. Incident Response: Følg Incident Response-proceduren for at løse eventuelle sikkerhedsbrud eller datahændelser, der involverer leverandører omgående.
    5. Leverandør Offboarding: Udvikl en proces for at sikre korrekt offboarding af leverandører, herunder returnering af følsomme oplysninger og afbrydelse af systemadgang.
  4. Dokumentation og rapportering
    1. Dokumentation
      1. Kontraktlager: Alle leverandørkontrakter, inklusive deres vilkår og betingelser, ændringer og relaterede dokumenter, bør gemmes i kollegiets kontraktstyringssystem. Sørg for, at kontraktlageret er organiseret, let tilgængeligt og regelmæssigt opdateret.
      2. Udfyldt HECVAT- og sikkerhedsdokumentation: Oprethold en fortegnelse over alle HECVAT'er og sikkerhedsrevisioner modtaget fra leverandører, inklusive eventuel understøttende dokumentation eller afklaringer fra leverandørerne.
      3. Risikovurderinger: Dokumenter resultaterne af risikovurderinger udført baseret på HECVAT og eventuelle yderligere vurderinger eller audits udført.
      4. Hændelsesrapporter: Før en fortegnelse over eventuelle sikkerhedshændelser eller brud, der involverer leverandører, sammen med de tilsvarende hændelseshandlinger, der er truffet.
    2. Rapportering
      1. Executive Reporting: Give regelmæssige rapporter til den administrerende ledelse, herunder Chief Information Officer (CIO) og kabinet, der opsummerer leverandørens risikolandskab, afhjælpningsindsats og bemærkelsesværdige hændelser eller bekymringer.
      2. Kontraktfornyelsesrapport: Forbered en omfattende rapport, der fremhæver resultaterne fra kontraktfornyelsesgennemgangen, inklusive eventuelle anbefalede ændringer eller forbedringer af leverandørforhold.
      3. Overholdelsesrapportering: Generer periodiske rapporter om leverandørers overholdelse af gældende regler, kontraktlige forpligtelser og aftalte sikkerhedsstandarder.
    3. Opbevaring af rekord
      1. Opbevaringsperiode: Dokumentation til risikovurdering af leverandører vil følge tidsplaner for registrering af opbevaring af leverandørrelateret dokumentation, hvilket sikrer overholdelse af lovmæssige, regulatoriske og interne krav.
      2. Databeskyttelse og databeskyttelse: Overhold gældende regler for databeskyttelse og databeskyttelse, når du opbevarer og håndterer leverandørrelaterede dokumenter, og sørg for, at der er passende sikkerhedsforanstaltninger på plads.

Godkendt af kabinettet: maj 2023
Relateret bestyrelsespolitik: Informationsteknologitjenester

Vend tilbage til Policies and Procedures