Працэдура плана інфармацыйнай бяспекі

 

Увядзенне

Мэтай распрацоўкі і ўкаранення працэдуры комплекснага пісьмовага плана інфармацыйнай бяспекі («План») з'яўляецца стварэнне эфектыўных адміністрацыйных, тэхнічных і фізічных мер абароны «асабістай інфармацыі» будучых студэнтаў, абітурыентаў, студэнтаў, супрацоўнікаў, выпускнікоў і сяброў Hudson County Community College, а таксама выкананне нашых абавязацельстваў у адпаведнасці з правілам Нью-Джэрсі 201 CMR 17.00. План вызначае нашы працэдуры для ацэнкі нашых электронных і фізічных метадаў доступу, збору, захоўвання, выкарыстання, перадачы і абароны «асабістай інфармацыі» ўдзельнікаў каледжа.

Для мэт дадзенага Плана «асабістая інфармацыя» вызначаецца як імя і прозвішча чалавека, або ініцыял і прозвішча, у спалучэнні з адным або некалькімі з наступных элементаў даных, якія адносяцца да такога рэзідэнта: (а) нумар сацыяльнага страхавання; (b) нумар пасведчання кіроўцы або нумар дзяржаўнай ідэнтыфікацыйнай карты; або (c) нумар фінансавага рахунку або нумар крэдытнай або дэбетавай карты з неабходным кодам бяспекі, кодам доступу, персанальным ідэнтыфікацыйным нумарам або паролем або без яго, якія дазваляюць атрымаць доступ да фінансавага рахунку рэзідэнта, дзе захавальнікам гэтых даных з'яўляецца Грамадскі каледж акругі Хадсан; пры ўмове, аднак, што «асабістая інфармацыя» не ўключае інфармацыю, якая законна атрымана з агульнадаступнай інфармацыі або з дакументаў федэральнага, дзяржаўнага або мясцовага ўрада, законна даступных для шырокай грамадскасці.

Мэта

Мэтай гэтага Плана з'яўляецца:

    1. Забяспечваць бяспеку і канфідэнцыяльнасць асабістай інфармацыі;
    2. Абараніць ад любых патэнцыйных пагроз або небяспек для бяспекі або цэласнасці асабістай інфармацыі; і,
    3. Абараніце ад несанкцыянаванага доступу або выкарыстання асабістай інфармацыі спосабам, які стварае значную рызыку крадзяжу асабістых дадзеных або махлярства.

Сфера

Пры распрацоўцы і рэалізацыі Плана ўстанова будзе: (1) вызначаць разумна прадказальныя ўнутраныя і знешнія рызыкі для бяспекі, канфідэнцыяльнасці і цэласнасці любых электронных, папяровых або іншых запісаў, якія змяшчаюць асабістую інфармацыю; (2) ацаніць верагоднасць і патэнцыйную шкоду ад гэтых пагроз, прымаючы пад увагу канфідэнцыяльнасць асабістай інфармацыі; (3) ацэньваць дастатковасць існуючай палітыкі, практыкі, працэдур, інфармацыйных сістэм і іншых гарантый для кантролю рызык; (4) распрацаваць і рэалізаваць план, які змяшчае меры бяспекі для мінімізацыі гэтых рызык у адпаведнасці з патрабаваннямі 201 CMR 17.00; і (5) рэгулярна кантраляваць План.

Каардынатар па бяспецы дадзеных

HCCC прызначыў галоўнага інфармацыйнага дырэктара (CIO) і віцэ-прэзідэнта па бізнесе і фінансах/фінансавага дырэктара для рэалізацыі, кантролю і падтрымання Плана. ІТ-дырэктар і віцэ-прэзідэнт па бізнесе і фінансах/фінансавы дырэктар будуць адказваць за:

    1. Першапачатковая рэалізацыя Плана;
    2. Кантроль за пастаянным навучаннем супрацоўнікаў элементам і патрабаванням Плана для ўсіх уладальнікаў, кіраўнікоў, супрацоўнікаў і незалежных падрадчыкаў, якія маюць доступ да асабістай інфармацыі;
    3. Маніторынг мер бяспекі Плана;
    4. Ацэнка старонніх пастаўшчыкоў паслуг, якія маюць доступ і захоўваюць/перадаюць/рэзервовае капіраванне/падтрымліваюць асабістую інфармацыю, і патрабаванне ад гэтых пастаўшчыкоў паслуг па кантракце ўкараняць і падтрымліваць адпаведныя меры бяспекі для абароны асабістай інфармацыі;
    5. Перагляд аб'ёму мер бяспекі ў плане штогод або кожны раз, калі адбываюцца істотныя змены ў дзелавой практыцы HCCC, якія могуць паўплываць на бяспеку або цэласнасць запісаў, якія змяшчаюць асабістую інфармацыю; і,
    6. Агляд заканадаўства і законаў і абнаўленне палітыкі і працэдур па меры неабходнасці.

Унутраныя рызыкі

Для барацьбы з унутранымі рызыкамі для бяспекі, канфідэнцыяльнасці і цэласнасці любых электронных, папяровых або іншых запісаў, якія змяшчаюць асабістую інфармацыю, а таксама для таго, каб ацаніць і палепшыць, пры неабходнасці, эфектыўнасць дзеючых мер бяспекі для абмежавання такіх рызык, наступныя меры з'яўляюцца абавязковымі і ўступаюць у сілу неадкладна: 

Адміністрацыйныя меры

      1. Копія Плана павінна быць распаўсюджана Прэзідэнту, Кабінету Прэзідэнта, супрацоўнікам службы інфармацыйных тэхналогій (ITS) і іншым прызначаным супрацоўнікам, якія працуюць з асабістай інфармацыяй. Пасля атрымання Плана кожны чалавек павінен пісьмова пацвердзіць, што атрымаў копію Плана.
      2. Пасля навучання ўвесь персанал павінен будзе падпісаць пагадненні аб канфідэнцыяльнасці, якія апісваюць апрацоўку асабістай інфармацыі. Пагадненні аб канфідэнцыяльнасці будуць патрабаваць ад супрацоўнікаў паведамляць ІТ-дырэктара або віцэ-прэзідэнту па кадрах аб любых падазроных або несанкцыянаваным выкарыстанні «асабістай інфармацыі».
      3. Аб'ём сабранай асабістай інфармацыі павінен быць абмежаваны разумна неабходным для дасягнення законных бізнес-мэтаў. Выкарыстанне асабістай інфармацыі разглядаецца з дапамогай аўдытаў у розных сферах.
      4. Усе меры бяспекі даных павінны пераглядацца не радзей аднаго разу ў год або кожны раз, калі адбываюцца істотныя змены ў дзелавой практыцы HCCC або змены ў заканадаўстве, якія могуць абгрунтавана паўплываць на бяспеку або цэласнасць запісаў, якія змяшчаюць асабістую інфармацыю. ІТ-дырэктар і віцэ-прэзідэнт па бізнесе і фінансах/фінансавы дырэктар нясуць адказнасць за гэты агляд і павінны ў поўнай меры інфармаваць кіраўнікоў аддзелаў аб выніках гэтага агляду і любых рэкамендацыях па паляпшэнні бяспекі, якія вынікаюць з гэтага агляду.
      5. Кожны раз, калі адбываецца інцыдэнт, які патрабуе паведамлення ў адпаведнасці з NJ Stat. § 56:8-163 Закона штата Нью-Джэрсі аб паведамленнях аб парушэннях персанальных даных, павінен быць праведзены неадкладны абавязковы агляд падзей і прынятых дзеянняў пасля інцыдэнту, калі такія маюцца, каб вызначыць, ці патрэбныя змены ў практыцы бяспекі HCCC для павышэння бяспекі асабістай інфармацыі ў адпаведнасці з Планам.
      6. Кожны аддзел павінен распрацаваць правілы (з улікам дзелавых патрэб гэтага аддзела), якія забяспечваюць наяўнасць разумных абмежаванняў на фізічны доступ да асабістай інфармацыі, у тым ліку пісьмовую працэдуру, якая паказвае, як абмежаваны фізічны доступ да запісу. Кожны аддзел павінен захоўваць такія запісы і дадзеныя ў замкнёных памяшканнях, бяспечных складскіх памяшканнях або замкнёных шафах.
      7. За выключэннем уліковых запісаў Сістэмнага адміністравання, доступ да асабістай інфармацыі, якая захоўваецца ў электронным выглядзе, павінен быць абмежаваны ў электронным выглядзе тым супрацоўнікам, якія маюць унікальны ідэнтыфікатар для ўваходу з адпаведным доступам. Доступ не будзе прадастаўлены супрацоўнікам, якім ІТ-дырэктар вызначыць, што ім не патрэбны доступ да асабістай інфармацыі, якая захоўваецца ў электронным выглядзе.
      8. Пры адсутнасці пагаднення аб канфідэнцыяльнасці доступ наведвальніка або падрадчыка да канфідэнцыяльных даных, уключаючы, але не абмяжоўваючыся імі, паролі, ключы шыфравання і тэхнічныя характарыстыкі, пры неабходнасці, павінен быць узгоднены ў пісьмовай форме. Доступ павінен быць абмежаваны мінімальна неабходнай колькасцю. Калі для доступу неабходны аддалены ўваход, гэты доступ таксама павінен быць зацверджаны аддзелам ІТС HCCC.

Фізічныя меры

      1. Доступ да запісаў, якія змяшчаюць асабістую інфармацыю, павінен быць абмежаваны для тых, хто разумна абавязаны ведаць такую ​​інфармацыю для дасягнення законнай дзелавой мэты HCCC. Для прадухілення непатрэбнага раскрыцця канфідэнцыяльная і асабістая інфармацыя будзе выдалена, папяровыя дакументы будуць захоўвацца ў замкнёных памяшканнях, а для электронных дакументаў будуць рэалізаваны меры бяспекі.
      2. У канцы працоўнага дня ўсе неэлектронныя файлы і іншыя запісы, якія змяшчаюць асабістую інфармацыю, павінны захоўвацца ў зачыненых пакоях, офісах або шафах.
      3. Папяровыя запісы, якія змяшчаюць асабістую інфармацыю, павінны быць утылізаваны ў адпаведнасці з NJ Stat. § 56:8-163, Закон штата Нью-Джэрсі аб паведамленнях аб парушэнні асабістых даных. Гэта азначае, што запісы трэба ўтылізаваць з дапамогай папярочнага здрабняльніка або іншымі спосабамі, якія робяць інфармацыю нечытэльнай.

Тэхнічныя меры

      1. HCCC не дазваляе супрацоўнікам захоўваць асабістую інфармацыю на партатыўных носьбітах. Гэта ўключае ў сябе ноўтбукі, USB, кампакт-дыскі і г.д. Калі супрацоўнікі, якія маюць доступ да асабістай інфармацыі, спыняюцца, HCCC павінен спыніць іх доступ да сеткавых рэсурсаў і фізічных прылад, якія змяшчаюць асабістую інфармацыю. Гэта ўключае ў сябе спыненне або адмову ад сеткавых уліковых запісаў, уліковых запісаў баз дадзеных, ключоў, значкоў, тэлефонаў і ноўтбукаў або настольных кампутараў.
      2. Супрацоўнікі павінны рэгулярна мяняць свае паролі для сістэм, якія змяшчаюць асабістую інфармацыю.
      3. Доступ да асабістай інфармацыі павінен быць абмежаваны для актыўных карыстальнікаў і толькі для актыўных уліковых запісаў карыстальнікаў.
      4. Там, дзе гэта тэхнічна магчыма, усе сістэмы, якія абслугоўваюцца HCCC і захоўваюць асабістую інфармацыю, будуць выкарыстоўваць функцыі аўтаматычнай блакіроўкі, якія блакіруюць доступ пасля некалькіх няўдалых спроб уваходу.
      5. Электронныя запісы (у тым ліку запісы, якія захоўваюцца на цвёрдых дысках і іншых электронных носьбітах), якія змяшчаюць асабістую інфармацыю, павінны быць утылізаваны ў адпаведнасці з і такім чынам, які адпавядае NJ Stat. § 56:8-163, Закон штата Нью-Джэрсі аб паведамленнях аб парушэнні асабістых даных. Гэта патрабуе, каб інфармацыя была знішчана або выдалена, каб асабістая інфармацыя практычна не магла быць прачытана або рэканструявана.

Знешнія рызыкі

      1. Для барацьбы са знешнімі рызыкамі для бяспекі, канфідэнцыяльнасці і цэласнасці любых электронных, папяровых або іншых запісаў, якія змяшчаюць асабістую інфармацыю, а таксама для таго, каб ацаніць або палепшыць, пры неабходнасці, эфектыўнасць дзеючых мер бяспекі для абмежавання такіх рызык, наступныя меры з'яўляюцца абавязковымі і ўступаюць у сілу неадкладна:

a.) Існуюць дастаткова сучасныя патчы для абароны брандмаўэра і бяспекі аперацыйнай сістэмы, разумна прызначаныя для падтрымання цэласнасці асабістай інфармацыі, устаноўленыя ў сістэмах з асабістай інфармацыяй.

b.) Існуюць дастаткова сучасныя версіі праграмнага забеспячэння агента бяспекі сістэмы, якія ўключаюць абарону ад шкоднасных праграм, а таксама дастаткова сучасныя патчы і азначэнні вірусаў, устаноўленыя ў сістэмах, якія апрацоўваюць асабістую інфармацыю.

c.) Пры захаванні ў сеткавых агульных доступах HCCC файлы, якія змяшчаюць асабістую інфармацыю, павінны быць зашыфраваны. HCCC не дазваляе захоўваць асабістую інфармацыю на ноўтбуках, ПК, USB-прыладах або іншых партатыўных носьбітах. HCCC разгорне праграмнае забеспячэнне для шыфравання для дасягнення гэтай мэты.

d.) Любая асабістая інфармацыя, якая перадаецца ў электронным выглядзе староннім пастаўшчыкам, павінна адпраўляцца праз зашыфраваны сэрвіс пастаўшчыка або праз прызначаны зашыфраваны сэрвіс HCCC для бяспечнай перадачы. 

e.) Усе новыя пастаўшчыкі паслуг, якія захоўваюць асабістую інфармацыю HCCC у электроннай форме, павінны будуць належным чынам прадэманстраваць меры бяспекі праз EDUCAUSE HECVAT або аналагічны інструмент. Гэтыя пастаўшчыкі таксама павінны быць ухвалены віцэ-прэзідэнтам HCCC па фінансах і бізнесе/фінансавым дырэктарам.

f.) Персанал службы людскіх рэсурсаў і інфармацыйных тэхналогій павінен прытрымлівацца працэдур, выкладзеных у Працэдуры дапушчальнага выкарыстання HCCC для сістэм інфармацыйных тэхналогій, звязаных са стварэннем, перадачай або спыненнем дзеяння ўліковых запісаў, разам з палітыкай захоўвання пароляў і ролевай бяспекі.

g.) Уся асабістая інфармацыя будзе выдалена ў адпаведнасці з HCCC Policies and Procedures.

h.) Наколькі дазваляюць рэсурсы і бюджэт, HCCC будзе ўкараняць тэхналогію, якая дазволіць Каледжу кантраляваць базы дадзеных на прадмет несанкцыянаванага выкарыстання асабістай інфармацыі або доступу да яе, а таксама выкарыстоўваць бяспечныя пратаколы аўтэнтыфікацыі і меры кантролю доступу ў адпаведнасці з працэдурамі HCCC.

Зацверджана Кабінетам міністраў: ліпень 2021 г
Звязаная палітыка Савета: ITS

Вярнуцца да Policies and Procedures