Inligtingstegnologiedienstebeleid

 

DOEL

Hierdie beleid verskaf die verwagtinge en riglyne van Hudson County Community College (“College”) aan almal wat die Kollege se Inligtingstegnologiedienste en Hulpbronne (“ITS Resources”) gebruik en bestuur.

Die Kollege verskaf ITS-hulpbronne om die Kollege se opvoedkundige, diens-, besigheids- en studentesuksesdoelwitte te bevorder. Enige toegang tot of gebruik van die Kollege se ITS Hulpbronne wat inmeng, onderbreek of bots met hierdie doeleindes sal as 'n oortreding van hierdie beleid beskou word. Dit sal onderhewig wees aan gevolge, insluitend herroeping van ITS-toegang.

BELEID

Hierdie beleid is van toepassing op alle lede van die Kollege-gemeenskap, insluitend fakulteit, studente, administrateurs, personeel, alumni, gemagtigde gaste en onafhanklike kontrakteurs wat die Kollege se ITS-hulpbronne plaaslik of op afstand gebruik, toegang verkry of andersins in diens neem, hetsy individueel beheer, gedeel, selfstandig of genetwerk.

Die Raad delegeer die verantwoordelikheid aan die President om prosedures en riglyne vir die implementering van hierdie beleid te ontwikkel. Die Kantoor vir Inligtingstegnologiedienste en Finansies sal verantwoordelik wees vir die implementering van die beleid.

Goedgekeur: Junie 2021
Goedgekeur deur: Raad van Trustees
Kategorie: Inligtingstegnologiedienste
Geskeduleer vir hersiening: Junie 2024
Verantwoordelike Kantoor(e): Kantoor vir Inligtingstegnologiedienste en Finansies

 

Prosedures

Aanvaarbare gebruik vir inligtingstegnologiestelselsprosedure

Inleiding

Hierdie prosedure het ten doel om te verseker dat die Kollege se Inligtingstegnologiestelsels (ITS) gebruik word om die Kollege se missie te bevorder. Hierdie prosedure voldoen aan die HCCC Inligtingstegnologiedienstebeleid wat deur die HCCC Raad van Trustees goedgekeur is.

toepaslikheid

Hierdie prosedure is van toepassing op alle individuele gebruikers wat toegang tot en gebruik van rekenaar-, netwerk- en inligtingsbronne deur enige Kollege-fasiliteit. Hierdie gebruikers sluit alle Hudson County Community College-personeel, fakulteite, administrateurs en ander persone in wat gehuur of behou is om Kollege-werk te verrig.

Hierdie prosedure dek al die Kollege se Inligtingstegnologiestelsels, insluitend rekenaar-, netwerk- en ander inligtingstegnologiehulpbronne wat besit of bedryf word deur, verkry deur of gekontrakteer deur die Kollege. Sulke hulpbronne sluit in die Kollege se rekenaar- en netwerkstelsels (insluitend dié wat aan die Kollege se telekommunikasie-infrastruktuur, die Kollege-wye ruggrate, plaaslike areanetwerke en die internet gekoppel is), publieke toegangswebwerwe, gedeelde rekenaarstelsels, rekenaars, mobiele toestelle, ander rekenaarhardeware, sagteware, databasisse wat op of toeganklik is deur die netwerk, ITS/Ondernemingstoepassingsfasiliteite en kommunikasiestelsels en -dienste.

Aanspreeklikheid

Die Hoofinligtingsbeampte (CIO) en Direkteure/Bestuurders van ITS/Ondernemingsaansoeke sal hierdie prosedure implementeer. Gebruikerverslae van vermoedelike mishandeling en ander klagtes sal aan die CIO gerig word. Die CIO sal die voorval aan die visepresident vir besigheid en finansies/ finansiële hoof rapporteer. Besonderhede van die prosedure word hieronder uiteengesit onder "Nie-nakoming en sanksies."

privaatheid

Die Kollege plaas 'n hoë waarde aan privaatheid en erken die kritieke belang daarvan in 'n akademiese omgewing. In beperkte omstandighede, insluitend maar nie beperk nie tot tegniese kwessies of mislukkings, wetstoepassingsversoeke of regeringsregulasies, kan die Kollege bepaal dat ander belange swaarder weeg as die waarde van 'n gebruiker se privaatheidverwagting. Eers dan sal die Kollege toegang tot relevante IT-stelsels verkry sonder die toestemming van die gebruiker. Die Kollege is daartoe verbind om gebruikersprivaatheid te beskerm solank dit nie institusionele hulpbronne in die gedrang bring nie. Omstandighede waaronder die Kollege dalk toegang moet kry, word hieronder bespreek. Proseduele voorsorgmaatreëls is ingestel om te verseker dat toegang slegs verkry word wanneer toepaslik.

voorwaardes – In ooreenstemming met staats- en federale wetgewing kan die Kollege toegang tot alle aspekte van IT-stelsels kry, sonder die toestemming van die gebruiker, in die volgende omstandighede:

      1. Wanneer nodig om stelsels of sekuriteitskwesbaarhede en probleme te identifiseer of te diagnoseer, of andersins die integriteit van die Kollege se IT-stelsels te bewaar;
      2. Wanneer dit deur federale, staats- of plaaslike wetgewing of administratiewe reëls vereis word; 
      3. Wanneer daar redelike gronde is om te glo dat 'n oortreding van die wet of 'n beduidende oortreding van Kollege se beleid of prosedure moontlik plaasgevind het, en toegang en inspeksie of monitering kan bewyse lewer wat verband hou met die wangedrag;
      4. Wanneer sodanige toegang tot IT/Ondernemingstoepassingstelsels vereis word om noodsaaklike besigheidsfunksies van die Kollege uit te voer; en,
      5. Wanneer dit vereis word om openbare gesondheid en veiligheid te bewaar.

Kragtens die New Jersey Wet op Openbare Rekords behou die Kollege die reg voor om toegang tot data te verkry en dit bekend te maak. Hierdie openbaarmaking kan boodskappe, data, lêers en e-posrugsteun of argiewe insluit. Bekendmaking aan wetstoepassingsowerhede en ander sal gemaak word soos deur die wet vereis word, om op regsprosesse te reageer en om sy verpligtinge teenoor derde partye na te kom. Selfs uitgevee e-pos is onderhewig aan wetlike ontdekking tydens litigasie deur boodskapargiewe, rugsteunbande en die verwydering van boodskappe.

proses – Die Kollege sal toegang tot data verkry sonder die toestemming van die gebruiker slegs met die goedkeuring van die CIO en die Visepresident vir Besigheid en Finansies/CFO. Hierdie proses sal slegs omseil word wanneer toegang tot nooddata nodig is om fasiliteite se integriteit te bewaar en openbare gesondheid en veiligheid te bewaar. Die Kollege, deur die CIO, sal alle gevalle van toegang aanteken sonder toestemming. 'n Gebruiker sal in kennis gestel word van Kollege-toegang tot relevante IT-stelsels sonder toestemming. Na gelang van die omstandighede sal sodanige kennisgewing voor, tydens of na die toegang geskied volgens die Kollege se diskresie.

Algemene beginsels

  1. Toegang tot inligtingstegnologie is noodsaaklik vir die Kollege se missie om sy studente van die hoogste gehalte opvoedkundige dienste te voorsien.
  2. Die Kollege besit sy rekenaar-, netwerk- en ander kommunikasiestelsels.
  3. Die Kollege het ook verskeie lisensie-verwante regte op die sagteware en inligting wat op hierdie rekenaars en netwerke woon of ontwikkel word. Die Kollege het die verantwoordelikheid vir die sekuriteit, integriteit, instandhouding en vertroulikheid van sy kommunikasiestelsels.
  4. Die Kollege se IT-stelsels bestaan ​​om personeel, fakulteite, administrateurs, konsultante en studente te ondersteun terwyl hulle die missie van die Kollege uitvoer. Vir hierdie doeleindes moedig en bevorder die Kollege die gebruik van hierdie hulpbronne deur die Kollege-gemeenskap vir hul beoogde doeleindes. Toegang tot en gebruik van hierdie hulpbronne buite die Kollege se missie is onderhewig aan regulering en beperking om te verseker dat dit nie met wettige werk inmeng nie. Toegang en gebruik van hulpbronne en dienste wat inmeng met die Kollege se missie en doelwitte word verbied.
  5. Wanneer die vraag na inligtingstegnologiehulpbronne beskikbare kapasiteit oorskry, stel ITS prioriteite vir die toewysing van die hulpbronne. ITS gee 'n hoër prioriteit aan aktiwiteite wat noodsaaklik is vir die missie van die Kollege. In samewerking met die Hoofinligtingsbeampte, sal die Visepresidente hierdie prioriteite by die President aanbeveel.
  6. Die Kollege het die gesag om enige iemand wat hierdie prosedure oortree, te beheer of toegang te weier. Om ander gebruikers se regte, die beskikbaarheid en integriteit van die stelsels en inligting te bedreig is 'n skending van hierdie prosedure. Gevolge van prosedure-oortreding sluit in die deaktivering van rekeninge, toegangskodes of sekuriteitsklarings, die stop van prosesse, die uitvee van geaffekteerde lêers en die deaktivering van toegang tot inligtingstegnologie-hulpbronne.

Gebruikersregte

  1. Privaatheid en vertroulikheid: Soos meer volledig beskryf in afdeling IV (hierbo), sal die Kollege oor die algemeen gebruikers se regte op privaatheid en vertroulikheid respekteer. Deur hul tegnologiese aard, mag elektroniese kommunikasie, veral e-pos wat aan die internet gekoppel is, dalk nie veilig wees teen ongemagtigde toegang, besigtiging of oortreding nie. Alhoewel die Kollege tegnologieë gebruik om elektroniese boodskappe te beveilig, kan die vertroulikheid van e-pos en ander elektroniese dokumente nie altyd verseker word nie. Daarom vereis goeie oordeel die vervaardiging van elektroniese dokumente wat sonder verleentheid of skade openbaar kan word.
  2. Veiligheid: Die gebruik deur Kollege se fakulteite, personeel of administrateurs van die Kollege se IT-stelsels om dreigende, teisterende of aanstootlike kommunikasie (of die vertoon van aanstootlike beelde of materiaal) oor te dra, is 'n oortreding van die Kollege-prosedure en kan die oortreder aan ernstige sanksies onderwerp. . Kollegepersoneel moet dreigende, teisterende of aanstootlike kommunikasie wat oor die netwerk ontvang word so gou as moontlik aan die CIO rapporteer.

Gebruikers se verantwoordelikhede

  1. Individue met toegang tot die Kollege se rekenaar-, netwerk- en inligtingsbronne is daarvoor verantwoordelik om dit professioneel, eties en wettig te gebruik en konsekwent met alle toepaslike Kollege-beleide. Gebruikers moet redelike en nodige maatreëls tref om die bedryfsintegriteit en toeganklikheid van die Kollege se stelsels te beskerm. Gebruikers moet 'n akademiese en werksomgewing handhaaf wat bevorderlik is vir die doeltreffende en produktiewe uitvoering van die Kollege se missie. Spesifiek, die verantwoordelikhede van gebruikers sluit in:
      1. Respekteer die regte van ander, insluitend hul regte op intellektuele eiendom, privaatheid en vryheid van teistering;
      2. Beskerming van die vertroulikheid van sensitiewe Kollege-inligting en die privaatheid van studente-inligting volgens FERPA en Kollege se beleid en prosedures;
      3. Die gebruik van stelsels en hulpbronne om nie die Kollege se normale daaglikse bedrywighede te belemmer of te ontwrig nie;
      4. Beskerming van die sekuriteit en die integriteit van inligting wat op Kollege IT/Ondernemingstoepassingstelsels gestoor word;
      5. Kennis en gehoorsaamheid aan Kollege- en eenheidspesifieke beleide en prosedures wat toegang tot, en gebruik van, Kollege IT-stelsels en inligting oor daardie stelsels beheer.

Spesifieke voorskrifte op netwerkgebruik

  1. Individue mag nie wagwoorde of aanmeld-ID's deel of andersins toegang gee tot enige stelsel waarvoor hulle nie die individu verantwoordelik is vir die data of stelsel nie. Gebruikers is verantwoordelik vir enige aktiwiteit wat met hul rekenaarrekeninge en hul wagwoordsekuriteit uitgevoer word. Slegs gemagtigde persone mag die Kollege se IT/Ondernemingstoepassingstelsels gebruik.
  2. Individue mag nie 'n ander persoon se netwerkrekening gebruik of probeer om wagwoorde of toegangskodes na 'n ander se netwerkrekening te verkry om boodskappe te stuur of te ontvang nie.
  3. Individue moet hulself en hul affiliasie akkuraat en toepaslik in elektroniese kommunikasie identifiseer. Hulle mag nie die identiteit van die netwerkrekening wat aan hulle toegeken is, verbloem of hulself as iemand anders voorstel nie.
  4. Individue mag nie die Kollege se stelsels gebruik om ander te teister, te intimideer, te dreig of te beledig nie; om met 'n ander se werk of opvoeding in te meng; om 'n intimiderende, vyandige of aanstootlike werk- of leeromgewing te skep; of om onwettige of onetiese aktiwiteite uit te voer, insluitend plagiaat en skending van privaatheid.
  5. Individue mag nie die Kollege se stelsels gebruik om ongemagtigde toegang tot afgeleë netwerke of rekenaarstelsels te verkry of te probeer verkry nie.
  6. Individue mag nie doelbewus die normale bedrywighede van die Kollege se rekenaars, werkstasies, terminale, randapparatuur of netwerke ontwrig nie.
  7. Individue mag nie programme op enige Kollege-rekenaarstelsel laat loop of installeer wat die Kollege se data en stelsels (bv. rekenaarvirusse, persoonlike programme) kan beskadig nie. Gebruikers mag nie die Kollege se netwerk gebruik om eksterne stelsels te ontwrig nie. As 'n gebruiker vermoed dat 'n program wat hulle van plan is om te installeer of te gebruik so 'n effek kan veroorsaak, moet hulle eers met ITS/Enterprise Applications konsulteer.
  8. Individue mag nie die gebruik van stawingstelsels, databeskermingsmeganismes of ander sekuriteitsmaatreëls omseil of vermy nie.
  9. Individue mag geen toepaslike kopieregwette en lisensies oortree nie, en hulle moet ander intellektuele eiendomsregte respekteer. Inligting en sagteware wat op die internet toeganklik is, is onderhewig aan kopiereg of bykomende intellektuele eiendomsregbeskerming. Kollege se beleid, prosedures en die wet verbied die ongemagtigde kopiëring van sagteware wat nie in die publieke domein geplaas en as "vryware" versprei is nie. Daarom moet niks van die internet afgelaai of gekopieer word sonder uitdruklike toestemming van die eienaar van die materiaal nie. Gebruikers moet die materiaaleienaar se vereistes of beperkings op die materiaal nakom. Die gebruik van sagteware op meer as die gelisensieerde aantal rekenaars en ongemagtigde installering van ongelisensieerde sagteware word ook verbied.
    "Shareware"-gebruikers moet voldoen aan die vereistes van die deelware-ooreenkoms.
  10. Aktiwiteite wat rekenaarhulpbronne mors of onregverdig monopoliseer en nie die Kollege se missie bevorder nie, word verbied. Voorbeelde van sulke aktiwiteite sluit in ongemagtigde massa-e-posse; elektroniese kettingbriewe, gemorspos en ander soorte uitsaaiboodskappe; onnodige veelvuldige prosesse, uitvoer of verkeer; oorskry netwerkgidsspasiebeperkings; speletjies speel, op die internet "surf" vir ontspanningsdoeleindes, of ander nie-werkverwante toepassings gedurende besigheidsure; en oormatige drukwerk.
  11. Lees, kopieer, verander of verwyder programme of lêers wat aan 'n ander persoon of die Kollege behoort sonder toestemming is verbode.
  12. Individue mag nie die Kollege se rekenaarhulpbronne vir kommersiële doeleindes of persoonlike finansiële gewin gebruik nie.
  13. Gebruik van die Kollege se IT-stelsels wat plaaslike, staats- of nasionale wette of regulasies of Kollege se beleide, gedragstandaarde of riglyne oortree, word verbied.
  14. E-pos kommunikasie:
      1. Die Kollege se e-posstelsel bestaan ​​om die Kollege se werk te ondersteun, en e-posgebruik moet verband hou met Kollege se besigheid. Toevallige persoonlike, niekommersiële gebruik sonder direkte koste vir die Kollege wat nie met wettige Kollege-besigheid inmeng nie, word egter ook toegelaat.
      2. Elektroniese kommunikasie waarvan die betekenis, oordrag of verspreiding onwettig, oneties, bedrieglik, lasterlik, teisterend of onverantwoordelik is, word verbied. Kollege-e-posstelsels moet nie gebruik word om inhoud te kommunikeer wat as onvanpas, aanstootlik of oneerbiedig teenoor ander beskou kan word nie.
      3. Individue moet toepaslike professionele standaarde van beskaafdheid en ordentlikheid in alle elektroniese kommunikasie nakom.
      4. Alle e-poskorrespondensie met betrekking tot Kollegebesigheid (insluitend dié wat aan studente en voornemende studente gestuur word) moet met 'n gewone wit agtergrond gestuur word en moet geen dekoratiewe skryfbehoeftes gebruik nie.
      5. Uitsaai-e-posse aan die Kollege-gemeenskap sal verband hou met Kollege se beleid en prosedures, Kollege-nuus, 'n Kollege-geborgde geleentheid, of items wat die Kollege-gemeenskap raak. Items te koop, skenkingsversoeke en ander nie-kollege besigheidsake word verbied. Individue mag nie e-posse stuur wat hierdie tipe inligting via die Kollege se poslyste versoek nie.

World Wide Web

  1. Die Hudson County Community College webwerf is 'n amptelike publikasie van die Kollege. Alle inligting op die webblaaie moet akkuraat wees en die amptelike Kollege-beleid en -prosedures weerspieël.
  2. Amptelike Kollege-webbladsye voldoen aan dieselfde standaarde as enige Kollege-gedrukte publikasie. Die CIO, Direkteur van Bemarking en Kollegeverhoudinge, Webdienstebestuurder en die pertinente vise-president of hul aangewese persoon sal die uiteindelike verantwoordelikheid vir elke bladsy se inhoud en ontwerp hê.
  3. Die Webdienstebestuurder en Kollege-personeel verantwoordelik vir elke afdeling of departement sal gereeld die geldeenheid en akkuraatheid van amptelike Hudson County Community College-webbladsye hersien. Individuele areas is verantwoordelik om hersienings en opdaterings, soos dit plaasvind, aan die Webdienstebestuurder te kommunikeer, wat dit sal hersien en reël vir hul plasing.

Nie-nakoming en sanksies

Nie-nakoming van hierdie prosedure kan lei tot weiering of verwydering van toegangsregte tot die Kollege se elektroniese stelsels, dissiplinêre optrede onder toepaslike Kollegebeleide en -prosedures, siviele aanspreeklikheid en litigasie, en kriminele vervolging onder toepaslike staats-, federale en plaaslike wette.

Die proses vir 'n ondersoek na vermoedelike misbruik en nie-nakoming van hierdie prosedure is soos volg:

    1. Rapporteer vermoedelike mishandeling aan die CIO.
    2. Indien daar instemming deur die Visepresident vir Besigheid en Finansies/CFO is, sal die CIO die verslag ondersoek.
    3. CIO sal enige ontdekte mishandeling aan die toepaslike afdelings vise-president rapporteer, wat toepaslike dissiplinêre stappe sal bepaal.

Prosedures vir netwerk-, e-pos- en internetrekeninge

In aanmerking kom vir rekeninge is die volgende:

    1. Alle voltydse personeel van Hudson County Community College.
    2. Alle adjunk-fakulteits- en ander konsultante wat deur die Kollege in diens geneem is deur middel van ooreenkomste, memorandums van verstandhouding of kontrak.
    3. Alle lede van die Raad van Trustees.
    4. Hudson County Community College deeltydse personeel wat 'n gedemonstreerde behoefte het aan rekenaarhulpbronne beskikbaar by ITS/Enterprise Applications (behalwe algemene internettoegang), wat verband hou met hul werk by die Kollege, kom in aanmerking vir tydelike rekeninge.
    5. Werknemers van geaffilieerde opvoedkundige instellings wat verhoudings met Hudson County Community College het, en 'n gedemonstreerde behoefte aan ITS/Enterprise Applications rekenaarhulpbronne (behalwe algemene internettoegang), kom in aanmerking vir tydelike rekeninge.
    6. Geaffilieerde organisasies met 'n akademiese missie wie se aktiwiteite met betrekking tot die Kollege verband hou met rekenaarhulpbronne wat die geaffilieerde nie redelikerwys op sy eie kan verskaf nie, kwalifiseer vir tydelike rekeninge.

ITS verwyder rekeninge wanneer:

    1.  Die rekeninghouer voldoen nie meer aan die geskiktheidsvereistes nie.
    2. Die rekening is tydelik, en die vervaldatum gaan verby sonder hernuwing.
    3. Die rekeninghouer het nie in 18 opeenvolgende maande toegang tot die rekening verkry nie.

Wagwoorde

    1. Rekeninge word geskep met 'n vooraf-toegewysde wagwoord wat rekeninghouers moet verander wanneer hulle vir die eerste keer aanmeld, en in ooreenstemming met Kollege-prosedures.
    2. Dit is streng verbode om wagwoorde te deel of bekend te maak.

Hudson County Community College E-posprosedure

Individue met toegang tot die Kollege se IT-stelsels is daarvoor verantwoordelik om dit professioneel, eties, wetlik te gebruik en toepaslike Kollege se beleide en prosedures te volg. Gebruikers moet 'n akademiese en werksomgewing handhaaf wat bevorderlik is vir die doeltreffende en produktiewe uitvoering van die Kollege se missie.

Elektroniese kommunikasie waarvan die betekenis, oordrag of verspreiding onwettig, oneties, bedrieglik, lasterlik, teisterend, onverantwoordelik is of Kollege se beleide of prosedures oortree, word verbied. Elektroniese kommunikasie moet niks bevat wat nie op 'n kennisgewingbord geplaas kan word nie, deur onbedoelde kykers gesien kan word of in 'n Kollege-publikasie verskyn nie. Materiaal wat as onvanpas, aanstootlik of oneerbiedig vir ander beskou kan word, moet nie gestuur of ontvang word as elektroniese kommunikasie met behulp van Kollege-fasiliteite nie. Die CIO sal toesig hou oor die toepassing van hierdie prosedure.

A. Aksies wat oorweeg word Oortredings van hierdie e-posprosedure is soos volg:

      1. Die stuur van ongemagtigde grootmaat-e-posboodskappe ("gemorspos" of "spam").
      2. Gebruik e-pos vir teistering, hetsy deur taal, frekwensie, inhoud of grootte van boodskappe.
      3. Aanstuur of andersins propageer van kettingbriewe en piramideskemas, ongeag of die ontvanger sulke posboodskappe wil ontvang of nie.
      4. Kwaadwillige e-posse, soos “posbombardemente” of om 'n gebruikerwerf met baie groot of talle stukke e-pos te oorstroom.
      5. Vervalsing van senderinligting anders as rekeningnaam@hccc.edu of 'n ander voorafgoedgekeurde kopadres.
      6. Stuur e-pos vir kommersiële doeleindes of persoonlike finansiële gewin.

Die Kollege het die reg om toegang tot rekeninge wat in stryd met hierdie prosedure gevind word, te verwyder.

B. E-posreëls en kontroles:

      1. Die Kollege argiveer nie e-pos nie.
      2. Die Kollege filtreer wel e-pos vir strooipos en kwaadwillige inhoud.
      3. Die Kollege blokkeer e-posrekeninge wat strooipos en kwaadwillige inhoud stuur.

Goedgekeur deur die Kabinet: Julie 2021
Verwante Raadsbeleid: Inligtingstegnologiedienste

 

Rekenaar Lewensiklus Prosedure

Inleiding

Hierdie prosedure het ten doel om toegang te verseker tot die huidige rekenaartegnologie wat nodig is om studentesukses te bevorder en werknemers se werksverantwoordelikhede na te kom. Hierdie prosedure verskaf die Office of Information Technology Services (ITS) geskeduleerde vervanging van rekenaars vir werknemer-, klaskamer- en laboratoriumgebruik. 

Doel

Die doel van hierdie prosedure is om die parameters en proses vir persoonlike rekenaarvervangings in te stel. Hierdie prosedure sluit unieke doel werkstasies en terminale uit vir gebruik met Virtual Desktop Infrastructure (VDI). 

Omvang

Hierdie prosedure dek persoonlike rekenaars wat deur voltydse fakulteit, voltydse personeel, laboratoriums en klaskamers gebruik word. Rekenaars wat onder toekennings of vir 'n toegewyde gebruik gekoop word, moet afsonderlik deur die parameters van hul toekennings en doel hanteer word. Hierdie beleid is nie van toepassing op randtoerusting, kantoorfone, selfone, drukkers, skandeerders, oudio/visuele toerusting, bedieners of ander IT-verwante toerusting nie. Daardie toerusting word vervang deur ITS volgens behoefte, toestand en begrotingshulpbronne gebaseer op hul ontleding, oordeel en ondersteuningskontrakte. 

Hardeware platforms 

Die Kollege sal elke jaar standaardspesifikasies vir tafel- en skootrekenaars bepaal op grond van werkfunksie om koste, instandhouding en ondersteuningsdoeltreffendheid te bevat. ITS het die toerustingstandaarde ontwikkel, hersien deur die All College Council Tegnologiekomitee, en goedgekeur deur die Hoofinligtingsbeampte en die Visepresident vir Finansies en Besigheid/Hoof Finansiële Beampte. Aangesien ITS een toestel per werknemer ondersteun, sal gebruikers 'n skootrekenaar en koppelstasie toegewys word eerder as 'n tafelrekenaar. Werkskermrekenaars sal gegee word in areas waar hul gebruik gedeel sal word, soos ontvangsareas, klaskamers, laboratoriums en bykomende of werkstudie-werkareas.

Prosedure

    1. Persoonlike rekenaars sal deur ITS onderhou en ondersteun word deur hul aangewese dienstydperk. Die huidige dienstydperk vir HCCC persoonlike rekenaars is vyf jaar.
    2. Elke jaar sal ITS 'n gedeelte van persoonlike rekenaars op die voorraadlys vervang. ITS sal fakulteit en personeel persoonlike rekenaars oor die somer en herfs ontplooi. ITS sal ook elke jaar 'n deel van die klaskamer, laboratorium en ooptoegangrekenaars verfris. Beraamde vervangingsbegrotings sal by jaarlikse begrotingsverhore voorgelê word. ITS erken dat sommige fakulteite, personeel en studente verskillende rekenaarbehoeftes het. Akademiese laboratoriums met gespesialiseerde rekenaars sal waar moontlik in die vervangingsbegroting ingebou word. Fakulteit en personeel wat 'n nie-standaard masjien benodig wat 'n standaard persoonlike rekenaar se koste oorskry, sal vereis word om Kantoor/Skool goedkeuring te verkry. Hulle kantoor/skool sal die prysverskil finansier.
    3. Deeltydse Fakulteit en personeel wat 'n skootrekenaar wil leen, sal 'n versoekvorm voltooi wat die bestuurder se goedkeuring vereis. By die bestuurder se goedkeuring, sal ITS 'n skootrekenaar voorsien.
    4. ITS sal saam met die rekenaar se gebruiker werk om werknemerdata na die vervangingsrekenaar te migreer. ITS sal die ouer persoonlike rekenaar verwyder. ITS sal die ou rekenaar se hardeskyf vir twee weke tot 90 dae hou om te verseker dat geen data tydens die ontplooiing verlore gaan nie.

      1. Afgetredenes kan die opsie gegee word om hul ou rekenaar te koop vir 'n billike markwaarde wat deur ITS bepaal word. Hierdie aankope is "soos dit is," en ITS sal alle HCCC-sagteware en data verwyder voor die oordrag van eienaarskap. Werknemers sal 'n tjek aan Hudson County Community College skryf, wat gedeponeer sal word in die Kollege se rekening.
    5. In sommige gevalle kan rekenaars hergebruik of herontplooi word na ander plekke op die kampus volgens ITS se diskresie.
    6. Wanneer persoonlike rekenaars geskuif moet word, moet die Kantoor/Skool ITS kontak. ITS is verantwoordelik vir 'n akkurate inventaris. Gebruikers moet nie self persoonlike rekenaars hervestig nie. Rekenaars moet nie hertoegewys of herverdeel word sonder om ITS in kennis te stel en goedkeuring te verkry nie.
    7. Wanneer 'n werknemer met 'n persoonlike rekenaar die Kollege verlaat, sal ITS deur die Kantoor/Skool en Menslike Hulpbronne in kennis gestel word. In die meeste gevalle sal hierdie rekenaar herverdeel word na die volgende werknemer wat in daardie pos gehuur word.
    8. As 'n persoonlike rekenaar breek en nie herstel kan word nie, sal ITS die rekenaar met 'n nuwe masjien vervang. Daardie rekenaar word dan die persoonlike masjien vir daardie werknemer. 

Goedgekeur deur die Kabinet: April 2023
Verwante Raadsbeleid: Inligtingstegnologiedienste

 

Gebeurtenisbestuursprosedure

Inleiding

Hierdie prosedure het ten doel om suksesvolle gebeure regoor die Kollege te verseker wat voortgaan om die Kollege se missie te bevorder. Hierdie prosedure voldoen aan die HCCC Inligtingstegnologiedienstebeleid wat deur die Raad van Trustees goedgekeur is.

toepaslikheid

Hierdie prosedure is van toepassing op alle fakulteite en personeel van die Kollege wat Kollege-geleenthede hou.

Aanspreeklikheid

Die mede-visepresident vir inligtingstegnologiedienste en hoofinligtingsbeampte sal hierdie prosedure implementeer in koördinering met die Uitvoerende Direkteur van Fasiliteite, Bedryf en Ingenieurswese, die Uitvoerende Direkteur van Openbare Veiligheid en Sekuriteit, en ander kollegeleiers.

Prosedure

  1. Definisie van 'n HCCC-gebeurtenis
    1. Kollege Akademiese Aktiwiteite: BLO is aktiwiteite of gebeurtenisse wat direk verband hou met die onderrigmissie van die Kollege. Voorbeelde sluit in kredietdraende klasse, programmatiese aktiwiteite wat met akademiese kursuswerk verband hou, en fakulteits-/administratiewe departementele vergaderings.
    2. Kollege-geleenthede: CE is aktiwiteite wat georganiseer en bestuur word deur fakulteit, personeel, Kollegekantore en geregistreerde en goedgekeurde studenteorganisasies wat hoofsaaklik vir lede van die HCCC-gemeenskap en die voordeel van die Kollege beplan word. Voorbeelde sluit in studenteprogrammeringsaktiwiteite, fakulteits- en personeelontwikkeling, aanvang, konvokasie, ope huise, werwingsgeleenthede, gasdosente en ander. Bywoners van hierdie geleenthede sluit lede van die gemeenskap, fakulteit, personeel, studente, gaste en alumni in
    3. Kollege aangebied geleenthede: CHO is akademiese programme, konferensies, retraites en vergaderings wat twee entiteite betrek: 'n Kollege-entiteit (skool-, akademiese of administratiewe eenheid, of geregistreerde en goedgekeurde studenteorganisasie) en 'n buite-organisasie (soos 'n professionele vereniging waarin die Kollege lidmaatskap het of handhaaf 'n verhouding wat die Kollege-gemeenskap of gemeenskapsgebaseerde organisasie direk bevoordeel.)
    4. Nie-kollege/eksterne geleenthede: NC/EE word gedefinieer as programme en aktiwiteite wat georganiseer word deur individue, groepe, besighede of organisasies wat nie by die organisasiestruktuur van die Kollege ingesluit is nie. Voorbeelde is onthale, liefdadigheidsgeleenthede, korporatiewe vergaderings en geleenthede, jeugkampe, konferensies, sosiale aktiwiteite, uitstallings, ens. Nie-Universiteit/Eksterne Geleenthede vereis 'n kontraktuele reëling en behoorlike bewys van versekering met die Kollege.
  2. Kantore wat geleenthede ondersteun en wat hulle verskaf

    1. Inligtingstegnologiedienste
      1. Tegnologie toerusting
      2. Toets aanbiedings en media voor die geleentheid
      3. Vergaderingskakels en hibriede vergadering/geleentheidondersteuning
      4. WiFi vir gaste
      5. Tegnologie-ondersteuning tydens die geleentheid
    2. Fasiliteite
      1. Meubelopstelling en afbreek
      2. Meubels afbreek
      3. Skoonmaak
      4. HVAC monitering
    3. Sekuriteit
      1. Sekuriteitsondersteuning tydens geleenthede
      2. Gebou openinge en sluitings
      3. Parkering en vervoer ondersteuning
    4. flik
      1. Kos en drank
      2. Bedieners en ander ondersteuning
      3. Koördinasie met buitegroepe
  3. Gebeurtenissebestuursproses

    1. Aanlynversoeke moet deur die Kollege se Coursedog-stelsel ingevoer word.
    2. Goedkeuring sal vereis word vir spesiale ruimtes en tipe geleentheid; bv. President se Raadsaal, Atrium, Galery.
    3. Vooraf kennisgewing word vereis vir alle geleenthede.
    4. Prioriteit sal gegee word aan kollegewye, hoëprofielgeleenthede.
  4. Gebeurtenis Tipe Gids

    Gebeurtenis Tipe

    Beskrywing
    Akademiese Rekenaarlaboratorium Rekenaarlaboratoriumdienste, insluitend die ondersteuning van 'n laboratoriumassistent, vereis drie dae kennis. Hierdie versoeke kan 180 dae vooruit ingeskryf word.
    Administratiewe dienste Vergaderings vereis een dag vooraf kennisgewing.
    Voortgesette onderwys (VO) Voortgesette onderwys en werksmagontwikkeling geleenthede en klasse vereis een dag kennis. Hierdie versoeke kan 180 dae vooruit ingeskryf word.
    Inskrywingsdienste / Toelatings Inskrywingsdienste en Toelatingsgeleenthede vereis drie dae kennis. Hierdie versoeke kan 90 dae vooruit ingeskryf word.
    Gasvryheids- en spysenieringsdienste Prioriteit 1 Prioriteit 1-geleenthede sluit kampuswye geleenthede, eksterne deelnemers, geadverteerde geleenthede en kabinetsvlak-geleenthede in. Hierdie versoeke vereis 30 dae kennis en kan 180 dae vooruit ingeskryf word.
    Gasvryheids- en spysenieringsdienste Prioriteit 2 Prioriteit 2-geleenthede sluit in departementsvlak-geleenthede met meer as 50 deelnemers en wat opgeneem word, vereis 14 dae kennis. Hierdie versoeke kan 180 dae vooruit ingeskryf word.
    Gasvryheids- en spysenieringsdienste Prioriteit 3 Prioriteit 3 ​​Geleenthede is klein en meer informeel en vereis drie dae kennis. Hierdie versoeke kan 180 dae vooruit ingeskryf word.
    Noord Hudson-kampusgeleentheid Programme en geleenthede wat op die North Hudson-kampus aangebied word, vereis drie dae kennis. Hierdie versoeke kan 180 dae vooruit ingeskryf word.
    Noord Hudson Kantoorruimte Vergaderings by die North Hudson-kampus vereis een dag kennis.
    Registrateurskantoor Programme en geleenthede in Akademiese Aangeleenthede klaskamers in Journal Square vereis een dag kennis. Hierdie versoeke kan 180 dae vooruit ingeskryf word.
    Skool vir Verpleegkunde Toetsing / Gasspreker Programme en geleenthede in die F129 Rekenaarlaboratorium vereis een dag kennis. Hierdie versoeke kan 180 dae vooruit ingeskryf word.
    student Life Alle Studentelewe-geleenthede vereis twee dae kennis. Hierdie versoeke kan 180 dae vooruit ingeskryf word.
    Skuif vir meer
  5. Verantwoordelikhede

    1. Organiseerders sal alle beskikbare inligting in die versoek verskaf, insluitend kontakte vir die geleentheid, e-pos en telefoonnommers, ens.
    2. Organiseerders sal enige veranderinge betyds en skriftelik kommunikeer.
    3. Organiseerders sal die Kollege se Toeganklikheidsverklaring by alle kommunikasie oor die geleentheid insluit.
    4. Organiseerders sal deurloop- en oefensessies bywoon soos vereis deur die tipe geleentheid.
    5. Kollegekantore wat dienste verskaf, sal betyds met die organiseerders kommunikeer.
    6. Hibriede gebeurtenisskakels sal uitsluitlik deur Inligtingstegnologiedienste vir HCCC-geleenthede geskep word.
    7. Organiseerders sal kollegekantore vooraf in kennis stel wanneer daar 'n kansellasie is om die geleentheidspasie vry te stel.
    8. HCCC-kantore sal organiseerders van enige kwessies in kennis stel sodra dit ontdek word.

Goedgekeur deur die Kabinet: Desember 2024
Verwante Raadsbeleid: Inligtingstegnologiedienste

 

Versoeke vir toegang tot inligtingstelsels wat sensitiewe data bevat Prosedure

Inleiding

 Hierdie prosedure wys Hudson County Community College (HCCC) se stelsel/data-eienaars aan. Hierdie individue hou toesig oor toegang tot inligtingstelsels wat sensitiewe data bevat, soos die Kollega ERP-stelsel. Toesig is nodig om die vertroulikheid, integriteit en beskikbaarheid van HCCC se data te beskerm en te bewaar en om te voldoen aan inligtingstegnologiestandaarde en -regulasies van toepassing op HCCC.

Die aangewese Stelsel-/Data-eienaars vir Hudson County Community College se inligtingstelsels wat sensitiewe data bevat, sal die gesag hê om individue toegang tot hierdie stelsels goed te keur.

Aanwysing van Stelsel/Data Eienaars

 Die volgende Uitvoerende Personeellede word aangewys as Stelsel/Data Eienaars vir inligtingstelsels wat sensitiewe data bevat.

 Kollega ERP System

Studente Module

Visepresident vir Studentesake en Inskrywing

Studente Finansiële Module

Visepresident vir Besigheid en Finansies/ finansiële hoof

Financial Aid module

Mede-dekaan van Financial Aid

Menslike Hulpbronne Module

Visepresident vir Menslike Hulpbronne

 Dokumentbeeldstelsel

Inskrywingsdienste, toelatings en adviesdokumente

Visepresident vir Studentesake en Inskrywing

Student Financial Aid dokumente

Mede-dekaan van Financial Aid

Finansiële dokumente

Visepresident vir Besigheid en Finansies/ finansiële hoof

Versoeke vir toegang tot inligtingstelsels wat sensitiewe data bevat

Versoeke om toegang tot inligtingstelsels wat sensitiewe data bevat, sal op 'n "minste voorreg"-basis toegestaan ​​word, wat beteken slegs toegang tot sodanige inligting en stelsels wat nodig is om die individu se gereelde werkspligte uit te voer.

Uitvoerende personeellede wat as Stelsel-/Data-eienaars of aangewese bestuurders in funksionele gebiede aangewys is, sal versoeke vir toegang tot inligtingstelsels wat sensitiewe data bevat van personeellede onder hul administratiewe gesag hersien. Hulle sal bevestig dat gebruikers op 'n "minste voorreg"-basis toegang verleen word tot slegs daardie voorregte wat nodig is om hul gereelde werkspligte uit te voer. Hulle sal versoeke goedkeur deur 'n stelseltoegangversoekvorm wat op die portaal geleë is, in te dien. As die toegang nie geregverdig is nie, sal die versoek geweier word.

Verwydering van toegang tot inligtingstelsels wat sensitiewe data bevat

Uitvoerende Personeellede sal verseker dat toesighouers Inligtingstegnologiedienste (ITS) dadelik in kennis stel wanneer gebruikerstoegang tot 'n inligtingstelsel nie meer vereis word nie en wanneer 'n gebruiker se toegang gewysig moet word as gevolg van 'n verandering in die werknemer se kernpligte.

ITS sal onmiddellik per telefoonoproep in kennis gestel word, gevolg deur 'n e-pos aan die Hoofinligtingsbeampte (CIO), by die beëindiging van 'n supergebruikerwerknemer of in die geval van 'n werknemer se onwillekeurige beëindiging. Roetine-beëindigings, oorplasings na 'n ander kollege-departement of veranderinge in pligte moet binne vyf werksdae ingedien word deur die stelseltoegangversoekvorm op die portaal te gebruik.

Hersiening van toegang tot inligtingstelsels wat sensitiewe data bevat

'n Jaarlikse hersiening van alle gebruikersrekeninge vir sensitiewe IT-stelsels sal deur ITS uitgevoer word om die rekeninge se voortgesette behoefte en gepaardgaande toegangsvlak te bepaal.

Verantwoordelikhede

Die CIO sal algehele verantwoordelikheid hê vir die ontwikkeling en instandhouding van die tegniese prosedures in ooreenstemming met hierdie prosedure, en moet voldoen aan die toepaslike standaarde van Hudson County Community College.

Bylaag A beskryf die vorm se ligging om toegang tot kollege-inligtingstelsels te versoek.

Definisies

 data - sluit enige inligting binne HCCC se bevoegdheid in, insluitend studenterekorddata, personeeldata, finansiële data (begroting en betaalstaat), studentelewedata, departementele administratiewe data, regslêers, institusionele navorsingsdata, eiendomsdata en alle ander data wat betrekking het op of ondersteun die administrasie van die Kollege.

Inligtingstelsel - behels die totale komponente en bedrywighede van 'n rekordhoudingsproses, insluitend inligting wat ingesamel of bestuur word met behulp van rekenaarnetwerke en die internet, hetsy outomaties of handmatig, wat persoonlike inligting en die naam, persoonlike nommer of ander identifiserende besonderhede van 'n datasubjek bevat.

Gevoelige data – sluit enige inligting in wat die Kollege se belange, die uitvoering van agentskapprogramme, of die privaatheid waarop individue geregtig is, nadelig kan beïnvloed indien vertroulikheid, integriteit of beskikbaarheid in gevaar gestel word. Data word as sensitief geklassifiseer as die kompromie van daardie data 'n wesenlike en beduidende nadelige uitwerking op die Kollege se belange tot gevolg het, die geaffekteerde agentskap se onvermoë om sy besigheid te bedryf, skending van privaatheidsverwagtinge, of deur die wet vereis word om vertroulik gehou te word.

super – 'n werknemer is wat inskrywingspaneel of verhoogde bevoorregte toegang het; bv 'n sekuriteitsadministrateur.

 Verwysings

  • Gesinswet op opvoedkundige regte en privaatheid (FERPA) (20 USC § 1232g; 34 CFR Deel 99)
  • Wet op Modernisering van Finansiële Dienste (Gramm-Leach-Bliley-wet) (15 USC § 6801 e.v.)
  • Wet op Gesondheidsversekering oordraagbaarheid en aanspreeklikheid (HIPAA) (Publiekreg 104-191)

Hersien periodisiteit en verantwoordelikheid

 Die CIO sal hierdie prosedure jaarliks ​​hersien en, indien nodig, hersienings aanbeveel.

AANHANGSEL A"

Stelseltoegangversoekvorms:

Kollega Toegang

https://myhudson.hccc.edu/ellucian

Rekeningskeppingsversoek of deaktiveer versoek

https://myhudson.hccc.edu/its

Goedgekeur deur die Kabinet: Julie 2021
Verwante Raadsbeleid: ITS

 

Prosedure vir inligtingsekuriteitsplan

Inleiding

Die doel van die ontwikkeling en implementering van hierdie omvattende geskrewe inligtingsekuriteitsplanprosedure (“Plan”) is om doeltreffende administratiewe, tegniese en fisiese beveiligingsmaatreëls te skep vir die beskerming van “persoonlike inligting” van voornemende studente, aansoekers, studente, werknemers, alumni , en vriende van Hudson County Community College, en om te voldoen aan ons verpligtinge kragtens New Jersey regulasie 201 CMR 17.00. Die Plan stel ons prosedures uiteen vir die evaluering van ons elektroniese en fisiese metodes om toegang tot, insamel, berg, gebruik, oordrag en beskerming van “persoonlike inligting” van die Kollege se bestanddele te verkry.

Vir doeleindes van hierdie Plan word "persoonlike inligting" gedefinieer as 'n persoon se voornaam en van, of eerste voor- en van, in kombinasie met enige een of meer van die volgende data-elemente wat met sodanige inwoner verband hou: (a) Sosiaal Sekuriteitsnommer; (b) bestuurslisensienommer of staatsuitgereikte identifikasiekaartnommer; of (c) finansiële rekeningnommer of krediet- of debietkaartnommer, met of sonder enige vereiste sekuriteitskode, toegangskode, persoonlike identifikasienommer of wagwoord wat toegang tot 'n inwoner se finansiële rekening sal toelaat waar Hudson County Community College die bewaarder van daardie data is ; met dien verstande egter dat "persoonlike inligting" nie inligting sal insluit wat wettiglik verkry word uit publiek beskikbare inligting, of uit federale, staats- of plaaslike regeringsrekords wat wettiglik aan die algemene publiek beskikbaar gestel word nie.

Doel

Die doel van hierdie plan is om:

    1. Verseker die sekuriteit en vertroulikheid van persoonlike inligting;
    2. Beskerm teen enige potensiële bedreigings of gevare vir die sekuriteit of integriteit van persoonlike inligting; en,
    3. Beskerm teen ongemagtigde toegang tot, of gebruik van, persoonlike inligting op 'n wyse wat 'n wesenlike risiko van identiteitsdiefstal of bedrog skep.

Omvang

In die formulering en implementering van die Plan sal die instelling: (1) redelik voorsienbare interne en eksterne risiko's identifiseer vir die sekuriteit, vertroulikheid en integriteit van enige elektroniese, papier- of ander rekords wat persoonlike inligting bevat; (2) evalueer die waarskynlikheid en potensiële skade van hierdie bedreigings, met inagneming van die sensitiwiteit van die persoonlike inligting; (3) die toereikendheid van bestaande beleide, praktyke, prosedures, inligtingstelsels en ander voorsorgmaatreëls wat in plek is om risiko's te beheer, evalueer; (4) 'n plan ontwerp en implementeer wat voorsorgmaatreëls in plek stel om daardie risiko's te minimaliseer, in ooreenstemming met die vereistes van 201 CMR 17.00; en (5) die Plan gereeld monitor.

Datasekuriteitskoördineerder

HCCC het die Hoofinligtingsbeampte (CIO) en Visepresident vir Besigheid en Finansies/CFO aangewys om die Plan te implementeer, toesig te hou en in stand te hou. Die CIO en Visepresident vir Besigheid en Finansies/CFO sal verantwoordelik wees vir:

    1. Aanvanklike implementering van die Plan;
    2. Toesig oor deurlopende werknemeropleiding oor die elemente en vereistes van die Plan vir alle eienaars, bestuurders, werknemers en onafhanklike kontrakteurs wat toegang tot persoonlike inligting het;
    3. Monitering van die Plan se voorsorgmaatreëls;
    4. Assessering van derdepartydiensverskaffers wat toegang het tot en gasheer/sender/rugsteun/onderhou persoonlike inligting, en vereis dat daardie diensverskaffers per kontrak sulke toepaslike sekuriteitsmaatreëls implementeer en in stand hou om persoonlike inligting te beskerm;
    5. Hersiening van die omvang van die sekuriteitsmaatreëls in die Plan jaarliks, of wanneer daar ook al 'n wesenlike verandering in HCCC se besigheidspraktyke is wat die sekuriteit of integriteit van rekords wat persoonlike inligting bevat kan impliseer; en,
    6. Hersiening van wetgewing en wette en opdatering van beleide en prosedures soos vereis.

Interne risiko's

Om interne risiko's vir die sekuriteit, vertroulikheid en integriteit van enige elektroniese, papier- of ander rekords wat persoonlike inligting bevat te bekamp, ​​en om, waar nodig, die doeltreffendheid van die huidige voorsorgmaatreëls vir die beperking van sulke risiko's te evalueer en te verbeter, die volgende maatreëls is verpligtend en onmiddellik van krag: 

Administratiewe Maatreëls

      1. 'n Afskrif van die Plan sal aan die President, die President se Kabinet, Inligtingstegnologiedienste (ITS) personeel en ander aangewese personeellede wat persoonlike inligting hanteer, versprei word. By ontvangs van die Plan moet elke individu skriftelik erken dat hulle 'n afskrif van die Plan ontvang het.
      2. Na opleiding sal daar van alle personeel verwag word om vertroulikheidsooreenkomste te onderteken wat die hantering van persoonlike inligting beskryf. Die vertroulikheidsooreenkomste sal van personeellede vereis om enige verdagte of ongemagtigde gebruik van "persoonlike inligting" aan die CIO of die Visepresident vir Menslike Hulpbronne te rapporteer.
      3. Die hoeveelheid persoonlike inligting wat ingesamel word, moet beperk word tot wat redelikerwys nodig is om wettige besigheidsdoeleindes te bereik. Persoonlike inligtinggebruik word aangespreek deur oudits op verskeie gebiede.
      4. Alle datasekuriteitsmaatreëls sal ten minste jaarliks ​​hersien word, of wanneer daar ook al 'n wesenlike verandering in HCCC se besigheidspraktyk of wetsverandering is wat die sekuriteit of integriteit van rekords wat persoonlike inligting bevat, redelikerwys kan impliseer. Die CIO en Visepresident vir Besigheid en Finansies/CFO sal verantwoordelik wees vir hierdie hersiening en sal departementshoofde ten volle in kennis stel van die resultate van daardie hersiening en enige aanbevelings vir verbeterde sekuriteit wat uit daardie hersiening voortspruit.
      5. Wanneer daar 'n voorval is wat kennisgewing vereis onder NJ Stat. § 56:8-163, New Jersey se wet op die aanmelding van data-oortredings oor persoonlike inligting, sal daar 'n onmiddellike verpligte na-voorval hersiening wees van gebeure en aksies wat geneem is, indien enige, om te bepaal of enige veranderinge in HCCC se sekuriteitspraktyke nodig is om te verbeter die sekuriteit van persoonlike inligting onder die Plan.
      6. Elke departement sal reëls ontwikkel (met die besigheidsbehoeftes van daardie departement in gedagte) wat verseker dat redelike beperkings op fisiese toegang tot persoonlike inligting in plek is, insluitend 'n skriftelike prosedure wat aandui hoe die rekord se fisiese toegang beperk word. Elke departement moet sulke rekords en data in geslote fasiliteite, veilige stoorareas of geslote kaste stoor.
      7. Behalwe vir Stelseladministrasie-rekeninge, sal toegang tot elektronies gestoor persoonlike inligting elektronies beperk word tot daardie werknemers wat 'n unieke aanmeld-ID het, met toepaslike toegang. Toegang sal nie verleen word aan werknemers wie die CIO bepaal nie toegang tot elektronies gestoor persoonlike inligting nodig het nie.
      8. Wanneer 'n vertroulikheidsooreenkoms nie in plek is nie, moet besoekers- of kontrakteurstoegang tot sensitiewe data, insluitend maar nie beperk nie tot wagwoorde, enkripsiesleutels en tegniese spesifikasies, wanneer nodig, skriftelik ingestem word. Toegang sal beperk word tot die minimum bedrag wat nodig is. As afstandaanmelding nodig is vir toegang, moet daardie toegang ook deur HCCC se ITS-afdeling goedgekeur word.

Fisiese maatreëls

      1. Toegang tot rekords wat persoonlike inligting bevat sal beperk word tot diegene wat redelikerwys vereis word om sulke inligting te ken om HCCC se wettige besigheidsdoel te bereik. Om onnodige openbaarmaking te versag, sal sensitiewe en persoonlike inligting geredigeer word, papierrekords sal in geslote fasiliteite gestoor word, en datasekuriteitskontroles vir elektroniese rekords sal geïmplementeer word.
      2. Aan die einde van die werksdag moet alle nie-elektroniese lêers en ander rekords wat persoonlike inligting bevat in geslote kamers, kantore of kaste gestoor word.
      3. Papierrekords wat persoonlike inligting bevat, moet op 'n wyse wat aan NJ Stat voldoen, weggedoen word. § 56:8-163, New Jersey se wet op die rapportering van data-oortredings oor persoonlike inligting. Dit beteken dat rekords weggedoen moet word deur 'n kruissnyversnipperaar, of ander metodes wat die inligting onleesbaar maak, te gebruik.

Tegniese maatreëls

      1. HCCC laat nie werknemers toe om persoonlike inligting op draagbare media te stoor nie. Dit sluit skootrekenaars, USB, CD's, ens. in. Wanneer werknemers wat toegang tot persoonlike inligting het, beëindig word, sal HCCC hul toegang tot netwerkhulpbronne en fisiese toestelle wat persoonlike inligting bevat, beëindig. Dit sluit beëindiging of oorgawe van netwerkrekeninge, databasisrekeninge, sleutels, kentekens, fone en skootrekenaars of rekenaars in.
      2. Daar word van werknemers vereis om hul wagwoorde op 'n roetine-basis te verander vir stelsels wat persoonlike inligting bevat.
      3. Toegang tot persoonlike inligting sal beperk word tot aktiewe gebruikers, en slegs aktiewe gebruikerrekeninge.
      4. Waar tegnies moontlik, sal alle HCCC-stelsels wat persoonlike inligting stoor, outomatiese sluitfunksies gebruik wat toegang sluit na verskeie onsuksesvolle aanmeldpogings.
      5. Elektroniese rekords (insluitend rekords wat op hardeskywe en ander elektroniese media gestoor is) wat persoonlike inligting bevat, sal weggedoen word in ooreenstemming met en wyse wat aan NJ Stat voldoen. § 56:8-163, New Jersey se wet op die rapportering van data-oortredings oor persoonlike inligting. Dit vereis dat inligting vernietig of uitgevee word sodat persoonlike inligting nie prakties gelees of gerekonstrueer kan word nie.

Eksterne risiko's

      1. Om eksterne risiko's vir die sekuriteit, vertroulikheid en integriteit van enige elektroniese, papier- of ander rekords wat persoonlike inligting bevat te bekamp, ​​en om waar nodig die doeltreffendheid van die huidige voorsorgmaatreëls vir die beperking van sulke risiko's te evalueer of te verbeter, is die volgende maatreëls verpligtend en onmiddellik van krag:

a.) Daar is redelik bygewerkte brandmuurbeskerming en bedryfstelselsekuriteitspleisters wat redelik ontwerp is om die integriteit van persoonlike inligting wat op stelsels met persoonlike inligting geïnstalleer is, te handhaaf.

b.) Daar is redelik bygewerkte weergawes van stelselsekuriteitsagentsagteware wat wanwarebeskerming insluit, en redelik bygewerkte pleisters en virusdefinisies geïnstalleer op stelsels wat persoonlike inligting verwerk.

c.)Wanneer dit op HCCC se netwerkaandele gestoor word, moet lêers wat persoonlike inligting bevat geënkripteer word. HCCC laat nie toe dat persoonlike inligting op skootrekenaars, rekenaars, USB-toestelle of ander draagbare media gestoor word nie. HCCC sal enkripsiesagteware ontplooi om aan hierdie doelwit te voldoen.

d.) Enige persoonlike inligting wat elektronies aan derdeparty-verskaffers oorgedra word, moet gestuur word via die verkoper se geënkripteerde diens of deur HCCC se aangewese geënkripteerde diens vir veilige oordrag. 

e.) Alle nuwe diensverskaffers wat HCCC se persoonlike inligting in elektroniese vorm stoor, sal voldoende veiligheidsmaatreëls deur die EDUCAUSE HECVAT of soortgelyke instrument moet demonstreer. Hierdie verskaffers moet ook goedgekeur word deur HCCC se visepresident vir finansies en besigheid/ finansiële hoof.

f.) Personeel van Menslike Hulpbronne en Inligtingstegnologiedienste moet die prosedures volg wat uiteengesit is in die HCCC Aanvaarbare Gebruiksprosedure vir Inligtingstegnologiestelsels wat verband hou met die skep, oordrag of beëindiging van rekeninge, tesame met beleide vir wagwoordberging en rolgebaseerde sekuriteit.

g.) Alle persoonlike inligting sal na aanleiding van HCCC weggedoen word Policies and Procedures.

h.) Soos hulpbronne en begroting dit toelaat, sal HCCC tegnologie implementeer wat die Kollege in staat sal stel om databasisse te monitor vir ongemagtigde gebruik van, of toegang tot, persoonlike inligting, en veilige stawingsprotokolle en toegangsbeheermaatreëls ingevolge HCCC se prosedures te gebruik.

 

Goedgekeur deur die Kabinet: Julie 2021
Verwante Raadsbeleid: Inligtingstegnologiedienste

 

Prosedure vir Reaksieplan vir inligtingsekuriteitsinsident

Doel

Hierdie plan lei hoe om te reageer op inligtingsekuriteitvoorvalle by Hudson County Community College (HCCC). Die plan identifiseer die rolle en verantwoordelikhede van die HCCC-voorvalreaksiespan en die stappe wat geneem moet word in die geval van 'n voorval. Die Inligtingsekuriteitsvoorvalreaksieplan (ISIRP) het ten doel om die impak van 'n voorval te minimaliseer, bewyse vir ondersoekdoeleindes te bewaar en normale bedrywighede so vinnig moontlik te herstel.

Definisies

Voorval: 'n Gebeurtenis wat lei tot 'n verlies aan vertroulikheid, integriteit of beskikbaarheid van inligting of inligtingstelsels.

reaksie: Die aksies wat geneem word om die impak van 'n voorval te versag en die geaffekteerde stelsels en data na hul normale toestand te herstel.

Voorvalreaksiespan (IRT): Die Incident Response Team (IRT) is verantwoordelik vir die implementering van die ISIRP. Die IRT bestaan ​​uit verteenwoordigers van relevante departemente, insluitend maar nie beperk nie tot Inligtingstegnologiedienste (ITS), Finansies (Risikobestuur), Regsadviseur, Menslike Hulpbronne en Kommunikasie. Die IRT is verantwoordelik vir die koördinering van die reaksie op 'n voorval en om te verseker dat alle nodige hulpbronne beskikbaar is.

Rolle en verantwoordelikhede

Die IRT is verantwoordelik vir die volgende:

  • Reageer op voorvalle en versag die impak daarvan.
  • Ondersoek voorvalle en bepaal die oorsaak daarvan.
  • Herstel van stelsels en data wat deur 'n voorval geraak is.
  • Kommunikeer met belanghebbendes oor voorvalle.
  • Teken en rapporteer insidente.
Voorvalverslaggewing

Alle vermeende of bevestigde inligtingsekuriteitsvoorvalle moet onmiddellik by ITS aangemeld word. ITS sal dan die voorval assesseer en bepaal of dit 'n veiligheidsvoorval is. ITS sal die voorval na die IRT eskaleer as dit 'n veiligheidsvoorval is.

Reaksiestappe
Insidentkategorisering:

Die IRT sal die voorval kategoriseer op grond van die erns en impak daarvan. Die kategorieë is soos volg:

kategorie 1: Geringe voorval - Geen noemenswaardige impak op die kollege of sy bedrywighede nie.
kategorie 2: Matige voorval - Beperkte impak op die kollege of sy bedrywighede.
kategorie 3: Groot voorval - Beduidende impak op die kollege of sy bedrywighede.
kategorie 4: Kritieke voorval - Ernstige impak op die kollege of sy bedrywighede.

Insidentreaksie volgens kategorie:

Die IRT sal die onderstaande stappe volg om op 'n voorval te reageer:
kategorie 1: Geen formele antwoord word vereis nie.
kategorie 2: Die IRT sal die voorval ondersoek en toepaslike stappe neem om die voorval te beperk en te versag.
kategorie 3: Die IRT sal koördineer met relevante departemente en eksterne hulpbronne, soos wetstoepassing en kuberveiligheidsdeskundiges, om die voorval te ondersoek en toepaslike stappe te neem om die voorval te beperk en te versag.
kategorie 4: Die IRT sal die HCCC-noodbestuursplan implementeer, wat die stappe uiteensit wat gevolg moet word tydens 'n beduidende krisis.

ISIRP-stappe vir IRT om te volg

Die IRT sal hierdie stappe volg in die geval van 'n voorval:

  1. Reageer op die voorvalverslag.
  2. Versag die impak van die voorval.
  3. Kategoriseer die effekte op die bogenoemde skaal.
  4. Ondersoek die voorval.
  5. Bepaal die oorsaak van die voorval.
  6. Herstel stelsels en data wat deur die voorval geraak is.
  7. Kommunikeer met belanghebbendes oor die voorval.
  8. Teken aan en rapporteer die voorval.
Gereedskap en hulpbronne

Die IRT sal die volgende gereedskap en hulpbronne gebruik om op voorvalle te reageer:

  • Sekuriteitsagteware: Sophos, Crowdstrike
  • Rugsteun- en herstelstelsels van data: Cohesity, Arcserve, OneDrive
  • Kommunikasiekanale: E-pos, teks, sosiale media
  • Derdeparty-kubersekuriteitskundiges: NJ Edge, CyberSecOp, Cybersecurity Insurance konsultante
Toets en opleiding

Die IRT sal gereeld die prosedures en gereedskap in plek toets en oplei.

Kommunikasieplan

Die IRT sal met die volgende belanghebbendes kommunikeer in die geval van 'n voorval:

  • Studente
  • Fakulteit
  • Personeel
  • Media
  • Wetstoepassing
  • Reguleringsagentskappe
Metrieke en Verslagdoening

Die IRT sal alle aspekte van die voorval dokumenteer, insluitend maar nie beperk nie tot die voorvaltipe, erns, impak, reaksie en oplossing. Dokumentasie sal veilig gestoor word en slegs vir gemagtigde personeel toeganklik.

Die IRT sal die volgende maatstawwe wat met voorvalle verband hou, insamel en ontleed:

  • Aantal voorvalle
  • Koste van insidente
  • Tyd om te herstel van voorvalle

Die mede-visepresident vir tegnologie en CIO sal oor hierdie maatstawwe verslag doen aan die HCCC-raad van trustees.

Hersien en werk op

Die AVP CIO sal die ISIRP jaarliks ​​hersien en dit bywerk om die veranderende sekuriteitslandskap en die HCCC se ontwikkelende behoeftes te weerspieël.

Goedgekeur deur die Kabinet: Mei 2023
Verwante Raadsbeleid: Inligtingstegnologiedienste

 

Draagbare Tegnologie Aanspreeklikheidsprosedure

  1. INLEIDING
    Hierdie prosedure het ten doel om duidelike riglyne vas te stel vir aanspreeklikheid en verantwoordelikheid rakende die verlies of skade van draagbare tegnologie-toestelle wat deur Hudson County Community College (HCCC) aan werknemers en studente verskaf word. Hierdie prosedure is in ooreenstemming met die HCCC Inligtingstegnologiedienstebeleid wat deur die HCCC Raad van Trustees goedgekeur is.
  2. TOEPASSING
    Hierdie prosedure is van toepassing op alle individue, insluitend werknemers en studente, vir wie HCCC draagbare tegnologie-toestelle uitgereik het.
  3. AANSPREEKLIKHEID
    1. Individuele verantwoordelikheid
      1. Alle individue wat draagbare tegnologie-toestelle uitgereik is, is persoonlik verantwoordelik vir die behoorlike versorging en veilige bewaring van die toerusting.
      2. Gebruikers moet enige verlies of diefstal van die draagbare tegnologie-toestel onmiddellik by die Kantoor van Openbare Veiligheid en Sekuriteit aanmeld. Enige skade aan die toestel moet onmiddellik by die Kantoor van Inligtingstegnologiedienste (ITS) aangemeld word.
    2. Aanmeldingsprosedure
      1. Individue wat 'n verlore of beskadigde toestel aanmeld, moet gedetailleerde inligting oor die voorval verskaf, insluitend die datum, tyd en ligging.
      2. 'n Skriftelike voorvalverslag moet binne 24 uur na 'n voorkoms van verlies of diefstal by die Kantoor van Openbare Veiligheid en Sekuriteit ingedien word.
    3. Ondersoek
      1. Die Kantoor van Openbare Veiligheid en Sekuriteit sal die omstandighede rondom die verlies van die draagbare tegnologie-toestel ondersoek.
      2. Daar kan van individue wat betrokke is vereis word om ten volle met die ondersoek saam te werk en enige relevante inligting te verskaf.
    4. Aanspreeklikheidsmaatreëls
      1. Indien die verlies of skade gevind word as gevolg van nalatigheid of opsetlike optrede, kan die individu finansieel verantwoordelik gehou word vir die herstel- of vervangingskoste van die toerusting.
      2. Individue sal skriftelik in kennis gestel word van die uitslag van die ondersoek en enige finansiële verpligtinge.
    5. Finansiële verantwoordelikheid
      1. Individue wat verantwoordelik gehou word vir die verlies of skade sal vereis word om HCCC te vergoed vir die herstel- of vervangingskoste van die draagbare tegnologie-toestel. Die herstel- of vervangingskoste van werknemers se toerusting kan uit die kantoor/skool se begroting kom.
      2. Betalingsreëlings kan met die Kantoor van Rekeningkunde getref word, en versuim om finansiële verpligtinge na te kom, kan addisionele gevolge tot gevolg hê, insluitend terughoue op akademiese rekords of ander dissiplinêre aksies.
  4. UITSONDERINGS
    Sake wat verlies of skade as gevolg van diefstal of ander kriminele aktiwiteite behels, sal volgens plaaslike wetstoepassingsprosedures hanteer word.
  5. KOMMUNIKASIE
    Hierdie beleid sal gekommunikeer word aan alle individue wat draagbare tegnologie-toestelle ontvang deur die verspreiding van geskrewe materiaal, insluiting in werknemer-/studentehandboeke en elektroniese kommunikasiekanale.

Goedgekeur deur Kabinet Maart 2024
Geassosieerde beleid: ITS

 

Verkoper Risikobestuursplan Prosedure

Inleiding

Tsy Vendor Risk Management Plan het ten doel om 'n raamwerk daar te stel vir die effektiewe bestuur en versagting van risiko's wat verband hou met derdeparty-verkopers by Hudson County Community College. Die prosedure gee 'n uiteensetting van die prosesse en prosedures vir verskafferevaluering, seleksie en deurlopende monitering om verskafferverhoudings se sekuriteit, voldoening en betroubaarheid te verseker. Die prosedure fokus hoofsaaklik op die insameling en hersiening van inligting oor die ondernemer se geskiktheid en sekuriteit en die beoordeling van bepalings en voorwaardes en kontraktaal tydens aanvanklike kontrak ondertekening en hernuwing.

  1. Verkoper seleksie proses
    1. Verkoperidentifikasie: Identifiseer potensiële verkopers op grond van die kollege se vereistes en behoeftes.
    2. Aanvanklike verkoper-evaluering: Evalueer potensiële verkopers deur die volgende kriteria te gebruik:
      1. Kwalifikasies en kundigheid
      2. Reputasie en verwysings
      3. Finansiële stabiliteit
      4. Sekuriteit en voldoeningstandaarde
      5. Diensvlakooreenkomste
    3. Versoek om Voorstel (RFP): Berei 'n RFP voor, indien nodig, aan verskaffers op die kortlys wat die kollege se verwagtinge, vereistes en evalueringskriteria uiteensit.
    4. Ondernemersevaluering: Evalueer verkopervoorstelle gebaseer op voorafbepaalde kriteria en voer enige nodige onderhoude of aanbiedings.
    5. Verkoperkeuse: Kies die verkoper(s) gebaseer op evalueringsresultate, met inagneming van faktore soos koste, vermoëns en risikoprofiel.
  1. Hoër Onderwys Gemeenskap Verkoper Assessering Toolkit (HECVAT) Insameling en Hersiening
    1. HECVAT-vormvereiste: Alle potensiële verkopers moet hul voltooide HECVAT indien; SOC 2 ouditbevindinge kan deur 'n HECVAT vervang word.
    2. Aanvanklike hersiening: Hersien die HECVAT om die verskaffers se sekuriteitspraktyke, databeskermingsmaatreëls en nakoming van relevante regulasies te assesseer.
    3. Risiko-evaluering: Doen 'n risiko-assessering gebaseer op die inligting wat in die HECVAT verskaf word om potensiële risiko's wat met die ondernemersverhouding geassosieer word, te identifiseer.
    4. Versagtende aksies: Ontwikkel versagtende aksies om geïdentifiseerde risiko's aan te spreek, soos om bykomende inligting aan te vra, sekuriteitsoudits uit te voer of kontraktuele verpligtinge vir sekuriteit en privaatheid daar te stel.
  2. Hersiening van bepalings en voorwaardes
    1. Kontrakhersiening: Hersien die bepalings en voorwaardes van die voorgestelde verkoperkontrak, en fokus op areas wat verband hou met dataprivaatheid, sekuriteit, nakoming en intellektuele eiendom.
    2. Regsoorsig: Skakel regsadviseur in, indien nodig, om te verseker dat kontraktaal die kollege se belange voldoende beskerm en in lyn is met toepaslike wette en regulasies.
    3. Onderhandeling en wysiging: Werk saam met die verkoper om te onderhandel en kontraktaal te wysig om enige geïdentifiseerde bekommernisse of leemtes aan te spreek.
    4. Goedkeuring en ondertekening: Verkry die nodige goedkeurings vir die kontrak en teken die ooreenkoms sodra alle partye tevrede is met die bepalings en voorwaardes.
  3. Deurlopende Verkoperbestuur
    1. Gereelde monitering: Monitor die verskaffer se prestasie, sekuriteitspraktyke en nakoming deurlopend deur die duur van die kontrak.
    2. Kontrakhernuwingshersiening: Kontrakhernuwings is afhanklik van Gemeenskapskollege se kontrakteregstatute. Doen 'n deeglike hersiening van ondernemerverhoudings, insluitend herevaluering van nuwe HECVAT, bepalings en voorwaardes, en kontraktaal, tydens die kontrakhernuwingsproses.
    3. Verkoperprestasie-evaluering: Evalueer periodiek verkoperprestasie teenoor gevestigde diensvlakooreenkomste en verwagtinge.
    4. Voorvalreaksie: Volg die Insidentreaksie-prosedure om enige sekuriteitsbreuke of data-insidente waarby verskaffers betrokke is, onmiddellik aan te spreek.
    5. Verkoper Offboarding: Ontwikkel 'n proses om behoorlike offboarding van verkopers te verseker, insluitend die terugstuur van sensitiewe inligting en die beëindiging van stelseltoegang.
  4. Dokumentasie en Rapportering
    1. dokumentasie
      1. Kontrakbewaarplek: Alle verskafferkontrakte, insluitend hul bepalings en voorwaardes, wysigings en verwante dokumente, moet in die kollege se kontrakbestuurstelsel gestoor word. Maak seker dat die kontrakbewaarplek georganiseer, maklik toeganklik en gereeld bygewerk is.
      2. Voltooide HECVAT- en sekuriteitsdokumentasie: Hou 'n rekord van alle HECVAT's en sekuriteitsoudits wat van verskaffers ontvang is, insluitend enige ondersteunende dokumentasie of verduidelikings wat deur die verskaffers verskaf word.
      3. Risiko-evaluerings: Dokumenteer die resultate van risiko-evaluerings wat uitgevoer is op grond van die HECVAT en enige bykomende assesserings of oudits wat uitgevoer is.
      4. Voorvalverslae: Hou rekord van enige sekuriteitsinsidente of oortredings waarby verkopers betrokke is, saam met die ooreenstemmende insidentreaksie-aksies wat geneem is.
    2. Verslagdoening
      1. Bestuursverslaggewing: Verskaf gereelde verslae aan uitvoerende bestuur, insluitend die Hoofinligtingsbeampte (CIO) en Kabinet, wat die verskafferrisiko-landskap, versagtingspogings en noemenswaardige voorvalle of bekommernisse opsom.
      2. Kontrakhernuwingsverslag: Berei 'n omvattende verslag voor wat die bevindinge van die kontrakhernuwingsoorsig beklemtoon, insluitend enige aanbevole veranderinge of verbeterings aan verkoperverhoudings.
      3. Voldoeningsverslagdoening: Genereer periodieke verslae oor verskaffers se nakoming van toepaslike regulasies, kontraktuele verpligtinge en ooreengekome sekuriteitstandaarde.
    3. Rekordbehoud
      1. Behoudtydperk: Ondernemersrisiko-evalueringsdokumentasie sal rekordbehoudskedules vir verskafferverwante dokumentasie volg, wat voldoening aan wetlike, regulatoriese en interne vereistes verseker.
      2. Dataprivaatheid en -beskerming: Voldoen aan toepaslike dataprivaatheid- en -beskermingsregulasies wanneer verskafferverwante dokumente gestoor en hanteer word, om te verseker dat behoorlike voorsorgmaatreëls in plek is.

Goedgekeur deur die Kabinet: Mei 2023
Verwante Raadsbeleid: Inligtingstegnologiedienste

Terug te keer na Policies and Procedures