Informationssikkerhedsplan Procedure

 

Introduktion

Formålet med udviklingen og implementeringen af ​​denne omfattende skriftlige informationssikkerhedsplanprocedure ("Plan") er at skabe effektive administrative, tekniske og fysiske sikkerhedsforanstaltninger til beskyttelse af "personlige oplysninger" om potentielle studerende, ansøgere, studerende, ansatte, alumner , og venner af Hudson County Community College, og for at overholde vores forpligtelser i henhold til New Jersey-regulativ 201 CMR 17.00. Planen angiver vores procedurer for evaluering af vores elektroniske og fysiske metoder til at få adgang til, indsamle, opbevare, bruge, transmittere og beskytte "personlige oplysninger" om kollegiets bestanddele.

I denne plan defineres "personoplysninger" som en persons fornavn og efternavn, eller fornavn og efternavn, i kombination med et eller flere af følgende dataelementer, der vedrører en sådan beboer: (a) Socialt Sikkerheds nummer; (b) kørekortnummer eller statsudstedt id-kortnummer; eller (c) finansielt kontonummer eller kredit- eller debetkortnummer, med eller uden nogen påkrævet sikkerhedskode, adgangskode, personligt identifikationsnummer eller adgangskode, der ville tillade adgang til en beboers finansielle konto, hvor Hudson County Community College er depotholder af disse data ; dog forudsat, at "personlige oplysninger" ikke omfatter oplysninger, der lovligt er indhentet fra offentligt tilgængelige oplysninger eller fra føderale, statslige eller lokale myndigheders optegnelser, der lovligt er gjort tilgængelige for offentligheden.

Formål

Formålet med denne plan er at:

    1. Sikre sikkerheden og fortroligheden af ​​personlige oplysninger;
    2. Beskyt mod eventuelle potentielle trusler eller farer for sikkerheden eller integriteten af ​​personlige oplysninger; og,
    3. Beskyt mod uautoriseret adgang til eller brug af personlige oplysninger på en måde, der skaber en væsentlig risiko for identitetstyveri eller svindel.

Anvendelsesområde

Ved formulering og implementering af planen vil institutionen: (1) identificere rimeligt forudsigelige interne og eksterne risici for sikkerheden, fortroligheden og integriteten af ​​enhver elektronisk, papir- eller anden registrering, der indeholder personlige oplysninger; (2) vurdere sandsynligheden for og den potentielle skade af disse trusler under hensyntagen til følsomheden af ​​de personlige oplysninger; (3) evaluere tilstrækkeligheden af ​​eksisterende politikker, praksis, procedurer, informationssystemer og andre sikkerhedsforanstaltninger på plads til at kontrollere risici; (4) designe og implementere en plan, der sætter sikkerhedsforanstaltninger på plads for at minimere disse risici, i overensstemmelse med kravene i 201 CMR 17.00; og (5) regelmæssigt overvåge planen.

Datasikkerhedskoordinator

HCCC har udpeget Chief Information Officer (CIO) og Vice President for Business and Finance/CFO til at implementere, overvåge og vedligeholde planen. CIO og Vice President for Business and Finance/CFO vil være ansvarlig for:

    1. Indledende implementering af planen;
    2. Overvågning af løbende medarbejderuddannelse om elementerne og kravene i Planen for alle ejere, ledere, medarbejdere og uafhængige kontrahenter, der har adgang til personlige oplysninger;
    3. Overvågning af planens sikkerhedsforanstaltninger;
    4. Vurdering af tredjepartstjenesteudbydere, der har adgang til og hoster/transmitterer/backuper/vedligeholder personlige oplysninger, og kræver, at disse tjenesteudbydere ved kontrakt implementerer og vedligeholder sådanne passende sikkerhedsforanstaltninger for at beskytte personlige oplysninger;
    5. Gennemgang af omfanget af sikkerhedsforanstaltningerne i planen årligt, eller når der er en væsentlig ændring i HCCC's forretningspraksis, der kan implicere sikkerheden eller integriteten af ​​optegnelser, der indeholder personlige oplysninger; og,
    6. Gennemgang af lovgivning og love og opdatering af politikker og procedurer efter behov.

Interne risici

For at bekæmpe interne risici for sikkerheden, fortroligheden og integriteten af ​​elektroniske, papir- eller andre optegnelser, der indeholder personlige oplysninger, og for at evaluere og om nødvendigt forbedre effektiviteten af ​​de nuværende sikkerhedsforanstaltninger for at begrænse sådanne risici, skal følgende foranstaltninger er obligatoriske og træder i kraft straks: 

Administrative foranstaltninger

      1. En kopi af planen skal distribueres til præsidenten, præsidentens kabinet, informationsteknologitjenester (ITS) personale og andre udpegede medarbejdere, der håndterer personlige oplysninger. Efter modtagelse af planen skal hver enkelt skriftligt bekræfte, at de har modtaget en kopi af planen.
      2. Efter uddannelse skal alt personale underskrive fortrolighedsaftaler, der beskriver håndteringen af ​​personoplysninger. Fortrolighedsaftalerne vil kræve, at personalemedlemmer rapporterer enhver mistænkelig eller uautoriseret brug af "personlige oplysninger" til CIO'en eller Vice President for Human Resources.
      3. Mængden af ​​indsamlede personlige oplysninger skal begrænses til, hvad der med rimelighed er nødvendigt for at opnå legitime forretningsformål. Brug af personoplysninger behandles gennem revisioner på forskellige områder.
      4. Alle datasikkerhedsforanstaltninger skal gennemgås mindst årligt, eller når der er en væsentlig ændring i HCCC's forretningspraksis eller lovændring, som med rimelighed kan implicere sikkerheden eller integriteten af ​​registre, der indeholder personlige oplysninger. CIO'en og Vice President for Business and Finance/CFO skal være ansvarlig for denne gennemgang og skal fuldt ud informere afdelingsledere om resultaterne af denne gennemgang og eventuelle anbefalinger til forbedret sikkerhed, der udspringer af denne gennemgang.
      5. Når der er en hændelse, der kræver anmeldelse i henhold til NJ Stat. § 56:8-163, New Jerseys lov om indberetning af databrud på personoplysninger, skal der være en umiddelbar obligatorisk gennemgang efter hændelsen af ​​hændelser og eventuelle handlinger, der er truffet for at afgøre, om der er behov for ændringer i HCCC's sikkerhedspraksis for at forbedre sikkerheden af ​​personlige oplysninger under planen.
      6. Hver afdeling skal udvikle regler (under hensyntagen til den pågældende afdelings forretningsbehov), som sikrer, at rimelige begrænsninger for fysisk adgang til personlige oplysninger er på plads, herunder en skriftlig procedure, der angiver, hvordan registreringens fysiske adgang begrænses. Hver afdeling skal opbevare sådanne optegnelser og data i aflåste faciliteter, sikre opbevaringsområder eller aflåste skabe.
      7. Med undtagelse af systemadministrationskonti skal adgangen til elektronisk lagrede personoplysninger være elektronisk begrænset til de medarbejdere, der har et unikt login-id, med passende adgang. Der gives ikke adgang til medarbejdere, som CIO'en vurderer, ikke har behov for adgang til elektronisk lagrede personoplysninger.
      8. Når en fortrolighedsaftale ikke er på plads, skal besøgendes eller entreprenørens adgang til følsomme data, herunder, men ikke begrænset til, adgangskoder, krypteringsnøgler og tekniske specifikationer, når det er nødvendigt, godkendes skriftligt. Adgangen skal være begrænset til det nødvendige minimum. Hvis fjernlogin er nødvendig for adgang, skal denne adgang også godkendes gennem HCCC's ITS-afdeling.

Fysiske foranstaltninger

      1. Adgang til registre, der indeholder personlige oplysninger, skal være begrænset til dem, der med rimelighed er forpligtet til at kende sådanne oplysninger for at opnå HCCC's legitime forretningsformål. For at afbøde unødvendig afsløring vil følsomme og personlige oplysninger blive redigeret, papirregistreringer vil blive opbevaret i aflåste faciliteter, og datasikkerhedskontrol for elektroniske optegnelser vil blive implementeret.
      2. Ved arbejdsdagens afslutning skal alle ikke-elektroniske filer og andre optegnelser indeholdende personoplysninger opbevares i aflåste lokaler, kontorer eller skabe.
      3. Papirjournaler, der indeholder personlige oplysninger, skal bortskaffes på en måde, der er i overensstemmelse med NJ Stat. § 56:8-163, New Jerseys lov om indberetning af brud på personoplysninger. Det betyder, at optegnelser skal bortskaffes ved hjælp af en tværgående makuleringsmaskine eller andre metoder, der gør oplysningerne ulæselige.

Tekniske foranstaltninger

      1. HCCC tillader ikke medarbejdere at gemme personlige oplysninger på bærbare medier. Dette omfatter bærbare computere, USB, cd'er osv. Når medarbejdere, der har adgang til personlige oplysninger, opsiges, skal HCCC afslutte deres adgang til netværksressourcer og fysiske enheder, der indeholder personlige oplysninger. Dette omfatter opsigelse eller afgivelse af netværkskonti, databasekonti, nøgler, badges, telefoner og bærbare eller stationære computere.
      2. Medarbejdere er forpligtet til at ændre deres adgangskoder rutinemæssigt for systemer, der indeholder personlige oplysninger.
      3. Adgang til personlige oplysninger skal være begrænset til aktive brugere og kun aktive brugerkonti.
      4. Hvor det er teknisk muligt, vil alle HCCC-vedligeholdte systemer, der gemmer personlige oplysninger, anvende automatiske låsefunktioner, der låser adgangen efter flere mislykkede loginforsøg.
      5. Elektroniske optegnelser (herunder optegnelser gemt på harddiske og andre elektroniske medier) indeholdende personoplysninger skal bortskaffes i overensstemmelse med og måde, der er i overensstemmelse med NJ Stat. § 56:8-163, New Jerseys lov om indberetning af brud på personoplysninger. Dette kræver, at oplysninger destrueres eller slettes, så personoplysninger ikke praktisk kan læses eller rekonstrueres.

Eksterne risici

      1. For at bekæmpe eksterne risici for sikkerheden, fortroligheden og integriteten af ​​elektroniske, papir- eller andre optegnelser, der indeholder personlige oplysninger, og for at evaluere eller om nødvendigt forbedre effektiviteten af ​​de nuværende sikkerhedsforanstaltninger for at begrænse sådanne risici, er følgende foranstaltninger obligatoriske og med øjeblikkelig virkning:

a.) Der er rimelig opdateret firewallbeskyttelse og sikkerhedsrettelser til operativsystemer, der er rimeligt designet til at opretholde integriteten af ​​personlige oplysninger installeret på systemer med personlige oplysninger.

b.) Der er rimeligt opdaterede versioner af systemsikkerhedsagentsoftware, der inkluderer malwarebeskyttelse og rimeligt opdaterede patches og virusdefinitioner installeret på systemer, der behandler personlige oplysninger.

c.)Når de opbevares på HCCC's netværksshares, skal filer, der indeholder personlige oplysninger, krypteres. HCCC tillader ikke, at personlige oplysninger gemmes på bærbare computere, pc'er, USB-enheder eller andre bærbare medier. HCCC vil implementere krypteringssoftware for at overholde dette mål.

d.) Alle personlige oplysninger, der overføres elektronisk til tredjepartsleverandører, skal sendes via leverandørens krypterede tjeneste eller gennem HCCC's udpegede krypterede tjeneste for sikker transmission. 

e.) Alle nye tjenesteudbydere, der opbevarer HCCC's personlige oplysninger i elektronisk form, skal på passende vis demonstrere sikkerhedsforanstaltninger gennem EDUCAUSE HECVAT eller lignende instrument. Disse leverandører skal også godkendes af HCCC's Vice President for Finance and Business/CFO.

f.) Personale i Human Resources og Information Technology Services skal følge de procedurer, der er skitseret i HCCC Proceduren for acceptabel brug for informationsteknologisystemer i forbindelse med oprettelse, overførsel eller afslutning af konti, sammen med politikker for adgangskodelagring og rollebaseret sikkerhed.

g.) Alle personlige oplysninger vil blive bortskaffet efter HCCC Policies and Procedures.

h.) Som ressourcer og budget tillader det, vil HCCC implementere teknologi, der vil gøre det muligt for kollegiet at overvåge databaser for uautoriseret brug af eller adgang til personlige oplysninger og anvende sikre autentificeringsprotokoller og adgangskontrolforanstaltninger i henhold til HCCC's procedurer.

Godkendt af kabinettet: juli 2021
Relateret bestyrelsespolitik: ITS

Vend tilbage til Policies and Procedures