Διαδικασία Σχεδίου Ασφάλειας Πληροφοριών

 

Εισαγωγή

Ο σκοπός της ανάπτυξης και εφαρμογής αυτής της ολοκληρωμένης διαδικασίας γραπτού σχεδίου ασφάλειας πληροφοριών («Σχέδιο») είναι η δημιουργία αποτελεσματικών διοικητικών, τεχνικών και φυσικών διασφαλίσεων για την προστασία των «προσωπικών δεδομένων» των υποψηφίων φοιτητών, αιτούντων, φοιτητών, εργαζομένων, αποφοίτων. , και τους φίλους του Κοινοτικού Κολλεγίου Hudson County, και να συμμορφωθούμε με τις υποχρεώσεις μας βάσει του κανονισμού 201 CMR του Νιου Τζέρσεϊ 17.00. Το Σχέδιο καθορίζει τις διαδικασίες μας για την αξιολόγηση των ηλεκτρονικών και φυσικών μεθόδων μας για την πρόσβαση, τη συλλογή, την αποθήκευση, τη χρήση, τη μετάδοση και την προστασία των «προσωπικών πληροφοριών» των μελών του Κολλεγίου.

Για τους σκοπούς του παρόντος Σχεδίου, ως «προσωπικές πληροφορίες» ορίζονται το όνομα και το επίθετο ενός ατόμου ή το αρχικό και το επώνυμο ενός ατόμου, σε συνδυασμό με οποιοδήποτε από τα ακόλουθα στοιχεία δεδομένων που σχετίζονται με αυτόν τον κάτοικο: (α) Κοινωνική Αριθμός ασφαλείας; β) αριθμός άδειας οδήγησης ή αριθμός ταυτότητας που έχει εκδοθεί από το κράτος· ή (γ) αριθμός οικονομικού λογαριασμού ή αριθμός πιστωτικής ή χρεωστικής κάρτας, με ή χωρίς απαιτούμενο κωδικό ασφαλείας, κωδικό πρόσβασης, προσωπικό αριθμό αναγνώρισης ή κωδικό πρόσβασης που θα επέτρεπε την πρόσβαση στον οικονομικό λογαριασμό ενός κατοίκου όπου το Hudson County Community College είναι ο θεματοφύλακας αυτών των δεδομένων ; υπό τον όρο, ωστόσο, ότι οι «προσωπικές πληροφορίες» δεν θα περιλαμβάνουν πληροφορίες που λαμβάνονται νόμιμα από διαθέσιμες στο κοινό πληροφορίες ή από αρχεία ομοσπονδιακών, πολιτειακών ή τοπικών αρχών που διατίθενται νομίμως στο ευρύ κοινό.

Σκοπός

Σκοπός αυτού του Σχεδίου είναι:

    1. Διασφάλιση της ασφάλειας και του απορρήτου των προσωπικών πληροφοριών·
    2. Προστασία από πιθανές απειλές ή κινδύνους για την ασφάλεια ή την ακεραιότητα των προσωπικών πληροφοριών. και,
    3. Προστατέψτε από μη εξουσιοδοτημένη πρόσβαση ή χρήση προσωπικών πληροφοριών με τρόπο που δημιουργεί σημαντικό κίνδυνο κλοπής ταυτότητας ή απάτης.

Έκταση

Κατά τη διαμόρφωση και την εφαρμογή του Σχεδίου, το ίδρυμα: (1) θα εντοπίσει εύλογα προβλέψιμους εσωτερικούς και εξωτερικούς κινδύνους για την ασφάλεια, την εμπιστευτικότητα και την ακεραιότητα οποιωνδήποτε ηλεκτρονικών, έντυπων ή άλλων αρχείων που περιέχουν προσωπικές πληροφορίες. (2) να αξιολογήσει την πιθανότητα και την πιθανή ζημιά αυτών των απειλών, λαμβάνοντας υπόψη την ευαισθησία των προσωπικών πληροφοριών· (3) αξιολογεί την επάρκεια των υφιστάμενων πολιτικών, πρακτικών, διαδικασιών, συστημάτων πληροφοριών και άλλων διασφαλίσεων που ισχύουν για τον έλεγχο των κινδύνων. (4) να σχεδιάσει και να εφαρμόσει ένα σχέδιο που θέτει σε εφαρμογή διασφαλίσεις για την ελαχιστοποίηση αυτών των κινδύνων, σύμφωνα με τις απαιτήσεις του 201 CMR 17.00. και (5) παρακολουθεί τακτικά το Σχέδιο.

Συντονιστής Ασφάλειας Δεδομένων

Η HCCC έχει ορίσει τον Chief Information Officer (CIO) και τον Αντιπρόεδρο Επιχειρήσεων και Οικονομικών/CFO για την εφαρμογή, την επίβλεψη και τη διατήρηση του Σχεδίου. Ο CIO και ο Αντιπρόεδρος Επιχειρήσεων και Οικονομικών/Ο Οικονομικός Διευθυντής θα είναι υπεύθυνοι για:

    1. Αρχική εφαρμογή του Σχεδίου.
    2. Επίβλεψη της συνεχούς εκπαίδευσης των εργαζομένων σχετικά με τα στοιχεία και τις απαιτήσεις του Σχεδίου για όλους τους ιδιοκτήτες, διευθυντές, υπαλλήλους και ανεξάρτητους εργολάβους που έχουν πρόσβαση σε προσωπικές πληροφορίες.
    3. Παρακολούθηση των διασφαλίσεων του Σχεδίου.
    4. Αξιολόγηση παρόχων υπηρεσιών τρίτων που έχουν πρόσβαση και φιλοξενούν/μεταδίδουν/δημιουργούν αντίγραφα ασφαλείας/διατηρούν προσωπικές πληροφορίες και απαιτείται βάσει σύμβασης από αυτούς τους παρόχους υπηρεσιών να εφαρμόζουν και να διατηρούν τέτοια κατάλληλα μέτρα ασφαλείας για την προστασία των προσωπικών πληροφοριών.
    5. Επανεξέταση του πεδίου των μέτρων ασφαλείας στο Σχέδιο ετησίως ή όποτε υπάρχει σημαντική αλλαγή στις επιχειρηματικές πρακτικές της HCCC που μπορεί να συνεπάγεται την ασφάλεια ή την ακεραιότητα των αρχείων που περιέχουν προσωπικές πληροφορίες. και,
    6. Αναθεώρηση της νομοθεσίας και των νόμων και ενημέρωση πολιτικών και διαδικασιών όπως απαιτείται.

Εσωτερικοί κίνδυνοι

Για την καταπολέμηση εσωτερικών κινδύνων για την ασφάλεια, το απόρρητο και την ακεραιότητα οποιωνδήποτε ηλεκτρονικών, έντυπων ή άλλων αρχείων που περιέχουν προσωπικές πληροφορίες, και προκειμένου να αξιολογηθεί και να βελτιωθεί, όπου χρειάζεται, η αποτελεσματικότητα των ισχυόντων διασφαλίσεων για τον περιορισμό τέτοιων κινδύνων, τα ακόλουθα μέτρα είναι υποχρεωτικά και ισχύουν άμεσα: 

Διοικητικά Μέτρα

      1. Αντίγραφο του Σχεδίου θα διανεμηθεί στον Πρόεδρο, στο Γραφείο του Προέδρου, στο προσωπικό των Υπηρεσιών Πληροφορικής (ITS) και σε άλλα καθορισμένα μέλη του προσωπικού που χειρίζονται προσωπικές πληροφορίες. Μετά την παραλαβή του Σχεδίου, κάθε άτομο πρέπει να αναγνωρίσει γραπτώς ότι έλαβε ένα αντίγραφο του Σχεδίου.
      2. Μετά την εκπαίδευση, όλο το προσωπικό θα πρέπει να υπογράψει συμφωνίες εμπιστευτικότητας που περιγράφουν τον χειρισμό των προσωπικών πληροφοριών. Οι συμφωνίες εμπιστευτικότητας θα απαιτούν από τα μέλη του προσωπικού να αναφέρουν οποιαδήποτε ύποπτη ή μη εξουσιοδοτημένη χρήση «προσωπικών πληροφοριών» στον CIO ή στον Αντιπρόεδρο Ανθρώπινου Δυναμικού.
      3. Ο όγκος των προσωπικών πληροφοριών που συλλέγονται πρέπει να περιορίζεται σε ό,τι είναι εύλογα απαραίτητο για την επίτευξη νόμιμων επιχειρηματικών σκοπών. Η χρήση προσωπικών πληροφοριών αντιμετωπίζεται μέσω ελέγχων σε διάφορους τομείς.
      4. Όλα τα μέτρα ασφάλειας δεδομένων θα επανεξετάζονται τουλάχιστον ετησίως ή όποτε υπάρχει ουσιαστική αλλαγή στην επιχειρηματική πρακτική της HCCC ή αλλαγή στη νομοθεσία που μπορεί εύλογα να συνεπάγεται την ασφάλεια ή την ακεραιότητα των αρχείων που περιέχουν προσωπικές πληροφορίες. Ο CIO και ο Αντιπρόεδρος Επιχειρήσεων και Οικονομικών/Ο Οικονομικός Διευθυντής θα είναι υπεύθυνοι για αυτήν την επανεξέταση και θα ενημερώνουν πλήρως τους επικεφαλής των τμημάτων για τα αποτελέσματα αυτής της επανεξέτασης και για τυχόν συστάσεις για βελτιωμένη ασφάλεια που προκύπτουν από αυτήν την επανεξέταση.
      5. Κάθε φορά που υπάρχει ένα περιστατικό που απαιτεί ειδοποίηση σύμφωνα με το NJ Stat. Παρ την ασφάλεια των προσωπικών πληροφοριών στο πλαίσιο του Σχεδίου.
      6. Κάθε τμήμα θα αναπτύξει κανόνες (λαμβάνοντας υπόψη τις επιχειρηματικές ανάγκες αυτού του τμήματος) που διασφαλίζουν ότι υπάρχουν εύλογοι περιορισμοί όσον αφορά τη φυσική πρόσβαση στις προσωπικές πληροφορίες, συμπεριλαμβανομένης μιας γραπτής διαδικασίας που δηλώνει πώς περιορίζεται η φυσική πρόσβαση του αρχείου. Κάθε τμήμα πρέπει να αποθηκεύει τέτοια αρχεία και δεδομένα σε κλειδωμένες εγκαταστάσεις, ασφαλείς αποθηκευτικούς χώρους ή κλειδωμένα ντουλάπια.
      7. Με εξαίρεση τους λογαριασμούς Διαχείρισης Συστήματος, η πρόσβαση σε ηλεκτρονικά αποθηκευμένες προσωπικές πληροφορίες θα περιορίζεται ηλεκτρονικά στους υπαλλήλους που έχουν μοναδικό αναγνωριστικό σύνδεσης, με κατάλληλη πρόσβαση. Η πρόσβαση δεν θα παραχωρηθεί σε υπαλλήλους για τους οποίους η CIO κρίνει ότι δεν χρειάζονται πρόσβαση σε ηλεκτρονικά αποθηκευμένες προσωπικές πληροφορίες.
      8. Όταν δεν υπάρχει συμφωνία εμπιστευτικότητας, η πρόσβαση του επισκέπτη ή του αναδόχου σε ευαίσθητα δεδομένα, συμπεριλαμβανομένων ενδεικτικά κωδικών πρόσβασης, κλειδιών κρυπτογράφησης και τεχνικών προδιαγραφών, όταν είναι απαραίτητο, πρέπει να συμφωνηθεί γραπτώς. Η πρόσβαση περιορίζεται στο ελάχιστο απαραίτητο ποσό. Εάν απαιτείται απομακρυσμένη σύνδεση για πρόσβαση, αυτή η πρόσβαση πρέπει επίσης να εγκριθεί μέσω του Τμήματος ITS του HCCC.

Φυσικά Μέτρα

      1. Η πρόσβαση σε αρχεία που περιέχουν προσωπικές πληροφορίες περιορίζεται σε εκείνους που ευλόγως απαιτείται να γνωρίζουν αυτές τις πληροφορίες για την επίτευξη του νόμιμου επιχειρηματικού σκοπού της HCCC. Για τον μετριασμό της περιττής αποκάλυψης, ευαίσθητες και προσωπικές πληροφορίες θα διαγραφούν, τα έντυπα αρχεία θα αποθηκευτούν σε κλειδωμένες εγκαταστάσεις και θα εφαρμοστούν έλεγχοι ασφάλειας δεδομένων για ηλεκτρονικά αρχεία.
      2. Στο τέλος της εργάσιμης ημέρας, όλα τα μη ηλεκτρονικά αρχεία και άλλα αρχεία που περιέχουν προσωπικές πληροφορίες πρέπει να αποθηκεύονται σε κλειδωμένα δωμάτια, γραφεία ή ντουλάπια.
      3. Τα έντυπα αρχεία που περιέχουν προσωπικές πληροφορίες θα διατίθενται με τρόπο που συμμορφώνεται με το NJ Stat. § 56:8-163, νόμος για την αναφορά παραβίασης δεδομένων προσωπικού χαρακτήρα του Νιου Τζέρσεϋ. Αυτό σημαίνει ότι τα αρχεία θα πρέπει να απορρίπτονται με τη χρήση ενός τεμαχιστή εγκάρσιας κοπής ή άλλων μεθόδων που καθιστούν τις πληροφορίες δυσανάγνωστες.

Τεχνικά Μέτρα

      1. Το HCCC δεν επιτρέπει στους υπαλλήλους να αποθηκεύουν προσωπικές πληροφορίες σε φορητά μέσα. Αυτό περιλαμβάνει φορητούς υπολογιστές, USB, CD κ.λπ. Όταν τερματίζονται οι υπάλληλοι που έχουν πρόσβαση σε προσωπικές πληροφορίες, η HCCC τερματίζει την πρόσβασή τους σε πόρους δικτύου και φυσικές συσκευές που περιέχουν προσωπικές πληροφορίες. Αυτό περιλαμβάνει τον τερματισμό ή την παράδοση λογαριασμών δικτύου, λογαριασμών βάσης δεδομένων, κλειδιών, σημάτων, τηλεφώνων και φορητών υπολογιστών ή επιτραπέζιων υπολογιστών.
      2. Οι εργαζόμενοι υποχρεούνται να αλλάζουν τους κωδικούς πρόσβασής τους σε τακτική βάση για συστήματα που περιέχουν προσωπικές πληροφορίες.
      3. Η πρόσβαση σε προσωπικές πληροφορίες περιορίζεται σε ενεργούς χρήστες και μόνο ενεργούς λογαριασμούς χρηστών.
      4. Όπου είναι τεχνικά εφικτό, όλα τα συστήματα που διατηρεί το HCCC που αποθηκεύουν προσωπικές πληροφορίες θα χρησιμοποιούν λειτουργίες αυτόματου κλειδώματος που κλειδώνουν την πρόσβαση μετά από πολλές ανεπιτυχείς προσπάθειες σύνδεσης.
      5. Τα ηλεκτρονικά αρχεία (συμπεριλαμβανομένων των αρχείων που είναι αποθηκευμένα σε σκληρούς δίσκους και άλλα ηλεκτρονικά μέσα) που περιέχουν προσωπικές πληροφορίες θα διατίθενται σύμφωνα με και με τρόπο που συμμορφώνεται με το NJ Stat. § 56:8-163, νόμος για την αναφορά παραβίασης δεδομένων προσωπικού χαρακτήρα του Νιου Τζέρσεϋ. Αυτό απαιτεί την καταστροφή ή τη διαγραφή των πληροφοριών έτσι ώστε να μην είναι δυνατή η ανάγνωση ή η ανακατασκευή των προσωπικών πληροφοριών.

Εξωτερικοί κίνδυνοι

      1. Για την καταπολέμηση εξωτερικών κινδύνων για την ασφάλεια, το απόρρητο και την ακεραιότητα οποιωνδήποτε ηλεκτρονικών, έντυπων ή άλλων αρχείων που περιέχουν προσωπικές πληροφορίες, και προκειμένου να αξιολογηθεί ή να βελτιωθεί, όπου χρειάζεται, η αποτελεσματικότητα των ισχυόντων διασφαλίσεων για τον περιορισμό τέτοιων κινδύνων, τα ακόλουθα μέτρα είναι υποχρεωτικά και ισχύει άμεσα:

α.) Υπάρχουν εύλογα ενημερωμένες ενημερωμένες εκδόσεις κώδικα προστασίας τείχους προστασίας και ασφάλειας του λειτουργικού συστήματος που είναι εύλογα σχεδιασμένες για να διατηρούν την ακεραιότητα των προσωπικών πληροφοριών που είναι εγκατεστημένες σε συστήματα με προσωπικές πληροφορίες.

β.) Υπάρχουν εύλογα ενημερωμένες εκδόσεις λογισμικού παράγοντα ασφαλείας συστήματος που περιλαμβάνουν προστασία από κακόβουλο λογισμικό και εύλογα ενημερωμένες ενημερώσεις κώδικα και ορισμούς ιών που είναι εγκατεστημένοι σε συστήματα που επεξεργάζονται προσωπικές πληροφορίες.

γ.) Όταν αποθηκεύονται σε κοινόχρηστα στοιχεία δικτύου του HCCC, τα αρχεία που περιέχουν προσωπικές πληροφορίες θα πρέπει να είναι κρυπτογραφημένα. Το HCCC δεν επιτρέπει την αποθήκευση προσωπικών πληροφοριών σε φορητούς υπολογιστές, υπολογιστές, συσκευές USB ή άλλα φορητά μέσα. Το HCCC θα αναπτύξει λογισμικό κρυπτογράφησης για να συμμορφωθεί με αυτόν τον στόχο.

δ.) Οποιεσδήποτε προσωπικές πληροφορίες που διαβιβάζονται ηλεκτρονικά σε τρίτους προμηθευτές θα πρέπει να αποστέλλονται μέσω της κρυπτογραφημένης υπηρεσίας του πωλητή ή μέσω της καθορισμένης κρυπτογραφημένης υπηρεσίας του HCCC για ασφαλή μετάδοση. 

ε.) Όλοι οι νέοι πάροχοι υπηρεσιών που αποθηκεύουν τα προσωπικά στοιχεία του HCCC σε ηλεκτρονική μορφή θα πρέπει να επιδεικνύουν επαρκώς μέτρα ασφαλείας μέσω του EDUCAUSE HECVAT ή παρόμοιου οργάνου. Αυτοί οι πωλητές πρέπει επίσης να έχουν εγκριθεί από τον Αντιπρόεδρο Οικονομικών και Επιχειρήσεων/CFO της HCCC.

στ.) Το προσωπικό των Υπηρεσιών Ανθρώπινου Δυναμικού και Πληροφορικής θα ακολουθεί τις διαδικασίες που περιγράφονται στη Διαδικασία Αποδεκτής Χρήσης HCCC για Συστήματα Πληροφορικής που σχετίζονται με τη δημιουργία, τη μεταφορά ή τον τερματισμό λογαριασμών, μαζί με τις πολιτικές για την αποθήκευση κωδικού πρόσβασης και την ασφάλεια βάσει ρόλων.

ζ.) Όλες οι προσωπικές πληροφορίες θα διατεθούν σύμφωνα με το HCCC Policies and Procedures.

η.) Καθώς το επιτρέπουν οι πόροι και ο προϋπολογισμός, το HCCC θα εφαρμόσει τεχνολογία που θα επιτρέπει στο Κολλέγιο να παρακολουθεί βάσεις δεδομένων για μη εξουσιοδοτημένη χρήση ή πρόσβαση σε προσωπικές πληροφορίες και να χρησιμοποιεί ασφαλή πρωτόκολλα ελέγχου ταυτότητας και μέτρα ελέγχου πρόσβασης σύμφωνα με τις διαδικασίες του HCCC.

Εγκρίθηκε από το Υπουργικό Συμβούλιο: Ιούλιος 2021
Σχετική πολιτική συμβουλίου: ITS

Επιστροφή στην Policies and Procedures