Палітыка паслуг у галіне інфармацыйных тэхналогій

 

Прызначэнне

This policy provides the expectations and guidelines of Hudson County Community College (“College”) to all who use and manage the College’s Information Technology Services and Resources (“ITS Resources”).

The College provides ITS Resources to advance the College’s educational, service, business, and student success objectives. Any access or use of the College’s ITS Resources that interferes, interrupts, or conflicts with these purposes will be considered a violation of this policy. They will be subject to consequences, including revocation of ITS access.

ПАЛІТЫКА

This policy applies to all members of the College community, including faculty, students, administrators, staff, alumni, authorized guests, and independent contractors who use, access, or otherwise employ, locally or remotely, the College’s ITS Resources, whether individually controlled, shared, stand-alone, or networked.

The Board delegates to the President the responsibility to develop procedures and guidelines for the implementation of this policy. The Information Technology Services and Finance Office will be responsible for implementing the policy.

Зацверджана: чэрвень 2021 г
Зацверджаны: Апякунскі савет
Category: Information Technology Services
Запланаваны разгляд: чэрвень 2024 г
Responsible Office(s): Information Technology Services and Finance Office

 

Працэдуры

Дапушчальнае выкарыстанне для працэдуры сістэм інфармацыйных тэхналогій

Увядзенне

Гэтая працэдура накіравана на тое, каб інфармацыйна-тэхналагічныя сістэмы каледжа (ІТС) выкарыстоўваліся для далейшага выканання місіі каледжа. Гэтая працэдура адпавядае Палітыцы HCCC у галіне інфармацыйна-тэхналагічных паслуг, зацверджанай Радай папячыцеляў HCCC.

дастасавальнасць

Гэтая працэдура прымяняецца да ўсіх індывідуальных карыстальнікаў, якія атрымліваюць доступ і выкарыстоўваюць вылічальныя, сеткавыя і інфармацыйныя рэсурсы праз любы аб'ект каледжа. Да гэтых карыстальнікаў адносяцца ўсе супрацоўнікі Hudson County Community College, выкладчыкі, адміністратары і іншыя асобы, нанятыя або нанятыя для выканання працы ў каледжы.

Гэтая працэдура ахоплівае ўсе сістэмы інфармацыйных тэхналогій каледжа, у тым ліку вылічальныя, сеткавыя і іншыя рэсурсы інфармацыйных тэхналогій, якія належаць або кіруюцца Каледжам, закупляюцца праз яго або па кантракце Каледжа. Такія рэсурсы ўключаюць у сябе вылічальныя і сеткавыя сістэмы Каледжа (у тым ліку падлучаныя да тэлекамунікацыйнай інфраструктуры Каледжа, агульнакаледжскіх магістраляў, лакальных сетак і Інтэрнэту), сайты агульнага доступу, агульныя камп'ютэрныя сістэмы, настольныя кампутары, мабільныя прылады і іншыя камп'ютэрнае абсталяванне, праграмнае забеспячэнне, базы дадзеных, якія захоўваюцца ў сетцы або даступныя праз яе, сродкі ITS/карпаратыўных прыкладанняў, а таксама сістэмы і паслугі сувязі.

Падсправаздачнасць

Галоўны інфармацыйны дырэктар (CIO) і дырэктары/менеджэры ITS/карпаратыўных прыкладанняў павінны ўкараніць гэтую працэдуру. Паведамленні карыстальнікаў аб падазрэнні ў злоўжываннях і іншыя скаргі накіроўваюцца ІТ-дырэктару. ІТ-дырэктар павінен паведаміць пра інцыдэнт віцэ-прэзідэнту па бізнесе і фінансах/фінансаваму дырэктару. Асаблівасці працэдуры апісаны ніжэй у раздзеле «Невыкананне і санкцыі».

недатыкальнасць прыватнага жыцця

Каледж надае вялікае значэнне канфідэнцыяльнасці і прызнае яе вырашальнае значэнне ў акадэмічным асяроддзі. У абмежаваных абставінах, уключаючы, але не абмяжоўваючыся, тэхнічныя праблемы або збоі, запыты праваахоўных органаў або дзяржаўныя пастановы, Каледж можа вызначыць, што іншыя інтарэсы пераважваюць значэнне чаканняў карыстальніка адносна прыватнасці. Толькі ў такім выпадку каледж атрымае доступ да адпаведных ІТ-сістэм без згоды карыстальніка. Каледж імкнецца абараняць прыватнасць карыстальнікаў, пакуль гэта не ставіць пад пагрозу інстытуцыйныя рэсурсы. Абставіны, пры якіх каледжу можа спатрэбіцца атрымаць доступ, разглядаюцца ніжэй. Працэдурныя гарантыі былі створаны, каб гарантаваць доступ дасягаецца толькі ў выпадку неабходнасці.

ўмовы – У адпаведнасці з дзяржаўным і федэральным заканадаўствам каледж можа атрымаць доступ да ўсіх аспектаў ІТ-сістэм без згоды карыстальніка ў наступных выпадках:

      1. Пры неабходнасці ідэнтыфікацыі або дыягностыкі ўразлівасцяў і праблем у сістэмах або бяспецы або іншым чынам захаваць цэласнасць ІТ-сістэм каледжа;
      2. Калі гэтага патрабуюць федэральныя, дзяржаўныя або мясцовыя законы або адміністрацыйныя правілы; 
      3. Калі ёсць разумныя падставы меркаваць, што магло адбыцца парушэнне закону або істотнае парушэнне палітыкі або працэдур каледжа, і доступ і праверка або маніторынг могуць даць доказы, звязаныя з парушэннем паводзін;
      4. Калі такі доступ да ІТ/сістэм карпаратыўных прыкладанняў патрабуецца для выканання асноўных бізнес-функцый каледжа; і,
      5. Калі патрабуецца захаванне здароўя і бяспекі насельніцтва.

Згодна з Законам Нью-Джэрсі аб адкрытых публічных дакументах, каледж пакідае за сабой права доступу і раскрыцця дадзеных. Гэта паведамленне можа ўключаць у сябе паведамленні, дадзеныя, файлы і рэзервовыя копіі электроннай пошты або архівы. Раскрыццё інфармацыі праваахоўным органам і іншым асобам павінна ажыццяўляцца ў адпаведнасці з патрабаваннямі закону, каб адказаць на судовыя працэсы і выканаць свае абавязацельствы перад трэцімі асобамі. Нават выдаленая электронная пошта падлягае юрыдычнаму выяўленню падчас судовага разбору праз архівы паведамленняў, рэзервовыя копіі стужак і невыдаленыя паведамленні.

Працэс – Каледж будзе атрымліваць доступ да даных без згоды карыстальніка толькі з адабрэння ІТ-дырэктара і віцэ-прэзідэнта па бізнесе і фінансах/фінансавага дырэктара. Гэты працэс можна будзе абыйсці толькі тады, калі экстраны доступ да даных неабходны для захавання цэласнасці аб'ектаў і аховы здароўя і бяспекі насельніцтва. Каледж праз ІТ-дырэктара будзе рэгістраваць усе выпадкі доступу без згоды. Карыстальнік будзе апавешчаны аб доступе каледжа да адпаведных ІТ-сістэм без згоды. У залежнасці ад абставін такое апавяшчэнне будзе адбывацца да, падчас або пасля доступу па меркаванні каледжа.

Агульныя прынцыпы

  1. Доступ да інфармацыйных тэхналогій мае жыццёва важнае значэнне для выканання місіі каледжа па прадастаўленні сваім студэнтам адукацыйных паслуг вышэйшай якасці.
  2. Каледж валодае сваімі вылічальнымі, сеткавымі і іншымі сістэмамі сувязі.
  3. Каледж таксама валодае рознымі ліцэнзійнымі правамі на праграмнае забеспячэнне і інфармацыю, якія знаходзяцца на гэтых кампутарах і сетках або распрацоўваюцца на іх. Каледж нясе адказнасць за бяспеку, цэласнасць, абслугоўванне і канфідэнцыяльнасць сваіх сістэм сувязі.
  4. ІТ-сістэмы каледжа існуюць для падтрымкі супрацоўнікаў, выкладчыкаў, адміністратараў, кансультантаў і студэнтаў у выкананні імі місіі каледжа. У гэтых мэтах Каледж заахвочвае і садзейнічае выкарыстанню гэтых рэсурсаў супольнасцю каледжа па прызначэнні. Доступ і выкарыстанне гэтых рэсурсаў па-за межамі місіі Каледжа падлягае рэгуляванню і абмежаванням, каб гарантаваць, што яны не перашкаджаюць законнай працы. Доступ і выкарыстанне рэсурсаў і паслуг, якія перашкаджаюць місіі і мэтам каледжа, забаронены.
  5. Калі попыт на рэсурсы інфармацыйных тэхналогій перавышае даступны аб'ём, ITS устанаўлівае прыярытэты для размеркавання рэсурсаў. ITS надае большы прыярытэт дзейнасці, важнай для місіі каледжа. Разам з галоўным інфармацыйным дырэктарам віцэ-прэзідэнты рэкамендуюць прэзідэнту гэтыя прыярытэты.
  6. Каледж мае права кантраляваць або адмаўляць у доступе ўсім, хто парушае гэтую працэдуру. Пагроза правам іншых карыстальнікаў, даступнасці і цэласнасці сістэм і інфармацыі з'яўляецца парушэннем гэтай працэдуры. Наступствы парушэння працэдуры ўключаюць дэактывацыю ўліковых запісаў, кодаў доступу або дазволаў бяспекі, спыненне працэсаў, выдаленне закранутых файлаў і адключэнне доступу да рэсурсаў інфармацыйных тэхналогій.

Правы карыстальнікаў

  1. Канфідэнцыяльнасць і канфідэнцыяльнасць: як больш падрабязна апісана ў раздзеле IV (вышэй), Каледж звычайна будзе паважаць правы карыстальнікаў на прыватнасць і канфідэнцыяльнасць. Аднак па сваёй тэхналагічнай прыродзе электронная сувязь, асабліва электронная пошта, падлучаная да Інтэрнэту, не можа быць абаронена ад несанкцыянаванага доступу, прагляду або парушэння. Хаця Каледж выкарыстоўвае тэхналогіі для абароны электронных паведамленняў, канфідэнцыяльнасць электроннай пошты і іншых электронных дакументаў не заўсёды можа быць гарантавана. Такім чынам, добрае меркаванне патрабуе стварэння электронных дакументаў, якія могуць стаць агульнадаступнымі без збянтэжанасці і шкоды.
  2. Бяспека: выкарыстанне выкладчыкамі, супрацоўнікамі або адміністратарамі ІТ-сістэм каледжа для перадачы паведамленняў з пагрозамі, пераследам або абразлівых паведамленняў (або дэманстрацыі абразлівых малюнкаў або матэрыялаў) з'яўляецца парушэннем працэдуры каледжа і можа падвергнуць парушальніка жорсткім санкцыям. . Персанал каледжа павінен як мага хутчэй паведамляць ІТ-дырэктара аб пагрозах, пераследу або абразлівых паведамленнях, атрыманых па сетцы.

Абавязкі карыстальнікаў

  1. Асобы, якія маюць доступ да вылічальных, сеткавых і інфармацыйных рэсурсаў каледжа, нясуць адказнасць за іх выкарыстанне прафесійна, этычна і законна і ў адпаведнасці з усімі дзеючымі палітыкамі каледжа. Карыстальнікі павінны прымаць разумныя і неабходныя меры для забеспячэння функцыянальнай цэласнасці і даступнасці сістэм каледжа. Карыстальнікі павінны падтрымліваць акадэмічнае і працоўнае асяроддзе, спрыяльнае для эфектыўнага і прадуктыўнага выканання місіі каледжа. У прыватнасці, у абавязкі карыстальнікаў уваходзіць:
      1. Паважаць правы іншых, у тым ліку іх правы на інтэлектуальную ўласнасць, канфідэнцыяльнасць і свабоду ад пераследу;
      2. Захаванне канфідэнцыяльнасці канфідэнцыйнай інфармацыі каледжа і канфідэнцыяльнасці інфармацыі аб студэнтах у адпаведнасці з палітыкай і працэдурамі FERPA і каледжа;
      3. Выкарыстанне сістэм і рэсурсаў, каб не перашкаджаць і не парушаць звычайныя паўсядзённыя аперацыі каледжа;
      4. Абарона бяспекі і цэласнасці інфармацыі, якая захоўваецца ў ІТ-сістэмах каледжа/прадпрыемствах;
      5. Веданне і выкананне палітык і працэдур каледжа і канкрэтных падраздзяленняў, якія рэгулююць доступ і выкарыстанне ІТ-сістэм каледжа і інфармацыі аб гэтых сістэмах.

Асобныя забароны на выкарыстанне сеткі

  1. Асобы не могуць перадаваць паролі або ідэнтыфікатары ўваходу ў сістэму або іншым чынам даваць іншым доступ да любой сістэмы, для якой яны не з'яўляюцца асобай, адказнай за дадзеныя або сістэму. Карыстальнікі нясуць адказнасць за любыя дзеянні, якія праводзяцца з іх уліковымі запісамі на кампутары, і за бяспеку сваіх пароляў. Толькі ўпаўнаважаныя асобы могуць выкарыстоўваць ІТ/карпаратыўныя прыкладныя сістэмы каледжа.
  2. Асобы не могуць выкарыстоўваць сеткавы ўліковы запіс іншага чалавека або спрабаваць атрымаць паролі або коды доступу да чужога сеткавага ўліковага запісу для адпраўкі або атрымання паведамленняў.
  3. Фізічныя асобы павінны дакладна і належным чынам ідэнтыфікаваць сябе і сваю прыналежнасць у электронных паведамленнях. Яны не могуць маскіраваць ідэнтыфікацыю сеткавага ўліковага запісу, які ім прызначаны, або прадстаўляць сябе кімсьці іншым.
  4. Асобы не могуць выкарыстоўваць сістэмы каледжа для пераследу, запалохвання, пагроз ці абразы іншых; перашкаджаць чужой працы або адукацыі; для стварэння палохаючага, варожага або абразлівага працоўнага або навучальнага асяроддзя; або весці незаконную або неэтычную дзейнасць, уключаючы плагіят і ўварванне ў прыватнае жыццё.
  5. Асобы не могуць выкарыстоўваць сістэмы каледжа для атрымання або спробы атрымаць несанкцыянаваны доступ да аддаленых сетак або камп'ютэрных сістэм.
  6. Асобы не павінны наўмысна парушаць нармальную працу камп'ютараў, працоўных станцый, тэрміналаў, перыферыйных прылад або сетак каледжа.
  7. Асобам забараняецца запускаць або ўсталёўваць праграмы на любой кампутарнай сістэме каледжа, якія могуць пашкодзіць дадзеныя і сістэмы каледжа (напрыклад, кампутарныя вірусы, асабістыя праграмы). Карыстальнікі не павінны выкарыстоўваць сетку каледжа для парушэння працы знешніх сістэм. Калі карыстальнік падазрае, што праграма, якую ён збіраецца ўсталяваць або выкарыстоўваць, можа выклікаць такі эфект, ён павінен спачатку пракансультавацца з ITS/Enterprise Applications.
  8. Асобы не могуць абыходзіць або пазбягаць выкарыстання сістэм аўтэнтыфікацыі, механізмаў абароны даных або іншых мер бяспекі.
  9. Асобы не павінны парушаць дзеючыя законы аб аўтарскім праве і ліцэнзіі, і яны павінны паважаць іншыя правы інтэлектуальнай уласнасці. Інфармацыя і праграмнае забеспячэнне, даступныя ў інтэрнэце, з'яўляюцца аб'ектамі аўтарскага права або дадатковай аховы інтэлектуальнай уласнасці. Палітыка каледжа, працэдуры і закон забараняюць несанкцыянаванае капіраванне праграмнага забеспячэння, якое не было размешчана ў грамадскім здабытку і не распаўсюджвалася як «бясплатнае». Такім чынам, нічога нельга спампоўваць або капіяваць з Інтэрнэту без відавочнага дазволу ўладальніка матэрыялу. Карыстальнікі павінны выконваць патрабаванні або абмежаванні ўладальніка матэрыялу. Таксама забаронена выкарыстанне праграмнага забеспячэння на больш чым ліцэнзійнай колькасці кампутараў і несанкцыянаваная ўстаноўка неліцэнзійнага праграмнага забеспячэння.
    Умоўна-бясплатныя карыстальнікі павінны выконваць патрабаванні ўмоўна-бясплатнага пагаднення.
  10. Забараняецца дзейнасць, якая марнуе або несправядліва манапалізуе вылічальныя рэсурсы і не спрыяе выкананню місіі каледжа. Прыклады такой дзейнасці ўключаюць несанкцыянаваныя масавыя рассылкі па электроннай пошце; электронныя ланцужныя лісты, непажаданая пошта і іншыя віды шырокавяшчальных паведамленняў; непатрэбныя некалькі працэсаў, выхад або трафік; перавышэнне абмежаванняў прасторы сеткавага каталога; гульні, «сёрфінг» у інтэрнэце ў забаўляльных мэтах або іншыя праграмы, не звязаныя з працай, у працоўны час; і празмерны друк.
  11. Чытанне, капіраванне, змяненне або выдаленне праграм або файлаў, якія належаць іншай асобе або каледжу, без дазволу забаронена.
  12. Фізічныя асобы не павінны выкарыстоўваць вылічальныя рэсурсы каледжа ў камерцыйных мэтах або асабістай фінансавай выгады.
  13. Выкарыстанне ІТ-сістэм Каледжа, якое парушае мясцовыя, дзяржаўныя або нацыянальныя законы або правілы або палітыку, стандарты паводзін або рэкамендацыі Каледжа, забаронена.
  14. Камунікацыі па электроннай пошце:
      1. Сістэма электроннай пошты каледжа існуе для падтрымкі працы каледжа, і выкарыстанне электроннай пошты павінна быць звязана з бізнесам каледжа. Аднак таксама дазваляецца выпадковае асабістае, некамерцыйнае выкарыстанне без прамых выдаткаў для каледжа, якое не перашкаджае законнаму бізнесу каледжа.
      2. Электронныя паведамленні, значэнне, перадача або распаўсюджванне якіх з'яўляюцца незаконнымі, неэтычнымі, махлярскімі, паклёпніцкімі, пераследуючымі або безадказнымі, забароненыя. Сістэмы электроннай пошты каледжа не павінны выкарыстоўвацца для перадачы змесціва, якое можа лічыцца недарэчным, абразлівым або непаважлівым да іншых.
      3. Асобы павінны прытрымлівацца адпаведных прафесійных стандартаў ветлівасці і прыстойнасці ва ўсіх электронных зносінах.
      4. Уся карэспандэнцыя па электроннай пошце, звязаная з бізнесам каледжа (у тым ліку дасланая студэнтам і будучым студэнтам), павінна быць адпраўлена на простым белым фоне і не павінна выкарыстоўваць ніякіх дэкаратыўных канцтавараў.
      5. Электронныя паведамленні, якія перадаюцца Супольнасці каледжа, будуць датычыцца палітыкі і працэдур каледжа, навін каледжа, мерапрыемстваў, спансаваных каледжам, або пытанняў, якія ўплываюць на супольнасць каледжа. Прадметы для продажу, запыты на ахвяраванні і іншыя дзелавыя пытанні, не звязаныя з каледжам, забароненыя. Асобы не могуць адпраўляць электронныя лісты з запытам такой інфармацыі праз спісы рассылання каледжа.

Сусветная павуціна

  1. Вэб-сайт грамадскага каледжа акругі Хадсан з'яўляецца афіцыйным выданнем каледжа. Уся інфармацыя, якая змяшчаецца на вэб-старонках, павінна быць дакладнай і адлюстроўваць афіцыйную палітыку і працэдуры каледжа.
  2. Афіцыйныя вэб-старонкі каледжа адпавядаюць тым жа стандартам, што і любыя друкаваныя выданні каледжа. Канчатковую адказнасць за змест і дызайн кожнай старонкі нясуць ІТ-дырэктар, дырэктар па маркетынгу і сувязях з каледжам, менеджэр вэб-сэрвісаў і адпаведны віцэ-прэзідэнт або ўпаўнаважаная імі асоба.
  3. Менеджэр вэб-сэрвісаў і супрацоўнікі каледжа, адказныя за кожнае падраздзяленне або дэпартамент, будуць рэгулярна правяраць валюту і дакладнасць афіцыйных вэб-старонак Hudson County Community College. Асобныя вобласці нясуць адказнасць за перадачу версій і абнаўленняў, калі яны з'яўляюцца, кіраўніку вэб-сэрвісаў, які праглядае іх і арганізуе іх размяшчэнне.

Невыкананне і санкцыі

Невыкананне гэтай працэдуры можа прывесці да адмовы або пазбаўлення прывілеяў доступу да электронных сістэм каледжа, дысцыплінарных мер у адпаведнасці з дзеючымі палітыкамі і працэдурамі каледжа, грамадзянскай адказнасці і судовага разбору, а таксама крымінальнага пераследу ў адпаведнасці з адпаведнымі дзяржаўнымі, федэральнымі і мясцовымі законамі.

Працэс расследавання меркаваных злоўжыванняў і невыканання гэтай працэдуры выглядае наступным чынам:

    1. Паведаміце ІТ-дырэктару аб падазрэнні ў злоўжыванні.
    2. Калі ёсць згода віцэ-прэзідэнта па бізнесе і фінансах/фінансавага дырэктара, ІТ-дырэктар павінен расследаваць справаздачу.
    3. ІТ-дырэктар павінен паведаміць аб любых выяўленых злоўжываннях адпаведнаму віцэ-прэзідэнту падраздзялення, які вызначыць адпаведныя дысцыплінарныя меры.

Працэдуры ўліковых запісаў сеткі, электроннай пошты і Інтэрнэту

Прыдатныя для ўліковых запісаў наступныя:

    1. Усе наёмныя супрацоўнікі Грамадскага каледжа акругі Хадсан поўны працоўны дзень.
    2. Усе дадатковыя выкладчыкі і іншыя кансультанты, прыцягнутыя Каледжам праз лісты пагаднення, мемарандумы аб узаемаразуменні або кантракты.
    3. Усе члены апякунскага савета.
    4. Супрацоўнікі Hudson County Community College, якія працуюць няпоўны працоўны дзень і маюць прадэманстраваную патрэбу ў камп'ютэрных рэсурсах, даступных з ITS/Enterprise Applications (акрамя агульнага доступу ў Інтэрнэт), звязаных з іх працай у каледжы, маюць права на часовыя ўліковыя запісы.
    5. Супрацоўнікі даччыных навучальных устаноў, якія маюць адносіны з Hudson County Community College і дэманструюць патрэбу ў камп'ютэрных рэсурсах ITS/Enterprise Applications (акрамя агульнага доступу ў Інтэрнэт), маюць права на часовыя ўліковыя запісы.
    6. Даччыныя арганізацыі з акадэмічнай місіяй, чыя дзейнасць, звязаная з Каледжам, патрабуе вылічальных рэсурсаў, якія даччыная арганізацыя не можа забяспечыць самастойна, маюць права на часовыя ўліковыя запісы.

ITS выдаляе ўліковыя запісы, калі:

    1.  Уладальнік уліковага запісу больш не адпавядае патрабаванням прыдатнасці.
    2. Уліковы запіс з'яўляецца часовым, і тэрмін яго дзеяння праходзіць без абнаўлення.
    3. Уладальнік уліковага запісу не меў доступу да ўліковага запісу 18 месяцаў запар.

паролі

    1. Уліковыя запісы ствараюцца з загадзя прызначаным паролем, які ўладальнікі ўліковых запісаў павінны змяніць пры ўваходзе ў першы раз і ў адпаведнасці з працэдурамі каледжа.
    2. Катэгарычна забаронена перадаваць або раскрываць паролі.

Працэдура адпраўкі электроннай пошты ў грамадскі каледж акругі Хадсан

Асобы, якія маюць доступ да ІТ-сістэм Каледжа, нясуць адказнасць за выкарыстанне іх прафесійна, этычна, законна і ў адпаведнасці з дзеючай палітыкай і працэдурамі Каледжа. Карыстальнікі павінны падтрымліваць акадэмічнае і працоўнае асяроддзе, спрыяльнае для эфектыўнага і прадуктыўнага выканання місіі каледжа.

Электронныя паведамленні, сэнс, перадача або распаўсюджванне якіх з'яўляюцца незаконнымі, неэтычнымі, махлярскімі, паклёпніцкімі, пераследуючымі, безадказнымі або парушаюць палітыку або працэдуры каледжа, забароненыя. Электронныя паведамленні не павінны ўтрымліваць нічога, што нельга было б размясціць на дошцы аб'яў, убачыць ненаўмысным гледачам або з'явіцца ў публікацыі каледжа. Матэрыялы, якія можна лічыць недарэчнымі, абразлівымі або непаважлівымі да іншых, нельга адпраўляць або атрымліваць у выглядзе электронных сродкаў сувязі з выкарыстаннем памяшканняў каледжа. ІТ-дырэктар будзе сачыць за выкананнем гэтай працэдуры.

A. Мерапрыемствы, якія разглядаюцца як парушэнні гэтай працэдуры электроннай пошты:

      1. Рассылка несанкцыянаваных масавых паведамленняў электроннай пошты («непажаданая пошта» або «спам»).
      2. Выкарыстанне электроннай пошты для пераследу праз мову, частату, змест або памер паведамленняў.
      3. Перасылка або іншым спосабам распаўсюджванне ланцуговых лістоў і пірамід, незалежна ад таго, жадае атрымальнік атрымліваць такія рассылкі.
      4. Шкоднасныя электронныя лісты, такія як «паштовы бамбардзіроўка» або запаўненне сайта карыстальніка вельмі вялікімі або шматлікімі лістамі.
      5. Падробка інфармацыі аб адпраўніку, акрамя accountname@hccc.edu або іншага загадзя зацверджанага адраса загалоўка.
      6. Адпраўка электроннай пошты ў камерцыйных мэтах або асабістай фінансавай выгады.

Каледж мае права закрыць доступ да ўліковых запісаў, якія парушаюць гэтую працэдуру.

B. Правілы і элементы кіравання электроннай пошты:

      1. Каледж не архівуе электронную пошту.
      2. Каледж фільтруе электронную пошту на прадмет спаму і шкоднаснага кантэнту.
      3. Каледж блакуе ўліковыя запісы электроннай пошты, якія рассылаюць спам і шкодны кантэнт.

Зацверджана Кабінетам міністраў: ліпень 2021 г
Звязаная палітыка савета: паслугі інфармацыйных тэхналогій

 

Працэдура жыццёвых цыклаў кампутара

Увядзенне

Гэтая працэдура мае на мэце забяспечыць доступ да сучасных вылічальных тэхналогій, неабходных для садзейнічання поспеху студэнтаў і выканання службовых абавязкаў супрацоўнікаў. Гэтая працэдура прадугледжвае планавую замену кампутараў для супрацоўнікаў, аўдыторый і лабараторый. 

Мэта

Мэта гэтай працэдуры — усталяваць параметры і працэс замены персанальных кампутараў. Гэтая працэдура не распаўсюджваецца на працоўныя станцыі і тэрміналы спецыяльнага прызначэння, прызначаныя для выкарыстання з інфраструктурай віртуальных працоўных сталоў (VDI). 

Сфера

Гэтая працэдура распаўсюджваецца на персанальныя кампутары, якія выкарыстоўваюцца штатнымі выкладчыкамі, штатнымі супрацоўнікамі, лабараторыямі і аўдыторыямі. Камп'ютары, набытыя па грантах або для спецыяльнага выкарыстання, павінны разглядацца асобна ў адпаведнасці з параметрамі іх грантаў і мэтай. Гэтая палітыка не распаўсюджваецца на перыферыйнае абсталяванне, офісныя тэлефоны, мабільныя тэлефоны, прынтары, сканеры, аўдыё/відэаабсталяванне, серверы або іншае абсталяванне, звязанае з ІТ. Гэта абсталяванне замяняецца ІТС у залежнасці ад патрэбы, стану і бюджэтных рэсурсаў на аснове аналізу, меркаванняў і кантрактаў на падтрымку. 

Апаратныя платформы 

Кожны год каледж будзе вызначаць стандартныя спецыфікацыі для настольных і партатыўных кампутараў у залежнасці ад службовых абавязкаў, каб стрымаць выдаткі, эфектыўнасць абслугоўвання і падтрымкі. ITS распрацавала стандарты абсталявання, якія былі разгледжаны Камітэтам па тэхналогіях Савета каледжа і зацверджаны дырэктарам па інфармацыйных тэхналогіях і віцэ-прэзідэнтам па фінансах і бізнесе/галоўным фінансавым дырэктарам. Паколькі ITS падтрымлівае адну прыладу на аднаго супрацоўніка, карыстальнікам будзе прызначаны ноўтбук і док-станцыя, а не настольны кампутар. Настольныя кампутары будуць размешчаны ў месцах, дзе яны будуць карыстацца сумесна, такіх як прыёмныя, класы, лабараторыі і дадатковыя рабочыя зоны або зоны для вучобы.

Працэдура

    1. Персанальныя кампутары будуць абслугоўвацца і падтрымлівацца ITS на працягу вызначанага тэрміну службы. Бягучы тэрмін службы персанальных кампутараў HCCC складае пяць гадоў.
    2. Штогод ITS будзе замяняць частку персанальных кампутараў, якія ёсць у інвентары. Летам і восенню ITS будзе ўсталёўваць персанальныя кампутары выкладчыкаў і супрацоўнікаў. ITS таксама будзе штогод абнаўляць частку аўдыторый, лабараторый і кампутараў з адкрытым доступам. Арыенціровачныя бюджэты на замену будуць прадстаўлены на штогадовых бюджэтных слуханнях. ITS прызнае, што некаторыя выкладчыкі, супрацоўнікі і студэнты маюць розныя патрэбы ў вылічальнай тэхніцы. Навучальныя лабараторыі са спецыялізаванымі кампутарамі будуць уключаны ў бюджэт на замену, калі гэта магчыма. Выкладчыкі і супрацоўнікі, якім патрэбна нестандартная машына, кошт якой перавышае кошт стандартнага персанальнага кампутара, павінны будуць атрымаць адабрэнне адміністрацыі/навучальнай установы. Іх навучэнская ўстанова/навучальная ўстанова прафінансуе розніцу ў цане.
    3. Выкладчыкі і супрацоўнікі, якія працуюць няпоўны працоўны дзень і жадаюць пазычыць ноўтбук, павінны запоўніць форму заяўкі, якая патрабуе адабрэння кіраўніка. Пасля адабрэння кіраўніка ITS прадаставіць ім ноўтбук.
    4. Служба ITS будзе супрацоўнічаць з карыстальнікам кампутара, каб перанесці дадзеныя супрацоўнікаў на новы кампутар. Служба ITS выдаліць стары персанальны кампутар. Жорсткі дыск старога кампутара будзе захоўвацца на працягу ад двух тыдняў да 90 дзён, каб пераканацца, што падчас разгортвання ніякіх дадзеных не было страчана.

      1. Пенсіянерам можа быць прапанавана магчымасць набыць свой стары камп'ютар па справядлівай рынкавай цане, вызначанай ITS. Гэтыя пакупкі ажыццяўляюцца «як ёсць», і ITS выдаліць усё праграмнае забеспячэнне і даныя HCCC перад перадачай права ўласнасці. Супрацоўнікі выпішуць чэк на імя Hudson County Community College, які будзе ўнесены на рахунак. на рахунку каледжа.
    5. У некаторых выпадках камп'ютары могуць быць выкарыстаны паўторна або перамешчаны ў іншыя месцы ў кампусе па меркаванні ITS.
    6. Калі неабходна перавезці персанальныя кампутары, офіс/школа павінны звязацца з ITS. ITS нясе адказнасць за дакладную інвентарызацыю. Карыстальнікі не павінны самастойна перамяшчаць персанальныя кампутары. Камп'ютары нельга пераразмяркоўваць або пераразмяркоўваць без паведамлення ITS і атрымання дазволу.
    7. Калі супрацоўнік з персанальным камп'ютарам пакідае каледж, ITS будзе апавяшчаны офісам/школай і аддзелам кадраў. У большасці выпадкаў гэты камп'ютар будзе перададзены наступнаму супрацоўніку, які будзе прыняты на гэтую пасаду.
    8. Калі персанальны камп'ютар зламаецца і яго нельга адрамантаваць, ITS заменіць яго новым. Гэты камп'ютар тады стане асабістым камп'ютарам гэтага супрацоўніка. 

Зацверджана Кабінетам міністраў: красавік 2023 г.
Звязаная палітыка савета: паслугі інфармацыйных тэхналогій

 

Парадак арганізацыі мерапрыемстваў

Увядзенне

Гэтая працэдура накіравана на забеспячэнне паспяховых мерапрыемстваў ва ўсім каледжы, якія працягваюць садзейнічаць місіі каледжа. Гэтая працэдура адпавядае Палітыцы HCCC у галіне інфармацыйна-тэхналагічных паслуг, зацверджанай Апякунскім саветам.

дастасавальнасць

Гэтая працэдура распаўсюджваецца на ўсіх выкладчыкаў і супрацоўнікаў каледжа, якія праводзяць мерапрыемствы каледжа.

Падсправаздачнасць

Намеснік віцэ-прэзідэнта па абслугоўванні інфармацыйных тэхналогій і галоўны інфармацыйны дырэктар будуць ажыццяўляць гэтую працэдуру ў каардынацыі з выканаўчым дырэктарам па эксплуатацыі і тэхніцы, выканаўчым дырэктарам па грамадскай бяспецы і бяспецы і іншымі кіраўнікамі каледжа.

Працэдура

  1. Вызначэнне падзеі HCCC
    1. Вучэбная дзейнасць каледжа: CAA - гэта мерапрыемствы або падзеі, непасрэдна звязаныя з вучэбнай місіяй каледжа. Прыклады ўключаюць у сябе заняткі з залікамі, праграмныя мерапрыемствы, звязаныя з акадэмічнымі курсавымі работамі, і сходы выкладчыкаў/адміністрацыйных аддзелаў.​
    2. Падзеі каледжа: CE - гэта мерапрыемствы, якія арганізуюцца і праводзяцца выкладчыкамі, супрацоўнікамі, офісамі каледжа і зарэгістраванымі і зацверджанымі студэнцкімі арганізацыямі, якія плануюцца ў першую чаргу для членаў супольнасці HCCC і на карысць каледжа. Прыклады ўключаюць дзейнасць студэнтаў па праграмаванні, павышэнне кваліфікацыі выкладчыкаў і персаналу, пачатак, скліканне, дні адчыненых дзвярэй, мерапрыемствы па найму, запрошаных лектараў і інш. Сярод удзельнікаў гэтых мерапрыемстваў - члены супольнасці, выкладчыкі, супрацоўнікі, студэнты, госці і выпускнікі.​
    3. Мерапрыемствы ў каледжы: CHE - гэта акадэмічныя праграмы, канферэнцыі, рэкалекцыі і сустрэчы з удзелам двух суб'ектаў: ​​каледжа (школа, акадэмічная або адміністрацыйная адзінка або зарэгістраваная і зацверджаная студэнцкая арганізацыя) і старонняй арганізацыі (напрыклад, прафесійная асацыяцыя, членам якой з'яўляецца каледж або падтрымлівае адносіны, якія прыносяць непасрэдную карысць супольнасці каледжа або грамадскай арганізацыі.)​
    4. Мерапрыемствы, не звязаныя з каледжам/знешнія мерапрыемствы: NC/EE вызначаюцца як праграмы і мерапрыемствы, арганізаваныя асобнымі асобамі, групамі, прадпрыемствамі або арганізацыямі, якія не ўваходзяць у арганізацыйную структуру каледжа. Прыкладамі з'яўляюцца прыёмы, дабрачынныя мерапрыемствы, карпаратыўныя сустрэчы і мерапрыемствы, маладзёжныя лагеры, канферэнцыі, грамадскія мерапрыемствы, выставы і г.д. Неўніверсітэцкія/замежныя мерапрыемствы патрабуюць заключэння дагавора і належнага доказу страхоўкі ў каледжы.​
  2. Офісы, якія падтрымліваюць мерапрыемствы, і што яны прапануюць

    1. Паслугі інфармацыйных тэхналогій
      1. Тэхналагічнае абсталяванне
      2. Праверце прэзентацыі і медыя напярэдадні мерапрыемства
      3. Спасылкі на сустрэчы і падтрымка гібрыдных сустрэч/мерапрыемстваў
      4. Гасцявы Wi-Fi
      5. Тэхналагічная падтрымка падчас мерапрыемства
    2. Сродкі
      1. Ўстаноўка і разборка мэблі
      2. Ламаць мэблю
      3. Ачыстка
      4. Маніторынг HVAC
    3. бяспекі
      1. Падтрымка бяспекі падчас мерапрыемстваў
      2. Будаўніцтва праёмаў і закрыццяў
      3. Паркоўка і транспартная падтрымка
    4. Флік
      1. Прадукты харчавання і напоі
      2. Серверы і іншая падтрымка
      3. Каардынацыя з вонкавымі групамі
  3. Працэс кіравання падзеямі

    1. Інтэрнэт-запыты павінны быць уведзены праз сістэму Coursedog каледжа.
    2. Зацвярджэнне спатрэбіцца для спецыяльных памяшканняў і тыпаў мерапрыемстваў; напрыклад, зала пасяджэнняў прэзідэнта, атрыум, галерэя.
    3. Для ўсіх мерапрыемстваў патрабуецца папярэдняе паведамленне.
    4. Прыярытэт будзе аддавацца агульнакамандзірскім, гучным мерапрыемствам.
  4. Кіраўніцтва па відах мерапрыемстваў

    тып падзеі

    Description

    Акадэмічная кампутарная лабараторыя Паслугі камп'ютэрнай лабараторыі, уключаючы падтрымку лабаранта, патрабуюць паведамлення за тры дні. Гэтыя запыты можна ўвесці за 180 дзён.
    Адміністрацыйныя паслугі Аб сустрэчах патрабуецца папярэджанне за адзін дзень.
    Бесперапынная адукацыя (CE) Мерапрыемствы і заняткі па бесперапыннай адукацыі і развіцці працоўных рэсурсаў патрабуюць папярэджання за адзін дзень. Гэтыя запыты можна ўвесці за 180 дзён.
    Паслугі рэгістрацыі / Прыём Паслугі рэгістрацыі і прыёмныя мерапрыемствы патрабуюць паведамлення за тры дні. Гэтыя запыты можна ўводзіць за 90 дзён.
    Паслугі гасціннасці і грамадскага харчавання Прыярытэт 1 Прыярытэт 1 Падзеі ўключаюць агульнакампусныя мерапрыемствы, знешніх удзельнікаў, рэкламуемыя мерапрыемствы і мерапрыемствы на ўзроўні кабінета. Гэтыя запыты патрабуюць паведамлення за 30 дзён і могуць быць уведзены за 180 дзён.
    Паслугі гасціннасці і грамадскага харчавання Прыярытэт 2 Прыярытэт 2 Падзеі ўключаюць падзеі на ўзроўні аддзела з больш чым 50 удзельнікамі, якія запісваюцца і патрабуюць паведамлення за 14 дзён. Гэтыя запыты можна ўвесці за 180 дзён.
    Паслугі гасціннасці і грамадскага харчавання Прыярытэт 3 Прыярытэт 3 Мерапрыемствы невялікія і больш нефармальныя, аб іх неабходна папярэдзіць за тры дні. Гэтыя запыты можна ўвесці за 180 дзён.
    Падзея ў кампусе Паўночнага Гудзона Праграмы і мерапрыемствы, якія праводзяцца ў кампусе North Hudson, патрабуюць папярэджання за тры дні. Гэтыя запыты можна ўвесці за 180 дзён.
    Офісныя памяшканні North Hudson Сустрэчы ў кампусе North Hudson патрабуюць папярэджання за адзін дзень.
    ЗАГС Праграмы і мерапрыемствы ў навучальных класах на Journal Square патрабуюць папярэджання за адзін дзень. Гэтыя запыты можна ўводзіць за 180 дзён.
    Школа тэсціравання медсясцёр / Запрошаны дакладчык Праграмы і падзеі ў кампутарнай лабараторыі F129 патрабуюць папярэджання за адзін дзень. Гэтыя запыты можна ўвесці за 180 дзён.
    студэнцкае жыццё Усе падзеі студэнцкага жыцця патрабуюць паведамлення за два дні. Гэтыя запыты можна ўвесці за 180 дзён.
    Слайд для большага
  5. Абавязкі

    1. Арганізатары падаюць у запыце ўсю даступную інфармацыю, у тым ліку кантакты для мерапрыемства, электронную пошту, тэлефоны і г.д.
    2. Арганізатары будуць паведамляць аб любых зменах своечасова і пісьмова.
    3. Арганізатары будуць уключаць Заяву каледжа аб даступнасці ва ўсіх паведамленнях аб мерапрыемстве.
    4. Арганізатары будуць наведваць пакрокавыя і практычныя заняткі ў залежнасці ад тыпу мерапрыемства.
    5. Аддзелы каледжа, якія прадстаўляюць паслугі, будуць своечасова звязвацца з арганізатарамі.
    6. Гібрыдныя спасылкі на мерапрыемствы будуць стварацца выключна Службай інфармацыйных тэхналогій для мерапрыемстваў HCCC.
    7. Арганізатары загадзя паведамяць офісам каледжаў, калі будзе адмена, каб вызваліць месца для мерапрыемства.
    8. Офісы HCCC будуць паведамляць арганізатарам аб любых праблемах, як толькі яны будуць выяўлены.

Зацверджана Кабінетам міністраў: снежань 2024 г
Звязаная палітыка савета: паслугі інфармацыйных тэхналогій

 

Працэдура запытаў на доступ да інфармацыйных сістэм, якія змяшчаюць канфідэнцыяльныя даныя

Увядзенне

 Гэтая працэдура вызначае ўладальнікаў сістэмы/дадзеных Грамадскага каледжа акругі Хадсан (HCCC). Гэтыя асобы кантралююць доступ да інфармацыйных сістэм, якія змяшчаюць канфідэнцыяльныя даныя, такіх як сістэма ERP Colleague. Кантроль неабходны для абароны і захавання канфідэнцыяльнасці, цэласнасці і даступнасці даных HCCC, а таксама для выканання стандартаў і правілаў інфармацыйных тэхналогій, якія прымяняюцца да HCCC.

Прызначаныя ўладальнікі сістэмы/дадзеных для інфармацыйных сістэм Грамадскага каледжа акругі Хадсан, якія змяшчаюць канфідэнцыяльныя даныя, павінны мець паўнамоцтвы зацвярджаць асобам доступ да гэтых сістэм.

Прызначэнне ўладальнікаў сістэмы/дадзеных

 Наступныя члены выканаўчага персаналу прызначаны ў якасці ўладальнікаў сістэмы/дадзеных для інфармацыйных сістэм, якія змяшчаюць канфідэнцыяльныя даныя.

 Сістэма ERP калегі

Студэнцкі модуль

Віцэ-прэзідэнт па справах студэнтаў і паступленню

Фінансавы модуль для студэнтаў

Віцэ-прэзідэнт па бізнесе і фінансах / фінансавы дырэктар

Financial Aid Модулі

Намеснік дэкана в Financial Aid

Модуль кадраў

Віцэ-прэзідэнт па кадрах

 Сістэма адлюстравання дакументаў

Паслугі па залічэнні, прыёме і кансультацыйных дакументах

Віцэ-прэзідэнт па справах студэнтаў і паступленню

студэнт Financial Aid дакументы

Намеснік дэкана в Financial Aid

Фінансавыя дакументы

Віцэ-прэзідэнт па бізнесе і фінансах / фінансавы дырэктар

Запыты на доступ да інфармацыйных сістэм, якія змяшчаюць канфідэнцыяльныя даныя

Запыты на доступ да інфармацыйных сістэм, якія змяшчаюць канфідэнцыяльныя даныя, будуць прадастаўляцца на аснове «найменш прывілеяў», што азначае доступ толькі да такой інфармацыі і сістэм, неабходных для выканання звычайных працоўных абавязкаў чалавека.

Выканаўчыя супрацоўнікі, прызначаныя ў якасці ўладальнікаў сістэмы/дадзеных або прызначаныя менеджэры ў функцыянальных сферах, павінны разглядаць запыты на доступ да інфармацыйных сістэм, якія змяшчаюць канфідэнцыяльныя даныя, ад супрацоўнікаў, падпарадкаваных іх адміністрацыйным паўнамоцтвам. Яны пацвярджаюць, што карыстальнікам прадастаўляецца доступ на аснове "найменшых прывілеяў" толькі да тых прывілеяў, якія неабходныя для выканання іх звычайных працоўных абавязкаў. Яны павінны ўхваляць запыты, адпраўляючы форму запыту на доступ да сістэмы, размешчаную на партале. Калі доступ не гарантаваны, запыт будзе адхілены.

Выдаленне доступу да інфармацыйных сістэм, якія змяшчаюць канфідэнцыяльныя даныя

Члены выканаўчага персаналу павінны гарантаваць, што кіраўнікі неадкладна паведамляюць службам інфармацыйных тэхналогій (ITS), калі доступ карыстальніка да інфармацыйнай сістэмы больш не патрабуецца і калі доступ карыстальніка павінен быць зменены з-за змены ў асноўных абавязках супрацоўніка.

Аб звальненні супрацоўніка суперкарыстальніка або ў выпадку вымушанага звальнення супрацоўніка ITS будзе неадкладна апавешчана па тэлефоне, а затым па электроннай пошце кіраўніку інфармацыі (CIO). Звычайныя спыненні, пераводы ў іншы аддзел каледжа або змены абавязкаў павінны быць прадстаўлены на працягу пяці працоўных дзён з дапамогай формы запыту доступу да сістэмы, размешчанай на партале.

Агляд доступу да інфармацыйных сістэм, якія змяшчаюць канфідэнцыяльныя даныя

Штогадовая праверка ўсіх уліковых запісаў карыстальнікаў для адчувальных ІТ-сістэм павінна праводзіцца ITS для ацэнкі пастаяннай патрэбы ўліковых запісаў і адпаведнага ўзроўню доступу.

Абавязкі

ІТ-дырэктар нясе агульную адказнасць за распрацоўку і падтрыманне тэхнічных працэдур, якія адпавядаюць гэтай працэдуры, і павінен адпавядаць дзеючым стандартам грамадскага каледжа акругі Хадсан.

Дадатак А апісвае размяшчэнне формы для запыту доступу да інфармацыйных сістэм каледжа.

Вызначэння

 Дата - уключае ў сябе любую інфармацыю, якая знаходзіцца ў кампетэнцыі HCCC, у тым ліку даныя запісаў студэнтаў, даныя аб персанале, фінансавыя даныя (бюджэт і заработная плата), даныя аб студэнцкім жыцці, адміністратыўныя даныя ведамстваў, юрыдычныя файлы, даныя інстытуцыйных даследаванняў, канфідэнцыяльныя даныя і ўсе іншыя даныя, якія адносяцца да або падтрымліваюць адміністрацыя каледжа.

Інфармацыйная сістэма - уключае ўсе кампаненты і аперацыі працэсу вядзення дакументацыі, уключаючы інфармацыю, сабраную або кіраваную з выкарыстаннем камп'ютэрных сетак і Інтэрнэту, аўтаматызаваную або ручную, якая змяшчае асабістую інфармацыю і імя, асабісты нумар або іншыя ідэнтыфікацыйныя дадзеныя аб суб'екце дадзеных.

Адчувальныя дадзеныя – уключае ў сябе любую інфармацыю, якая можа негатыўна паўплываць на інтарэсы Каледжа, правядзенне праграм агенцтва або канфідэнцыяльнасць, на якую маюць права асобы, калі парушаецца канфідэнцыяльнасць, цэласнасць або даступнасць. Даныя класіфікуюцца як канфідэнцыяльныя, калі іх узлом прыводзіць да істотнага і істотнага негатыўнага ўплыву на інтарэсы каледжа, да немагчымасці пацярпелага агенцтва весці сваю дзейнасць, да парушэння чаканняў канфідэнцыяльнасці або канфідэнцыяльнасць патрабуецца па законе.

суперпользователь – з'яўляецца супрацоўнікам, які мае панэль рэгістрацыі або павышаны прывілеяваны доступ; напрыклад, адміністратар бяспекі.

 Спасылкі

  • Закон аб правах сям'і на адукацыю і прыватнасці (FERPA) (20 USC § 1232g; 34 CFR, частка 99)
  • Закон аб мадэрнізацыі фінансавых паслуг (Закон Грама-Ліча-Блайлі) (15 USC § 6801 і наступныя)
  • Закон аб пераноснасці і падсправаздачнасці медыцынскага страхавання (HIPAA) (публічнае права 104-191)

Перыядычнасць агляду і адказнасць

 ІТ-дырэктар штогод пераглядае гэтую працэдуру і, пры неабходнасці, рэкамендуе яе перагляд.

ДАДАТАК "А"

Формы запыту доступу да сістэмы:

Доступ калегі

https://myhudson.hccc.edu/ellucian

Запыт на стварэнне ўліковага запісу або запыт на адключэнне

https://myhudson.hccc.edu/its

Зацверджана Кабінетам міністраў: ліпень 2021 г
Звязаная палітыка Савета: ITS

 

Працэдура плана інфармацыйнай бяспекі

Увядзенне

Мэтай распрацоўкі і ўкаранення працэдуры комплекснага пісьмовага плана інфармацыйнай бяспекі («План») з'яўляецца стварэнне эфектыўных адміністрацыйных, тэхнічных і фізічных мер абароны «асабістай інфармацыі» будучых студэнтаў, абітурыентаў, студэнтаў, супрацоўнікаў, выпускнікоў і сяброў Hudson County Community College, а таксама выкананне нашых абавязацельстваў у адпаведнасці з правілам Нью-Джэрсі 201 CMR 17.00. План вызначае нашы працэдуры для ацэнкі нашых электронных і фізічных метадаў доступу, збору, захоўвання, выкарыстання, перадачы і абароны «асабістай інфармацыі» ўдзельнікаў каледжа.

Для мэт дадзенага Плана «асабістая інфармацыя» вызначаецца як імя і прозвішча чалавека, або ініцыял і прозвішча, у спалучэнні з адным або некалькімі з наступных элементаў даных, якія адносяцца да такога рэзідэнта: (а) нумар сацыяльнага страхавання; (b) нумар пасведчання кіроўцы або нумар дзяржаўнай ідэнтыфікацыйнай карты; або (c) нумар фінансавага рахунку або нумар крэдытнай або дэбетавай карты з неабходным кодам бяспекі, кодам доступу, персанальным ідэнтыфікацыйным нумарам або паролем або без яго, якія дазваляюць атрымаць доступ да фінансавага рахунку рэзідэнта, дзе захавальнікам гэтых даных з'яўляецца Грамадскі каледж акругі Хадсан; пры ўмове, аднак, што «асабістая інфармацыя» не ўключае інфармацыю, якая законна атрымана з агульнадаступнай інфармацыі або з дакументаў федэральнага, дзяржаўнага або мясцовага ўрада, законна даступных для шырокай грамадскасці.

Мэта

Мэтай гэтага Плана з'яўляецца:

    1. Забяспечваць бяспеку і канфідэнцыяльнасць асабістай інфармацыі;
    2. Абараніць ад любых патэнцыйных пагроз або небяспек для бяспекі або цэласнасці асабістай інфармацыі; і,
    3. Абараніце ад несанкцыянаванага доступу або выкарыстання асабістай інфармацыі спосабам, які стварае значную рызыку крадзяжу асабістых дадзеных або махлярства.

Сфера

Пры распрацоўцы і рэалізацыі Плана ўстанова будзе: (1) вызначаць разумна прадказальныя ўнутраныя і знешнія рызыкі для бяспекі, канфідэнцыяльнасці і цэласнасці любых электронных, папяровых або іншых запісаў, якія змяшчаюць асабістую інфармацыю; (2) ацаніць верагоднасць і патэнцыйную шкоду ад гэтых пагроз, прымаючы пад увагу канфідэнцыяльнасць асабістай інфармацыі; (3) ацэньваць дастатковасць існуючай палітыкі, практыкі, працэдур, інфармацыйных сістэм і іншых гарантый для кантролю рызык; (4) распрацаваць і рэалізаваць план, які змяшчае меры бяспекі для мінімізацыі гэтых рызык у адпаведнасці з патрабаваннямі 201 CMR 17.00; і (5) рэгулярна кантраляваць План.

Каардынатар па бяспецы дадзеных

HCCC прызначыў галоўнага інфармацыйнага дырэктара (CIO) і віцэ-прэзідэнта па бізнесе і фінансах/фінансавага дырэктара для рэалізацыі, кантролю і падтрымання Плана. ІТ-дырэктар і віцэ-прэзідэнт па бізнесе і фінансах/фінансавы дырэктар будуць адказваць за:

    1. Першапачатковая рэалізацыя Плана;
    2. Кантроль за пастаянным навучаннем супрацоўнікаў элементам і патрабаванням Плана для ўсіх уладальнікаў, кіраўнікоў, супрацоўнікаў і незалежных падрадчыкаў, якія маюць доступ да асабістай інфармацыі;
    3. Маніторынг мер бяспекі Плана;
    4. Ацэнка старонніх пастаўшчыкоў паслуг, якія маюць доступ і захоўваюць/перадаюць/рэзервовае капіраванне/падтрымліваюць асабістую інфармацыю, і патрабаванне ад гэтых пастаўшчыкоў паслуг па кантракце ўкараняць і падтрымліваць адпаведныя меры бяспекі для абароны асабістай інфармацыі;
    5. Перагляд аб'ёму мер бяспекі ў плане штогод або кожны раз, калі адбываюцца істотныя змены ў дзелавой практыцы HCCC, якія могуць паўплываць на бяспеку або цэласнасць запісаў, якія змяшчаюць асабістую інфармацыю; і,
    6. Агляд заканадаўства і законаў і абнаўленне палітыкі і працэдур па меры неабходнасці.

Унутраныя рызыкі

Для барацьбы з унутранымі рызыкамі для бяспекі, канфідэнцыяльнасці і цэласнасці любых электронных, папяровых або іншых запісаў, якія змяшчаюць асабістую інфармацыю, а таксама для таго, каб ацаніць і палепшыць, пры неабходнасці, эфектыўнасць дзеючых мер бяспекі для абмежавання такіх рызык, наступныя меры з'яўляюцца абавязковымі і ўступаюць у сілу неадкладна: 

Адміністрацыйныя меры

      1. Копія Плана павінна быць распаўсюджана Прэзідэнту, Кабінету Прэзідэнта, супрацоўнікам службы інфармацыйных тэхналогій (ITS) і іншым прызначаным супрацоўнікам, якія працуюць з асабістай інфармацыяй. Пасля атрымання Плана кожны чалавек павінен пісьмова пацвердзіць, што атрымаў копію Плана.
      2. Пасля навучання ўвесь персанал павінен будзе падпісаць пагадненні аб канфідэнцыяльнасці, якія апісваюць апрацоўку асабістай інфармацыі. Пагадненні аб канфідэнцыяльнасці будуць патрабаваць ад супрацоўнікаў паведамляць ІТ-дырэктара або віцэ-прэзідэнту па кадрах аб любых падазроных або несанкцыянаваным выкарыстанні «асабістай інфармацыі».
      3. Аб'ём сабранай асабістай інфармацыі павінен быць абмежаваны разумна неабходным для дасягнення законных бізнес-мэтаў. Выкарыстанне асабістай інфармацыі разглядаецца з дапамогай аўдытаў у розных сферах.
      4. Усе меры бяспекі даных павінны пераглядацца не радзей аднаго разу ў год або кожны раз, калі адбываюцца істотныя змены ў дзелавой практыцы HCCC або змены ў заканадаўстве, якія могуць абгрунтавана паўплываць на бяспеку або цэласнасць запісаў, якія змяшчаюць асабістую інфармацыю. ІТ-дырэктар і віцэ-прэзідэнт па бізнесе і фінансах/фінансавы дырэктар нясуць адказнасць за гэты агляд і павінны ў поўнай меры інфармаваць кіраўнікоў аддзелаў аб выніках гэтага агляду і любых рэкамендацыях па паляпшэнні бяспекі, якія вынікаюць з гэтага агляду.
      5. Кожны раз, калі адбываецца інцыдэнт, які патрабуе паведамлення ў адпаведнасці з NJ Stat. § 56:8-163 Закона штата Нью-Джэрсі аб паведамленнях аб парушэннях персанальных даных, павінен быць праведзены неадкладны абавязковы агляд падзей і прынятых дзеянняў пасля інцыдэнту, калі такія маюцца, каб вызначыць, ці патрэбныя змены ў практыцы бяспекі HCCC для павышэння бяспекі асабістай інфармацыі ў адпаведнасці з Планам.
      6. Кожны аддзел павінен распрацаваць правілы (з улікам дзелавых патрэб гэтага аддзела), якія забяспечваюць наяўнасць разумных абмежаванняў на фізічны доступ да асабістай інфармацыі, у тым ліку пісьмовую працэдуру, якая паказвае, як абмежаваны фізічны доступ да запісу. Кожны аддзел павінен захоўваць такія запісы і дадзеныя ў замкнёных памяшканнях, бяспечных складскіх памяшканнях або замкнёных шафах.
      7. За выключэннем уліковых запісаў Сістэмнага адміністравання, доступ да асабістай інфармацыі, якая захоўваецца ў электронным выглядзе, павінен быць абмежаваны ў электронным выглядзе тым супрацоўнікам, якія маюць унікальны ідэнтыфікатар для ўваходу з адпаведным доступам. Доступ не будзе прадастаўлены супрацоўнікам, якім ІТ-дырэктар вызначыць, што ім не патрэбны доступ да асабістай інфармацыі, якая захоўваецца ў электронным выглядзе.
      8. Пры адсутнасці пагаднення аб канфідэнцыяльнасці доступ наведвальніка або падрадчыка да канфідэнцыяльных даных, уключаючы, але не абмяжоўваючыся імі, паролі, ключы шыфравання і тэхнічныя характарыстыкі, пры неабходнасці, павінен быць узгоднены ў пісьмовай форме. Доступ павінен быць абмежаваны мінімальна неабходнай колькасцю. Калі для доступу неабходны аддалены ўваход, гэты доступ таксама павінен быць зацверджаны аддзелам ІТС HCCC.

Фізічныя меры

      1. Доступ да запісаў, якія змяшчаюць асабістую інфармацыю, павінен быць абмежаваны для тых, хто разумна абавязаны ведаць такую ​​інфармацыю для дасягнення законнай дзелавой мэты HCCC. Для прадухілення непатрэбнага раскрыцця канфідэнцыяльная і асабістая інфармацыя будзе выдалена, папяровыя дакументы будуць захоўвацца ў замкнёных памяшканнях, а для электронных дакументаў будуць рэалізаваны меры бяспекі.
      2. У канцы працоўнага дня ўсе неэлектронныя файлы і іншыя запісы, якія змяшчаюць асабістую інфармацыю, павінны захоўвацца ў зачыненых пакоях, офісах або шафах.
      3. Папяровыя запісы, якія змяшчаюць асабістую інфармацыю, павінны быць утылізаваны ў адпаведнасці з NJ Stat. § 56:8-163, Закон штата Нью-Джэрсі аб паведамленнях аб парушэнні асабістых даных. Гэта азначае, што запісы трэба ўтылізаваць з дапамогай папярочнага здрабняльніка або іншымі спосабамі, якія робяць інфармацыю нечытэльнай.

Тэхнічныя меры

      1. HCCC не дазваляе супрацоўнікам захоўваць асабістую інфармацыю на партатыўных носьбітах. Гэта ўключае ў сябе ноўтбукі, USB, кампакт-дыскі і г.д. Калі супрацоўнікі, якія маюць доступ да асабістай інфармацыі, спыняюцца, HCCC павінен спыніць іх доступ да сеткавых рэсурсаў і фізічных прылад, якія змяшчаюць асабістую інфармацыю. Гэта ўключае ў сябе спыненне або адмову ад сеткавых уліковых запісаў, уліковых запісаў баз дадзеных, ключоў, значкоў, тэлефонаў і ноўтбукаў або настольных кампутараў.
      2. Супрацоўнікі павінны рэгулярна мяняць свае паролі для сістэм, якія змяшчаюць асабістую інфармацыю.
      3. Доступ да асабістай інфармацыі павінен быць абмежаваны для актыўных карыстальнікаў і толькі для актыўных уліковых запісаў карыстальнікаў.
      4. Там, дзе гэта тэхнічна магчыма, усе сістэмы, якія абслугоўваюцца HCCC і захоўваюць асабістую інфармацыю, будуць выкарыстоўваць функцыі аўтаматычнай блакіроўкі, якія блакіруюць доступ пасля некалькіх няўдалых спроб уваходу.
      5. Электронныя запісы (у тым ліку запісы, якія захоўваюцца на цвёрдых дысках і іншых электронных носьбітах), якія змяшчаюць асабістую інфармацыю, павінны быць утылізаваны ў адпаведнасці з і такім чынам, які адпавядае NJ Stat. § 56:8-163, Закон штата Нью-Джэрсі аб паведамленнях аб парушэнні асабістых даных. Гэта патрабуе, каб інфармацыя была знішчана або выдалена, каб асабістая інфармацыя практычна не магла быць прачытана або рэканструявана.

Знешнія рызыкі

      1. Для барацьбы са знешнімі рызыкамі для бяспекі, канфідэнцыяльнасці і цэласнасці любых электронных, папяровых або іншых запісаў, якія змяшчаюць асабістую інфармацыю, а таксама для таго, каб ацаніць або палепшыць, пры неабходнасці, эфектыўнасць дзеючых мер бяспекі для абмежавання такіх рызык, наступныя меры з'яўляюцца абавязковымі і ўступаюць у сілу неадкладна:

a.) Існуюць дастаткова сучасныя патчы для абароны брандмаўэра і бяспекі аперацыйнай сістэмы, разумна прызначаныя для падтрымання цэласнасці асабістай інфармацыі, устаноўленыя ў сістэмах з асабістай інфармацыяй.

b.) Існуюць дастаткова сучасныя версіі праграмнага забеспячэння агента бяспекі сістэмы, якія ўключаюць абарону ад шкоднасных праграм, а таксама дастаткова сучасныя патчы і азначэнні вірусаў, устаноўленыя ў сістэмах, якія апрацоўваюць асабістую інфармацыю.

c.) Пры захаванні ў сеткавых агульных доступах HCCC файлы, якія змяшчаюць асабістую інфармацыю, павінны быць зашыфраваны. HCCC не дазваляе захоўваць асабістую інфармацыю на ноўтбуках, ПК, USB-прыладах або іншых партатыўных носьбітах. HCCC разгорне праграмнае забеспячэнне для шыфравання для дасягнення гэтай мэты.

d.) Любая асабістая інфармацыя, якая перадаецца ў электронным выглядзе староннім пастаўшчыкам, павінна адпраўляцца праз зашыфраваны сэрвіс пастаўшчыка або праз прызначаны зашыфраваны сэрвіс HCCC для бяспечнай перадачы. 

e.) Усе новыя пастаўшчыкі паслуг, якія захоўваюць асабістую інфармацыю HCCC у электроннай форме, павінны будуць належным чынам прадэманстраваць меры бяспекі праз EDUCAUSE HECVAT або аналагічны інструмент. Гэтыя пастаўшчыкі таксама павінны быць ухвалены віцэ-прэзідэнтам HCCC па фінансах і бізнесе/фінансавым дырэктарам.

f.) Персанал службы людскіх рэсурсаў і інфармацыйных тэхналогій павінен прытрымлівацца працэдур, выкладзеных у Працэдуры дапушчальнага выкарыстання HCCC для сістэм інфармацыйных тэхналогій, звязаных са стварэннем, перадачай або спыненнем дзеяння ўліковых запісаў, разам з палітыкай захоўвання пароляў і ролевай бяспекі.

g.) Уся асабістая інфармацыя будзе выдалена ў адпаведнасці з HCCC Policies and Procedures.

h.) Наколькі дазваляюць рэсурсы і бюджэт, HCCC будзе ўкараняць тэхналогію, якая дазволіць Каледжу кантраляваць базы дадзеных на прадмет несанкцыянаванага выкарыстання асабістай інфармацыі або доступу да яе, а таксама выкарыстоўваць бяспечныя пратаколы аўтэнтыфікацыі і меры кантролю доступу ў адпаведнасці з працэдурамі HCCC.

 

Зацверджана Кабінетам міністраў: ліпень 2021 г
Звязаная палітыка савета: паслугі інфармацыйных тэхналогій

 

Працэдура плана рэагавання на інцыдэнты інфармацыйнай бяспекі

Мэта

Гэты план паказвае, як рэагаваць на інцыдэнты інфармацыйнай бяспекі ў грамадскім каледжы акругі Хадсан (HCCC). План вызначае ролі і абавязкі групы рэагавання на інцыдэнты HCCC і меры, якія неабходна прыняць у выпадку інцыдэнту. План рэагавання на інцыдэнты інфармацыйнай бяспекі (ISIRP) накіраваны на мінімізацыю наступстваў інцыдэнту, захаванне доказаў для расследавання і як мага хутчэйшае аднаўленне нармальнай працы.

Вызначэння

інцыдэнт: падзея, якая прыводзіць да страты канфідэнцыяльнасці, цэласнасці або даступнасці інфармацыі або інфармацыйных сістэм.

Адказ: Дзеянні, якія прымаюцца для змякчэння наступстваў інцыдэнту і аднаўлення пацярпелых сістэм і даных у нармальны стан.

Група рэагавання на інцыдэнты (IRT): Група рэагавання на інцыдэнты (IRT) адказвае за рэалізацыю ISIRP. IRT складаецца з прадстаўнікоў адпаведных дэпартаментаў, у тым ліку, але не абмяжоўваючыся імі, службы інфармацыйных тэхналогій (ITS), фінансаў (кіраванне рызыкамі), юрысконсульта, кадраў і камунікацый. IRT адказвае за каардынацыю рэагавання на інцыдэнт і забеспячэнне наяўнасці ўсіх неабходных рэсурсаў.

Ролі і абавязкі

IRT адказвае за наступнае:

  • Рэагаванне на інцыдэнты і змякчэнне іх наступстваў.
  • Расследаванне інцыдэнтаў і вызначэнне іх прычын.
  • Аднаўленне сістэм і даных, якія пацярпелі ад інцыдэнту.
  • Камунікацыя з зацікаўленымі бакамі аб інцыдэнтах.
  • Рэгістрацыя і справаздачнасць аб інцыдэнтах.
Справаздача аб здарэннях

Аб усіх падазраваных або пацверджаных інцыдэнтах інфармацыйнай бяспекі неабходна неадкладна паведамляць у ITS. Затым ITS ацэніць інцыдэнт і вызначыць, ці з'яўляецца гэта інцыдэнтам бяспекі. ITS перадасць інцыдэнт IRT, калі гэта інцыдэнт з бяспекай.

Крокі ў адказ
Катэгарызацыя інцыдэнту:

IRT класіфікуе інцыдэнт у залежнасці ад яго сур'ёзнасці і ўздзеяння. Катэгорыі наступныя:

Category 1: Дробны інцыдэнт - ніякага істотнага ўплыву на каледж або яго дзейнасць.
Category 2: Інцыдэнт сярэдняй цяжкасці - абмежаваны ўплыў на каледж або яго дзейнасць.
Category 3: Буйны інцыдэнт - значны ўплыў на каледж або яго дзейнасць.
Category 4: Крытычны інцыдэнт - сур'ёзнае ўздзеянне на каледж або яго дзейнасць.

Рэагаванне на інцыдэнты па катэгорыях:

IRT будзе выконваць наступныя крокі, каб адрэагаваць на інцыдэнт:
Category 1: Ніякага афіцыйнага адказу не патрабуецца.
Category 2: IRT правядзе расследаванне інцыдэнту і прыме адпаведныя меры для стрымлівання і ліквідацыі інцыдэнту.
Category 3: IRT будзе каардынаваць свае дзеянні з адпаведнымі дэпартаментамі і знешнімі рэсурсамі, такімі як праваахоўныя органы і эксперты па кібербяспецы, для расследавання інцыдэнту і прыняцця адпаведных мер для стрымлівання і ліквідацыі інцыдэнту.
Category 4: IRT будзе рэалізоўваць план HCCC па надзвычайных сітуацыях, які апісвае крокі, якія неабходна выконваць падчас значнага крызісу.

Крокі ISIRP для IRT

IRT будзе выконваць наступныя дзеянні ў выпадку інцыдэнту:

  1. Адказаць на паведамленне аб здарэнні.
  2. Змякчыць наступствы інцыдэнту.
  3. Класіфікуйце эфекты па прыведзенай вышэй шкале.
  4. Расследуйце інцыдэнт.
  5. Вызначце прычыну здарэння.
  6. Аднавіць сістэмы і даныя, якія былі закрануты інцыдэнтам.
  7. Паведаміце пра інцыдэнт зацікаўленым бакам.
  8. Зарэгіструйцеся і паведаміце пра інцыдэнт.
Інструменты і рэсурсы

IRT будзе выкарыстоўваць наступныя інструменты і рэсурсы для рэагавання на інцыдэнты:

  • Праграмнае забеспячэнне для бяспекі: Sophos, Crowdstrike
  • Сістэмы рэзервовага капіявання і аднаўлення дадзеных: Cohesity, Arcserve, OneDrive
  • Каналы сувязі: электронная пошта, тэкст, сацыяльныя сеткі
  • Староннія эксперты па кібербяспецы: NJ Edge, CyberSecOp, кансультанты Cybersecurity Insurance
Тэставанне і навучанне

IRT будзе рэгулярна правяраць працэдуры і інструменты і навучацца ім.

План зносін

IRT будзе мець зносіны з наступнымі зацікаўленымі бакамі ў выпадку інцыдэнту:

  • Студэнтам
  • факультэт
  • Персанал
  • сродкі масавай інфармацыі
  • Правапрымяненне
  • Рэгулюючыя органы
Метрыкі і справаздачнасць

IRT задакументуе ўсе аспекты інцыдэнту, уключаючы, але не абмяжоўваючыся, тып інцыдэнту, сур'ёзнасць, наступствы, рэакцыю і рашэнне. Дакументацыя будзе надзейна захоўвацца і даступная толькі ўпаўнаважанаму персаналу.

IRT будзе збіраць і аналізаваць наступныя паказчыкі, звязаныя з інцыдэнтамі:

  • Колькасць здарэнняў
  • Кошт інцыдэнтаў
  • Час акрыяць ад інцыдэнтаў

Намеснік віцэ-прэзідэнта па тэхналогіях і ІТ-дырэктар будзе дакладваць аб гэтых паказчыках апякунскаму савету HCCC.

Агляд і абнаўленне

ІТ-дырэктар AVP будзе штогод разглядаць ISIRP і абнаўляць яго, каб адлюстраваць зменлівы ландшафт бяспекі і змяняюцца патрэбы HCCC.

Зацверджана Кабінетам міністраў: май 2023 г
Звязаная палітыка савета: паслугі інфармацыйных тэхналогій

 

Працэдура адказнасці за партатыўныя тэхналогіі

  1. УВОДЗІНЫ
    Гэтая працэдура накіравана на ўстанаўленне дакладных рэкамендацый па падсправаздачнасці і адказнасці ў дачыненні да страты або пашкоджання партатыўных тэхналагічных прылад, якія прадастаўляюцца супрацоўнікам і студэнтам Грамадскім каледжам акругі Хадсан (HCCC). Гэтая працэдура адпавядае Палітыцы HCCC у галіне інфармацыйна-тэхналагічных паслуг, зацверджанай Радай папячыцеляў HCCC.
  2. Прымяненне
    Гэтая працэдура распаўсюджваецца на ўсіх асоб, у тым ліку супрацоўнікаў і студэнтаў, для якіх HCCC выдаў партатыўныя тэхналагічныя прылады.
  3. СПРАВАЗДАЧНАСЦЬ
    1. Індывідуальная адказнасць
      1. Усе асобы, якім выдадзены партатыўныя тэхналагічныя прылады, нясуць асабістую адказнасць за належны догляд і захаванне абсталявання.
      2. Карыстальнікі павінны неадкладна паведамляць аб любой страце або крадзяжы партатыўнай тэхналагічнай прылады ва Упраўленне грамадскай бяспекі. Пра любыя пашкоджанні прылады трэба неадкладна паведамляць ва Упраўленне службаў інфармацыйных тэхналогій (ITS).
    2. Парадак справаздачнасці
      1. Асобы, якія паведамляюць аб страце або пашкоджанні прылады, павінны прадаставіць падрабязную інфармацыю аб здарэнні, уключаючы дату, час і месца.
      2. Пісьмовую справаздачу аб інцыдэнце трэба падаць ва Упраўленне грамадскай бяспекі і аховы на працягу 24 гадзін пасля страты або крадзяжу.
    3. даследаванне
      1. Упраўленне грамадскай бяспекі будзе расследаваць абставіны страты партатыўнай тэхналагічнай прылады.
      2. Ад датычных асоб можа спатрэбіцца поўнае супрацоўніцтва са следствам, прадастаўленне любой адпаведнай інфармацыі.
    4. Меры адказнасці
      1. Калі страта або пашкоджанне выяўляецца з-за нядбайнасці або наўмысных дзеянняў, чалавек можа быць прыцягнуты да фінансавай адказнасці за кошт рамонту або замены абсталявання.
      2. Фізічныя асобы будуць пісьмова паведамленыя аб выніках расследавання і любых фінансавых абавязацельствах.
    5. Фінансавая адказнасць
      1. Асобы, адказныя за страту або пашкоджанне, павінны кампенсаваць HCCC выдаткі на рамонт або замену партатыўнай тэхналагічнай прылады. Кошт рамонту або замены абсталявання супрацоўнікаў можа паходзіць з бюджэту офіса/школы.
      2. Дамоўленасці аб аплаце могуць быць дасягнуты ў бухгалтэрыі, і невыкананне фінансавых абавязацельстваў можа прывесці да дадатковых наступстваў, у тым ліку да пазбаўлення акадэмічных дакументаў або іншых дысцыплінарных мер.
  4. Выключэнні
    Справы, звязаныя са стратай або пашкоджаннем з-за крадзяжу або іншай злачыннай дзейнасці, будуць разглядацца ў адпаведнасці з працэдурамі мясцовых праваахоўных органаў.
  5. СУВЯЗЬ
    Гэтая палітыка будзе даведзена да ўсіх асоб, якія атрымліваюць партатыўныя тэхналагічныя прылады, праз распаўсюджванне пісьмовых матэрыялаў, уключэнне ў даведнікі для супрацоўнікаў/студэнтаў і электронныя каналы сувязі.

Зацверджана кабінетам міністраў у сакавіку 2024 г
Спадарожная палітыка: ITS

 

Працэдура плана кіравання рызыкамі пастаўшчыка

Увядзенне

Tяго План кіравання рызыкамі пастаўшчыкоў накіраваны на стварэнне асновы для эфектыўнага кіравання і зніжэння рызык, звязаных са староннімі пастаўшчыкамі ў Грамадскім каледжы акругі Гудзон. Працэдура апісвае працэсы і працэдуры для ацэнкі пастаўшчыкоў, выбару і пастаяннага маніторынгу для забеспячэння бяспекі, адпаведнасці і надзейнасці адносін з пастаўшчыкамі. Працэдура ў першую чаргу засяроджана на зборы і праглядзе інфармацыі аб прыдатнасці і бяспецы пастаўшчыка, а таксама ацэнцы ўмоў і мовы кантракта падчас першапачатковага падпісання і падаўжэння кантракта.

  1. Працэс выбару пастаўшчыка
    1. Ідэнтыфікацыя пастаўшчыка: вызначце патэнцыйных пастаўшчыкоў на аснове патрабаванняў і патрэбаў каледжа.
    2. Першапачатковая ацэнка пастаўшчыка: ацаніце патэнцыйных пастаўшчыкоў, выкарыстоўваючы наступныя крытэрыі:
      1. Кваліфікацыя і вопыт
      2. Рэпутацыя і спасылкі
      3. Фінансавая стабільнасць
      4. Стандарты бяспекі і адпаведнасці
      5. Пагадненні ўзроўню абслугоўвання
    3. Запыт прапановы (RFP): падрыхтуйце і выдайце RFP, калі гэта неабходна, пастаўшчыкам, якія ўвайшлі ў шорт-ліст, з указаннем чаканняў, патрабаванняў і крытэрыяў ацэнкі каледжа.
    4. Ацэнка пастаўшчыкоў: Ацаніце прапановы пастаўшчыкоў на аснове загадзя вызначаных крытэрыяў і правядзіце любыя неабходныя інтэрв'ю або прэзентацыі.
    5. Выбар пастаўшчыка: выбірайце пастаўшчыка(-аў) на аснове вынікаў ацэнкі з улікам такіх фактараў, як кошт, магчымасці і профіль рызыкі.
  1. Набор інструментаў ацэнкі пастаўшчыкоў супольнасці вышэйшай адукацыі (HECVAT) і агляд
    1. Патрабаванні да формы HECVAT: усе патэнцыйныя пастаўшчыкі павінны прадставіць запоўненую форму HECVAT; Вынікі аўдыту SOC 2 могуць быць заменены на HECVAT.
    2. Першапачатковы агляд: праглядзіце HECVAT, каб ацаніць практыку бяспекі пастаўшчыкоў, меры па абароне даных і адпаведнасць адпаведным нормам.
    3. Ацэнка рызыкі: правядзіце ацэнку рызыкі на аснове інфармацыі, прадстаўленай у HECVAT, каб вызначыць магчымыя рызыкі, звязаныя з адносінамі з пастаўшчыкамі.
    4. Дзеянні па змякчэнні наступстваў: распрацуйце дзеянні па змякчэнні наступстваў для ліквідацыі выяўленых рызык, напрыклад, запыт дадатковай інфармацыі, правядзенне аўдыту бяспекі або ўстанаўленне кантрактных абавязацельстваў па бяспецы і прыватнасці.
  2. Агляд умоў
    1. Агляд кантракту: азнаёмцеся з умовамі прапанаванага кантракту з пастаўшчыком, засяродзіўшы ўвагу на сферах, звязаных з канфідэнцыяльнасцю даных, бяспекай, адпаведнасцю і інтэлектуальнай уласнасцю.
    2. Юрыдычны агляд: пры неабходнасці прыцягніце юрысконсульта, каб пераканацца, што мова дагавора належным чынам абараняе інтарэсы каледжа і адпавядае дзеючым законам і правілам.
    3. Перамовы і папраўкі: супрацоўнічайце з пастаўшчыком для ўзгаднення і ўнясення змяненняў у фармулёўку кантракта для ліквідацыі любых выяўленых праблем або прабелаў.
    4. Зацвярджэнне і падпісанне: Атрымайце неабходныя дазволы на кантракт і падпішыце пагадненне, калі ўсе бакі будуць задаволены ўмовамі.
  3. Пастаяннае кіраванне пастаўшчыкамі
    1. Рэгулярны маніторынг: бесперапынна кантралюйце прадукцыйнасць пастаўшчыка, практыку бяспекі і адпаведнасць на працягу ўсяго тэрміну дзеяння кантракта.
    2. Перагляд падаўжэння кантракта: падаўжэнне кантракта залежыць ад Статута дагаворнага права грамадскага каледжа. Правядзіце дбайную праверку ўзаемаадносін з пастаўшчыкамі, уключаючы пераацэнку новага HECVAT, умоў і моў кантракта падчас працэсу падаўжэння кантракта.
    3. Ацэнка прадукцыйнасці пастаўшчыка: перыядычна ацэньвайце прадукцыйнасць пастаўшчыка ў адпаведнасці з устаноўленымі пагадненнямі аб узроўні абслугоўвання і чаканнямі.
    4. Рэагаванне на інцыдэнты: выконвайце працэдуру рэагавання на інцыдэнты, каб аператыўна ліквідаваць любыя парушэнні бяспекі або інцыдэнты з дадзенымі з удзелам пастаўшчыкоў.
    5. Выключэнне пастаўшчыкоў: распрацуйце працэс для забеспячэння належнага выключэння пастаўшчыкоў, уключаючы вяртанне канфідэнцыйнай інфармацыі і спыненне доступу да сістэмы.
  4. Дакументацыя і справаздачнасць
    1. дакументацыя
      1. Рэпазітар кантрактаў: ​​усе кантракты пастаўшчыкоў, уключаючы іх умовы, папраўкі і адпаведныя дакументы, павінны захоўвацца ў сістэме кіравання кантрактамі каледжа. Пераканайцеся, што сховішча кантрактаў арганізавана, лёгка даступна і рэгулярна абнаўляецца.
      2. Завершаная дакументацыя HECVAT і бяспекі: Вядзіце ўлік усіх HECVAT і аўдытаў бяспекі, атрыманых ад пастаўшчыкоў, уключаючы любую пацвярджальную дакументацыю або тлумачэнні, прадстаўленыя пастаўшчыкамі.
      3. Ацэнка рызыкі: дакументуйце вынікі ацэнкі рызыкі, праведзенай на аснове HECVAT, і любых дадатковых ацэнак або праведзеных аўдытаў.
      4. Справаздачы аб інцыдэнтах: захоўвайце ўлік любых інцыдэнтаў або парушэнняў бяспекі з удзелам пастаўшчыкоў, а таксама адпаведныя меры рэагавання на інцыдэнты.
    2. Справаздачнасць
      1. Выканаўчая справаздачнасць: прадстаўляйце рэгулярныя справаздачы выканаўчаму кіраўніцтву, у тым ліку галоўнаму інфармацыйнаму дырэктару (CIO) і кабінету міністраў, абагульняючы ландшафт рызык пастаўшчыка, намаганні па зніжэнні наступстваў і прыкметныя інцыдэнты або праблемы.
      2. Справаздача аб падаўжэнні кантракта: Падрыхтуйце вычарпальную справаздачу, у якой вылучыце вынікі агляду падаўжэння кантракта, уключаючы любыя рэкамендаваныя змены або паляпшэнні адносін з пастаўшчыкамі.
      3. Справаздачнасць аб адпаведнасці: стварайце перыядычныя справаздачы аб адпаведнасці пастаўшчыкоў дзеючым нормам, кантрактным абавязацельствам і ўзгодненым стандартам бяспекі.
    3. Захаванне запісу
      1. Перыяд захоўвання: дакументацыя па ацэнцы рызык пастаўшчыка будзе адпавядаць графіку захоўвання дакументацыі, звязанай з пастаўшчыком, забяспечваючы адпаведнасць заканадаўчым, нарматыўным і ўнутраным патрабаванням.
      2. Канфідэнцыяльнасць і абарона даных: пры захоўванні і апрацоўцы дакументаў, звязаных з пастаўшчыкамі, прытрымлівайцеся дзеючых правілаў канфідэнцыяльнасці і абароны даных, забяспечваючы прымяненне належных мер бяспекі.

Зацверджана Кабінетам міністраў: май 2023 г
Звязаная палітыка савета: паслугі інфармацыйных тэхналогій

Вярнуцца да Policies and Procedures