Prosedure vir inligtingsekuriteitsplan

 

Inleiding

Die doel van die ontwikkeling en implementering van hierdie omvattende geskrewe inligtingsekuriteitsplanprosedure (“Plan”) is om doeltreffende administratiewe, tegniese en fisiese beveiligingsmaatreëls te skep vir die beskerming van “persoonlike inligting” van voornemende studente, aansoekers, studente, werknemers, alumni , en vriende van Hudson County Community College, en om te voldoen aan ons verpligtinge kragtens New Jersey regulasie 201 CMR 17.00. Die Plan stel ons prosedures uiteen vir die evaluering van ons elektroniese en fisiese metodes om toegang tot, insamel, berg, gebruik, oordrag en beskerming van “persoonlike inligting” van die Kollege se bestanddele te verkry.

Vir doeleindes van hierdie Plan word "persoonlike inligting" gedefinieer as 'n persoon se voornaam en van, of eerste voor- en van, in kombinasie met enige een of meer van die volgende data-elemente wat met sodanige inwoner verband hou: (a) Sosiaal Sekuriteitsnommer; (b) bestuurslisensienommer of staatsuitgereikte identifikasiekaartnommer; of (c) finansiële rekeningnommer of krediet- of debietkaartnommer, met of sonder enige vereiste sekuriteitskode, toegangskode, persoonlike identifikasienommer of wagwoord wat toegang tot 'n inwoner se finansiële rekening sal toelaat waar Hudson County Community College die bewaarder van daardie data is ; met dien verstande egter dat "persoonlike inligting" nie inligting sal insluit wat wettiglik verkry word uit publiek beskikbare inligting, of uit federale, staats- of plaaslike regeringsrekords wat wettiglik aan die algemene publiek beskikbaar gestel word nie.

Doel

Die doel van hierdie plan is om:

    1. Verseker die sekuriteit en vertroulikheid van persoonlike inligting;
    2. Beskerm teen enige potensiële bedreigings of gevare vir die sekuriteit of integriteit van persoonlike inligting; en,
    3. Beskerm teen ongemagtigde toegang tot, of gebruik van, persoonlike inligting op 'n wyse wat 'n wesenlike risiko van identiteitsdiefstal of bedrog skep.

Omvang

In die formulering en implementering van die Plan sal die instelling: (1) redelik voorsienbare interne en eksterne risiko's identifiseer vir die sekuriteit, vertroulikheid en integriteit van enige elektroniese, papier- of ander rekords wat persoonlike inligting bevat; (2) evalueer die waarskynlikheid en potensiële skade van hierdie bedreigings, met inagneming van die sensitiwiteit van die persoonlike inligting; (3) die toereikendheid van bestaande beleide, praktyke, prosedures, inligtingstelsels en ander voorsorgmaatreëls wat in plek is om risiko's te beheer, evalueer; (4) 'n plan ontwerp en implementeer wat voorsorgmaatreëls in plek stel om daardie risiko's te minimaliseer, in ooreenstemming met die vereistes van 201 CMR 17.00; en (5) die Plan gereeld monitor.

Datasekuriteitskoördineerder

HCCC het die Hoofinligtingsbeampte (CIO) en Visepresident vir Besigheid en Finansies/CFO aangewys om die Plan te implementeer, toesig te hou en in stand te hou. Die CIO en Visepresident vir Besigheid en Finansies/CFO sal verantwoordelik wees vir:

    1. Aanvanklike implementering van die Plan;
    2. Toesig oor deurlopende werknemeropleiding oor die elemente en vereistes van die Plan vir alle eienaars, bestuurders, werknemers en onafhanklike kontrakteurs wat toegang tot persoonlike inligting het;
    3. Monitering van die Plan se voorsorgmaatreëls;
    4. Assessering van derdepartydiensverskaffers wat toegang het tot en gasheer/sender/rugsteun/onderhou persoonlike inligting, en vereis dat daardie diensverskaffers per kontrak sulke toepaslike sekuriteitsmaatreëls implementeer en in stand hou om persoonlike inligting te beskerm;
    5. Hersiening van die omvang van die sekuriteitsmaatreëls in die Plan jaarliks, of wanneer daar ook al 'n wesenlike verandering in HCCC se besigheidspraktyke is wat die sekuriteit of integriteit van rekords wat persoonlike inligting bevat kan impliseer; en,
    6. Hersiening van wetgewing en wette en opdatering van beleide en prosedures soos vereis.

Interne risiko's

Om interne risiko's vir die sekuriteit, vertroulikheid en integriteit van enige elektroniese, papier- of ander rekords wat persoonlike inligting bevat te bekamp, ​​en om, waar nodig, die doeltreffendheid van die huidige voorsorgmaatreëls vir die beperking van sulke risiko's te evalueer en te verbeter, die volgende maatreëls is verpligtend en onmiddellik van krag: 

Administratiewe Maatreëls

      1. 'n Afskrif van die Plan sal aan die President, die President se Kabinet, Inligtingstegnologiedienste (ITS) personeel en ander aangewese personeellede wat persoonlike inligting hanteer, versprei word. By ontvangs van die Plan moet elke individu skriftelik erken dat hulle 'n afskrif van die Plan ontvang het.
      2. Na opleiding sal daar van alle personeel verwag word om vertroulikheidsooreenkomste te onderteken wat die hantering van persoonlike inligting beskryf. Die vertroulikheidsooreenkomste sal van personeellede vereis om enige verdagte of ongemagtigde gebruik van "persoonlike inligting" aan die CIO of die Visepresident vir Menslike Hulpbronne te rapporteer.
      3. Die hoeveelheid persoonlike inligting wat ingesamel word, moet beperk word tot wat redelikerwys nodig is om wettige besigheidsdoeleindes te bereik. Persoonlike inligtinggebruik word aangespreek deur oudits op verskeie gebiede.
      4. Alle datasekuriteitsmaatreëls sal ten minste jaarliks ​​hersien word, of wanneer daar ook al 'n wesenlike verandering in HCCC se besigheidspraktyk of wetsverandering is wat die sekuriteit of integriteit van rekords wat persoonlike inligting bevat, redelikerwys kan impliseer. Die CIO en Visepresident vir Besigheid en Finansies/CFO sal verantwoordelik wees vir hierdie hersiening en sal departementshoofde ten volle in kennis stel van die resultate van daardie hersiening en enige aanbevelings vir verbeterde sekuriteit wat uit daardie hersiening voortspruit.
      5. Wanneer daar 'n voorval is wat kennisgewing vereis onder NJ Stat. § 56:8-163, New Jersey se wet op die aanmelding van data-oortredings oor persoonlike inligting, sal daar 'n onmiddellike verpligte na-voorval hersiening wees van gebeure en aksies wat geneem is, indien enige, om te bepaal of enige veranderinge in HCCC se sekuriteitspraktyke nodig is om te verbeter die sekuriteit van persoonlike inligting onder die Plan.
      6. Elke departement sal reëls ontwikkel (met die besigheidsbehoeftes van daardie departement in gedagte) wat verseker dat redelike beperkings op fisiese toegang tot persoonlike inligting in plek is, insluitend 'n skriftelike prosedure wat aandui hoe die rekord se fisiese toegang beperk word. Elke departement moet sulke rekords en data in geslote fasiliteite, veilige stoorareas of geslote kaste stoor.
      7. Behalwe vir Stelseladministrasie-rekeninge, sal toegang tot elektronies gestoor persoonlike inligting elektronies beperk word tot daardie werknemers wat 'n unieke aanmeld-ID het, met toepaslike toegang. Toegang sal nie verleen word aan werknemers wie die CIO bepaal nie toegang tot elektronies gestoor persoonlike inligting nodig het nie.
      8. Wanneer 'n vertroulikheidsooreenkoms nie in plek is nie, moet besoekers- of kontrakteurstoegang tot sensitiewe data, insluitend maar nie beperk nie tot wagwoorde, enkripsiesleutels en tegniese spesifikasies, wanneer nodig, skriftelik ingestem word. Toegang sal beperk word tot die minimum bedrag wat nodig is. As afstandaanmelding nodig is vir toegang, moet daardie toegang ook deur HCCC se ITS-afdeling goedgekeur word.

Fisiese maatreëls

      1. Toegang tot rekords wat persoonlike inligting bevat sal beperk word tot diegene wat redelikerwys vereis word om sulke inligting te ken om HCCC se wettige besigheidsdoel te bereik. Om onnodige openbaarmaking te versag, sal sensitiewe en persoonlike inligting geredigeer word, papierrekords sal in geslote fasiliteite gestoor word, en datasekuriteitskontroles vir elektroniese rekords sal geïmplementeer word.
      2. Aan die einde van die werksdag moet alle nie-elektroniese lêers en ander rekords wat persoonlike inligting bevat in geslote kamers, kantore of kaste gestoor word.
      3. Papierrekords wat persoonlike inligting bevat, moet op 'n wyse wat aan NJ Stat voldoen, weggedoen word. § 56:8-163, New Jersey se wet op die rapportering van data-oortredings oor persoonlike inligting. Dit beteken dat rekords weggedoen moet word deur 'n kruissnyversnipperaar, of ander metodes wat die inligting onleesbaar maak, te gebruik.

Tegniese maatreëls

      1. HCCC laat nie werknemers toe om persoonlike inligting op draagbare media te stoor nie. Dit sluit skootrekenaars, USB, CD's, ens. in. Wanneer werknemers wat toegang tot persoonlike inligting het, beëindig word, sal HCCC hul toegang tot netwerkhulpbronne en fisiese toestelle wat persoonlike inligting bevat, beëindig. Dit sluit beëindiging of oorgawe van netwerkrekeninge, databasisrekeninge, sleutels, kentekens, fone en skootrekenaars of rekenaars in.
      2. Daar word van werknemers vereis om hul wagwoorde op 'n roetine-basis te verander vir stelsels wat persoonlike inligting bevat.
      3. Toegang tot persoonlike inligting sal beperk word tot aktiewe gebruikers, en slegs aktiewe gebruikerrekeninge.
      4. Waar tegnies moontlik, sal alle HCCC-stelsels wat persoonlike inligting stoor, outomatiese sluitfunksies gebruik wat toegang sluit na verskeie onsuksesvolle aanmeldpogings.
      5. Elektroniese rekords (insluitend rekords wat op hardeskywe en ander elektroniese media gestoor is) wat persoonlike inligting bevat, sal weggedoen word in ooreenstemming met en wyse wat aan NJ Stat voldoen. § 56:8-163, New Jersey se wet op die rapportering van data-oortredings oor persoonlike inligting. Dit vereis dat inligting vernietig of uitgevee word sodat persoonlike inligting nie prakties gelees of gerekonstrueer kan word nie.

Eksterne risiko's

      1. Om eksterne risiko's vir die sekuriteit, vertroulikheid en integriteit van enige elektroniese, papier- of ander rekords wat persoonlike inligting bevat te bekamp, ​​en om waar nodig die doeltreffendheid van die huidige voorsorgmaatreëls vir die beperking van sulke risiko's te evalueer of te verbeter, is die volgende maatreëls verpligtend en onmiddellik van krag:

a.) Daar is redelik bygewerkte brandmuurbeskerming en bedryfstelselsekuriteitspleisters wat redelik ontwerp is om die integriteit van persoonlike inligting wat op stelsels met persoonlike inligting geïnstalleer is, te handhaaf.

b.) Daar is redelik bygewerkte weergawes van stelselsekuriteitsagentsagteware wat wanwarebeskerming insluit, en redelik bygewerkte pleisters en virusdefinisies geïnstalleer op stelsels wat persoonlike inligting verwerk.

c.)Wanneer dit op HCCC se netwerkaandele gestoor word, moet lêers wat persoonlike inligting bevat geënkripteer word. HCCC laat nie toe dat persoonlike inligting op skootrekenaars, rekenaars, USB-toestelle of ander draagbare media gestoor word nie. HCCC sal enkripsiesagteware ontplooi om aan hierdie doelwit te voldoen.

d.) Enige persoonlike inligting wat elektronies aan derdeparty-verskaffers oorgedra word, moet gestuur word via die verkoper se geënkripteerde diens of deur HCCC se aangewese geënkripteerde diens vir veilige oordrag. 

e.) Alle nuwe diensverskaffers wat HCCC se persoonlike inligting in elektroniese vorm stoor, sal voldoende veiligheidsmaatreëls deur die EDUCAUSE HECVAT of soortgelyke instrument moet demonstreer. Hierdie verskaffers moet ook goedgekeur word deur HCCC se visepresident vir finansies en besigheid/ finansiële hoof.

f.) Personeel van Menslike Hulpbronne en Inligtingstegnologiedienste moet die prosedures volg wat uiteengesit is in die HCCC Aanvaarbare Gebruiksprosedure vir Inligtingstegnologiestelsels wat verband hou met die skep, oordrag of beëindiging van rekeninge, tesame met beleide vir wagwoordberging en rolgebaseerde sekuriteit.

g.) Alle persoonlike inligting sal na aanleiding van HCCC weggedoen word Policies and Procedures.

h.) Soos hulpbronne en begroting dit toelaat, sal HCCC tegnologie implementeer wat die Kollege in staat sal stel om databasisse te monitor vir ongemagtigde gebruik van, of toegang tot, persoonlike inligting, en veilige stawingsprotokolle en toegangsbeheermaatreëls ingevolge HCCC se prosedures te gebruik.

Goedgekeur deur die Kabinet: Julie 2021
Verwante Raadsbeleid: ITS

Terug te keer na Policies and Procedures