Politika informacionih tehnologija

 

SVRHA

Ova politika pruža očekivanja i smjernice Community Collegea okruga Hudson („Koledž“) svima koji koriste i upravljaju uslugama i resursima informacione tehnologije koledža („ITS resursi“).

Koledž pruža ITS resurse za unapređenje obrazovnih, uslužnih, poslovnih i uspjeha studenata. Svaki pristup ili korišćenje ITS resursa Koledža koji ometa, prekida ili je u sukobu sa ovim svrhama smatraće se kršenjem ove politike. Oni će biti podložni posljedicama, uključujući ukidanje ITS pristupa.

POLITIKA

Ova politika se odnosi na sve članove zajednice Fakulteta, uključujući nastavnike, studente, administratore, osoblje, alumniste, ovlaštene goste i nezavisne izvođače koji koriste, pristupaju ili na drugi način zapošljavaju, lokalno ili daljinski, ITS resurse Koledža, bilo da su pojedinačno kontrolirani, zajednički, samostalni ili umreženi.

Odbor delegira na predsjednika odgovornost da razvije procedure i smjernice za implementaciju ove politike. Služba za informacione tehnologije i finansije će biti odgovorna za implementaciju politike.

Odobreno: jun 2021
Odobrio: Upravni odbor
Kategorija: Usluge informacione tehnologije
Zakazano za pregled: jun 2024
Odgovorni ured(i): Služba za informacione tehnologije i finansije

 

procedure

Prihvatljiva upotreba za proceduru sistema informacionih tehnologija

Uvod

Ova procedura ima za cilj da osigura da se sistemi informacionih tehnologija (ITS) Fakulteta koriste za unapređenje misije Koledža. Ova procedura je u skladu sa Politikom HCCC usluga informacionih tehnologija koju je odobrio Upravni odbor HCCC.

Primjenljivost

Ova procedura se odnosi na sve pojedinačne korisnike koji pristupaju i koriste računarske, mrežne i informacione resurse preko bilo koje ustanove Fakulteta. Ovi korisnici uključuju svo osoblje Hudson County Community College-a, nastavnike, administratore i druge osobe unajmljene ili zadržane za obavljanje posla na fakultetu.

Ova procedura pokriva sve sisteme informacionih tehnologija Koledža, uključujući računarstvo, umrežavanje i druge resurse informacione tehnologije u vlasništvu ili kojima upravlja, nabavljeni su preko ili ugovoreni sa Koledžom. Takvi resursi uključuju računarske i mrežne sisteme Koledža (uključujući one koji su povezani na telekomunikacionu infrastrukturu Fakulteta, okosnice na cijelom fakultetu, lokalne mreže i Internet), web stranice s javnim pristupom, zajedničke računarske sisteme, desktop računare, mobilne uređaje, druge računarski hardver, softver, baze podataka pohranjene na mreži ili dostupne putem mreže, objekti ITS/Enterprise Applications i komunikacijski sistemi i usluge.

odgovornost

Glavni službenik za informiranje (CIO) i direktori/menadžeri ITS/enterprise aplikacija će implementirati ovu proceduru. Prijave korisnika o sumnji na zloupotrebu i druge pritužbe upućuju se CIO-u. CIO će prijaviti incident potpredsjedniku za poslovanje i finansije/finansijskom direktoru. Specifičnosti procedure su navedene u nastavku pod "Neusklađenost i sankcije".

privatnost

Koledž pridaje veliku vrijednost privatnosti i prepoznaje njen kritični značaj u akademskom okruženju. U ograničenim okolnostima, uključujući, ali ne ograničavajući se na tehničke probleme ili kvarove, zahtjeve za provođenje zakona ili vladine propise, Koledž može utvrditi da drugi interesi nadmašuju vrijednost korisnikovih očekivanja privatnosti. Tek tada će Fakultet pristupiti relevantnim IT sistemima bez pristanka korisnika. Koledž je posvećen zaštiti privatnosti korisnika sve dok to ne ugrožava institucionalne resurse. Okolnosti pod kojima će Koledž možda morati da dobije pristup razmatraju se u nastavku. Uspostavljene su proceduralne zaštitne mjere kako bi se osiguralo da se pristup ostvaruje samo kada je to prikladno.

uslovi – U skladu sa državnim i saveznim zakonom, Koledž može pristupiti svim aspektima IT sistema, bez pristanka korisnika, u sljedećim okolnostima:

      1. Kada je potrebno da se identifikuju ili dijagnostikuju sistemi ili bezbednosni propusti i problemi, ili na drugi način očuva integritet IT sistema Koledža;
      2. Kada to zahtijevaju savezni, državni ili lokalni zakon ili administrativna pravila; 
      3. Kada postoje razumni razlozi za vjerovanje da je došlo do kršenja zakona ili značajnog kršenja politike ili procedure Koledža, a pristup i inspekcija ili praćenje mogu proizvesti dokaze u vezi sa nedoličnim ponašanjem;
      4. Kada je takav pristup IT/Enterprise Application Systems potreban za obavljanje osnovnih poslovnih funkcija Koledža; i,
      5. Kada je to potrebno radi očuvanja javnog zdravlja i sigurnosti.

Prema Zakonu o otvorenim javnim evidencijama New Jerseya, koledž zadržava pravo pristupa i otkrivanja podataka. Ovo otkrivanje može uključivati ​​poruke, podatke, datoteke i sigurnosne kopije ili arhive e-pošte. Objavljivanje organima za sprovođenje zakona i drugima vršiće se u skladu sa zakonom, kako bi se odgovorilo na pravne procese i ispunilo svoje obaveze prema trećim licima. Čak je i izbrisana e-pošta podložna pravnom otkrivanju tokom sudskog spora kroz arhive poruka, rezervne trake i poruke koje poništavaju brisanje.

proces – Koledž će pristupiti podacima bez pristanka korisnika samo uz odobrenje CIO-a i potpredsjednika za poslovanje i finansije/CFO. Ovaj proces će se zaobići samo kada je hitan pristup podacima neophodan za očuvanje integriteta objekata i očuvanje javnog zdravlja i sigurnosti. Koledž će, preko CIO-a, evidentirati sve slučajeve pristupa bez pristanka. Korisnik će biti obaviješten o pristupu Fakultetu relevantnim IT sistemima bez pristanka. U zavisnosti od okolnosti, takvo obavještenje će se pojaviti prije, za vrijeme ili nakon pristupa prema nahođenju Koledža.

Opća načela

  1. Pristup informacionoj tehnologiji je od vitalnog značaja za misiju Fakulteta da svojim studentima pruži najkvalitetnije obrazovne usluge.
  2. Fakultet posjeduje svoje računarske, mrežne i druge komunikacijske sisteme.
  3. Koledž takođe ima različita prava u vezi sa licencama na softver i informacije koji se nalaze na ovim računarima i mrežama ili su razvijeni na tim računarima i mrežama. Koledž je odgovoran za sigurnost, integritet, održavanje i povjerljivost svojih komunikacionih sistema.
  4. IT sistemi Koledža postoje da podrže osoblje, fakultet, administratore, konsultante i studente dok izvršavaju misiju Koledža. U tom cilju, Koledž ohrabruje i promoviše korištenje ovih resursa od strane zajednice Koledža za njihove predviđene svrhe. Pristup i korištenje ovih resursa izvan misije Koledža podliježe regulaciji i ograničenju kako bi se osiguralo da ne ometaju zakonit rad. Pristup i korištenje resursa i usluga koji ometaju misiju i ciljeve Koledža su zabranjeni.
  5. Kada potražnja za resursima informacione tehnologije premašuje raspoloživi kapacitet, ITS utvrđuje prioritete za alokaciju resursa. ITS daje veći prioritet aktivnostima koje su bitne za misiju Koledža. Zajedno sa glavnim službenikom za informisanje, potpredsjednici će preporučiti ove prioritete predsjedniku.
  6. Koledž ima ovlaštenje da kontroliše ili odbije pristup svakome ko prekrši ovu proceduru. Ugrožavanje prava drugih korisnika, dostupnosti i integriteta sistema i informacija predstavlja kršenje ove procedure. Posljedice kršenja procedure uključuju deaktiviranje naloga, pristupnih kodova ili sigurnosnih dozvola, zaustavljanje procesa, brisanje zahvaćenih datoteka i onemogućavanje pristupa resursima informacione tehnologije.

Prava korisnika

  1. Privatnost i povjerljivost: Kao što je detaljnije opisano u odjeljku IV (gore), Koledž će općenito poštovati prava korisnika na privatnost i povjerljivost. Međutim, po svojoj tehnološkoj prirodi, elektronska komunikacija, posebno e-pošta povezana na Internet, možda neće biti zaštićena od neovlaštenog pristupa, pregleda ili kršenja. Iako koledž koristi tehnologije za osiguranje elektronskih poruka, povjerljivost e-pošte i drugih elektronskih dokumenata ne može uvijek biti osigurana. Stoga, dobro rasuđivanje nalaže izradu elektronskih dokumenata koji mogu postati javni bez neugodnosti ili štete.
  2. Sigurnost: Upotreba IT sistema Fakulteta od strane fakulteta, osoblja ili administratora Fakulteta za prenošenje prijeteće, uznemiravanja ili uvredljive komunikacije (ili prikazivanje uvredljivih slika ili materijala) predstavlja kršenje procedure Fakulteta i može podvrgnuti prekršiocu strogim sankcijama . Osoblje fakulteta treba da prijavi prijetnje, uznemiravanje ili uvredljive komunikacije primljene preko mreže CIO-u što je prije moguće.

Odgovornosti korisnika

  1. Pojedinci koji imaju pristup računarskim, mrežnim i informacionim resursima Koledža odgovorni su za njihovo profesionalno, etičko i zakonsko korištenje iu skladu sa svim primjenjivim politikama Fakulteta. Korisnici moraju poduzeti razumne i neophodne mjere kako bi zaštitili operativni integritet i dostupnost sistema Koledža. Korisnici treba da održavaju akademsko i radno okruženje pogodno za efikasno i produktivno izvršavanje misije Koledža. Konkretno, odgovornosti korisnika uključuju:
      1. Poštivanje prava drugih, uključujući njihova prava na intelektualnu svojinu, privatnost i slobodu od uznemiravanja;
      2. Zaštita povjerljivosti osjetljivih informacija o fakultetu i privatnosti informacija o studentima u skladu sa politikom i procedurama FERPA-e i fakulteta;
      3. Koristeći sisteme i resurse kako ne bi ometali ili ometali uobičajene dnevne operacije Koledža;
      4. Zaštita sigurnosti i integriteta informacija pohranjenih na College IT/Enterprise Application Systems;
      5. Poznavanje i poštivanje politika i procedura specifičnih za koledž i jedinice koje regulišu pristup i korišćenje IT sistema fakulteta i informacija o tim sistemima.

Posebne zabrane korištenja mreže

  1. Pojedinci ne smiju dijeliti lozinke ili ID-ove za prijavu ili na drugi način drugima dati pristup bilo kojem sistemu za koji nisu oni odgovorni za podatke ili sistem. Korisnici su odgovorni za sve aktivnosti koje se provode s njihovim računalnim računima i sigurnost njihove lozinke. Samo ovlaštene osobe mogu koristiti IT/Enterprise Application Systems Koledža.
  2. Pojedinci ne smiju koristiti tuđi mrežni nalog niti pokušavati da pribave lozinke ili pristupne kodove za tuđi mrežni nalog za slanje ili primanje poruka.
  3. Pojedinci moraju tačno i na odgovarajući način identificirati sebe i svoju pripadnost u elektronskim komunikacijama. Ne smiju prikrivati ​​identitet mrežnog računa koji im je dodijeljen ili se predstavljati kao neko drugi.
  4. Pojedinci ne smiju koristiti sisteme Koledža da uznemiravaju, zastrašuju, prijete ili vrijeđaju druge; ometati tuđi rad ili obrazovanje; stvoriti zastrašujuće, neprijateljsko ili uvredljivo radno ili okruženje za učenje; ili za obavljanje nezakonitih ili neetičkih aktivnosti, uključujući plagijat i zadiranje u privatnost.
  5. Pojedinci ne smiju koristiti sisteme Koledža za dobivanje ili pokušaj neovlaštenog pristupa udaljenim mrežama ili kompjuterskim sistemima.
  6. Pojedinci ne smiju namjerno ometati normalan rad računara, radnih stanica, terminala, perifernih uređaja ili mreža Fakulteta.
  7. Pojedinci ne smiju pokretati ili instalirati programe na bilo koji kompjuterski sistem Fakulteta koji mogu oštetiti podatke i sisteme Fakulteta (npr. kompjuterski virusi, lični programi). Korisnici ne smiju koristiti mrežu Fakulteta za ometanje eksternih sistema. Ako korisnik posumnja da program koji namjerava da instalira ili koristi može izazvati takav efekat, prvo se mora konsultovati sa ITS/Enterprise Applications.
  8. Pojedinci ne smiju zaobilaziti ili izbjegavati korištenje sistema za autentifikaciju, mehanizama za zaštitu podataka ili drugih sigurnosnih mjera.
  9. Pojedinci ne smiju kršiti važeće zakone o autorskim pravima i licence, i moraju poštovati druga prava intelektualne svojine. Informacije i softver dostupni na Internetu podliježu zaštiti autorskih prava ili dodatne zaštite prava intelektualnog vlasništva. Politika, procedure i zakon koledža zabranjuju neovlašteno kopiranje softvera koji nije stavljen u javno vlasništvo i distribuiran kao „besplatni softver“. Stoga se ništa ne smije preuzimati ili kopirati s interneta bez izričitog dopuštenja vlasnika materijala. Korisnici moraju poštovati zahtjeve ili ograničenja vlasnika materijala za materijal. Takođe je zabranjeno korišćenje softvera na više od licenciranog broja računara i neovlašćeno instaliranje nelicenciranog softvera.
    “Shareware” korisnici moraju se pridržavati zahtjeva shareware ugovora.
  10. Zabranjene su aktivnosti koje troše ili nepravedno monopoliziraju računarske resurse i ne promoviraju misiju Koledža. Primjeri takvih aktivnosti uključuju neovlašteno masovno slanje e-pošte; elektronska lančana pisma, neželjena pošta i druge vrste emitiranih poruka; nepotrebni višestruki procesi, izlaz ili promet; prekoračenje ograničenja prostora mrežnog direktorija; igranje igrica, "surfovanje" internetom u rekreativne svrhe ili druge aplikacije koje nisu vezane za posao tokom radnog vremena; i prekomjerno štampanje.
  11. Zabranjeno je čitanje, kopiranje, mijenjanje ili brisanje programa ili fajlova koji pripadaju drugoj osobi ili Fakultetu bez dozvole.
  12. Pojedinci ne smiju koristiti računarske resurse Koledža u komercijalne svrhe ili ličnu finansijsku korist.
  13. Zabranjena je upotreba IT sistema Koledža koji krši lokalne, državne ili nacionalne zakone ili propise ili politike, standarde ponašanja ili smjernice Fakulteta.
  14. Komunikacija putem e-pošte:
      1. Sistem elektronske pošte Koledža postoji kako bi podržao rad Fakulteta, a upotreba e-pošte mora biti povezana sa poslovanjem Fakulteta. Međutim, dozvoljena je i slučajna lična, nekomercijalna upotreba bez direktnih troškova za Koledž, a koja ne ometa zakonito poslovanje Fakulteta.
      2. Zabranjene su elektronske komunikacije čije značenje, prijenos ili distribucija je nezakonit, neetički, lažan, klevetnički, uznemiravajući ili neodgovoran. Sistemi e-pošte na fakultetu ne smiju se koristiti za komuniciranje sadržaja koji se može smatrati neprikladnim, uvredljivim ili nepoštovanjem drugih.
      3. Pojedinci treba da poštuju odgovarajuće profesionalne standarde uljudnosti i pristojnosti u svim elektronskim komunikacijama.
      4. Sva e-poruka koja se odnosi na poslovanje Fakulteta (uključujući i onu koja se šalje studentima i budućim studentima) treba da se šalje sa običnom bijelom pozadinom i ne treba koristiti nikakvu ukrasnu kancelariju.
      5. E-poruke koje se emituju Koledžskoj zajednici odnosiće se na politiku i procedure fakulteta, novosti sa fakulteta, događaj koji sponzoriše koledž ili stavke koje utiču na zajednicu fakulteta. Zabranjeni su predmeti za prodaju, zahtjevi za donacije i druga poslovna pitanja koja nisu fakultetska. Pojedinci ne smiju slati e-poštu sa zahtjevom za ovu vrstu informacija putem mailing lista Koledža.

World Wide Web

  1. Web stranica Hudson County Community College je službena publikacija koledža. Sve informacije sadržane na web stranicama moraju biti tačne i odražavati zvaničnu politiku i procedure Fakulteta.
  2. Službene web stranice koledža u skladu su sa istim standardima kao i bilo koja štampana publikacija koledža. CIO, direktor marketinga i odnosa sa koledžima, menadžer web usluga i odgovarajući potpredsjednik ili njihov imenovani imaju konačnu odgovornost za sadržaj i dizajn svake stranice.
  3. Menadžer web usluga i osoblje koledža odgovorno za svaki odjel ili odjel će redovno pregledavati valutu i tačnost službenih web stranica Hudson County Community Collegea. Pojedinačne oblasti su odgovorne za saopštavanje revizija i ažuriranja, kako do njih dođe, menadžeru Web usluga, koji će ih pregledati i organizovati njihovo objavljivanje.

Nepoštovanje i sankcije

Nepoštivanje ove procedure može rezultirati uskraćivanjem ili uklanjanjem privilegija pristupa elektronskim sistemima Koledža, disciplinskim merama prema važećim politikama i procedurama Koledža, građanskom odgovornošću i parnicama i krivičnim gonjenjem prema odgovarajućim državnim, saveznim i lokalnim zakonima.

Proces istrage o sumnji na zloupotrebe i nepoštivanje ove procedure je sljedeći:

    1. Prijavite sumnju na zloupotrebu CIO-u.
    2. Ako postoji saglasnost potpredsjednika za poslovanje i finansije/finansijskog direktora, CIO će istražiti izvještaj.
    3. CIO će prijaviti svaku otkrivenu zloupotrebu odgovarajućem potpredsjedniku odjeljenja, koji će odrediti odgovarajuće disciplinske mjere.

Procedure za mrežne, e-mail i internet račune

Prihvatljivi za račune su sljedeći:

    1. Sve plaćeno osoblje Hudson County Community College s punim radnim vremenom.
    2. Svi pomoćni fakulteti i drugi konsultanti angažovani od strane Koledža putem pisama o saglasnosti, memoranduma o razumevanju ili ugovora.
    3. Svi članovi Upravnog odbora.
    4. Osoblje Hudson County Community College sa skraćenim radnim vremenom koje ima dokazanu potrebu za računarskim resursima dostupnim iz ITS/Enterprise Applications (osim opšteg pristupa Internetu), u vezi sa njihovim radom na koledžu, ima pravo na privremene račune.
    5. Zaposlenici pridruženih obrazovnih institucija koji imaju veze sa Hudson County Community College i pokazuju potrebu za računarskim resursima ITS/Enterprise Applications (osim opšteg pristupa Internetu), imaju pravo na privremene naloge.
    6. Povezane organizacije sa akademskom misijom čije aktivnosti vezane za Koledž zahtijevaju računarske resurse koje podružnica ne može razumno snabdjeti sama, kvalifikovane su za privremene račune.

ITS uklanja račune kada:

    1.  Vlasnik računa više ne ispunjava uslove podobnosti.
    2. Račun je privremen, a datum isteka prolazi bez obnavljanja.
    3. Vlasnik računa nije pristupio računu 18 uzastopnih mjeseci.

lozinke

    1. Nalozi se kreiraju sa unapred dodeljenom lozinkom koju vlasnici naloga moraju promeniti prilikom prvog prijavljivanja iu skladu sa procedurama Fakulteta.
    2. Strogo je zabranjeno dijeljenje ili otkrivanje lozinki.

Procedura putem e-pošte na Community College okruga Hudson

Pojedinci sa pristupom IT sistemima Koledža odgovorni su za njihovo profesionalno, etičko, zakonsko korištenje i pridržavanje primjenjivih politika i procedura Fakulteta. Korisnici treba da održavaju akademsko i radno okruženje pogodno za efikasno i produktivno izvršavanje misije Koledža.

Zabranjena je elektronska komunikacija čije značenje, prijenos ili distribucija su nezakoniti, neetički, lažni, klevetnički, uznemiravajući, neodgovorni ili krše politike ili procedure Fakulteta. Elektronska komunikacija ne bi trebala sadržavati ništa što se ne bi moglo postaviti na oglasnu ploču, vidjeti od strane neželjenih gledalaca ili se pojaviti u publikaciji Fakulteta. Materijal koji se može smatrati neprikladnim, uvredljivim ili nepoštovanjem prema drugima ne treba se slati ili primati kao elektronska komunikacija korištenjem objekata Fakulteta. CIO će nadgledati sprovođenje ove procedure.

A. Radnje koje se smatraju kršenjem ove procedure e-pošte su sljedeće:

      1. Slanje neovlaštenih masovnih poruka e-pošte („junk mail” ili „spam”).
      2. Korištenje e-pošte za uznemiravanje, bilo putem jezika, učestalosti, sadržaja ili veličine poruka.
      3. Prosljeđivanje ili na drugi način propagiranje lančanih pisama i piramidalnih šema, bez obzira da li primalac želi ili ne želi primati takve poruke.
      4. Zlonamjerne e-poruke, kao što je "bombardiranje pošte" ili preplavljivanje korisničkog web mjesta s vrlo velikim ili brojnim dijelovima e-pošte.
      5. Falsifikovanje podataka o pošiljaocu osim accountname@hccc.edu ili druge unapred odobrene adrese zaglavlja.
      6. Slanje e-pošte u komercijalne svrhe ili ličnu finansijsku korist.

Koledž ima pravo da ukloni pristup računima za koje se utvrdi da krše ovu proceduru.

B. Pravila i kontrole e-pošte:

      1. Fakultet ne arhivira e-poštu.
      2. Fakultet filtrira e-poštu zbog neželjene pošte i zlonamjernog sadržaja.
      3. Fakultet blokira naloge e-pošte koji šalju neželjenu poštu i zlonamjerni sadržaj.

Odobren od strane Vlade: jul 2021
Srodna politika odbora: usluge informacione tehnologije

 

Procedura životnih ciklusa računara

Uvod

Ovaj postupak ima za cilj da osigurati pristup trenutnoj računarskoj tehnologiji potrebnoj za promoviranje uspjeha učenika i ispunjavanje radnih obaveza zaposlenih. Ova procedura omogućava Uredu za usluge informacionih tehnologija (ITS) zakazanu zamjenu računara za korištenje zaposlenima, učionicama i laboratorijima. 

svrha

Svrha ove procedure je postavljanje parametara i procesa za zamjenu personalnog računara. Ova procedura isključuje radne stanice i terminale jedinstvene namjene za korištenje s infrastrukturom virtualne radne površine (VDI). 

obim

Ova procedura pokriva personalne računare koje koriste profesori sa punim radnim vremenom, stalno osoblje, laboratorije i učionice. Računari kupljeni u okviru grantova ili za namjensku upotrebu moraju se rukovati odvojeno prema parametrima njihovih grantova i namjeni. Ova politika se ne odnosi na perifernu opremu, kancelarijske telefone, mobilne telefone, štampače, skenere, audio/vizuelnu opremu, servere ili drugu IT opremu. Ta oprema se zamjenjuje ITS-om prema potrebi, stanju i budžetskim sredstvima na osnovu njihove analize, procjene i ugovora o podršci. 

Hardverske platforme 

Svake godine Koledž će odrediti standardne specifikacije za desktop i laptop računare na osnovu funkcije posla kako bi sadržao troškove, održavanje i efikasnost podrške. ITS je razvio standarde opreme, pregledao ih je Tehnološki komitet Vijeća svih koledža, a odobrili su ih glavni službenik za informacije i potpredsjednik za finansije i poslovanje/finansijski direktor. Budući da ITS podržava jedan uređaj po zaposlenom, korisnicima će biti dodijeljen laptop i priključna stanica umjesto desktop računara. Stoni računari će biti dodijeljeni u područjima u kojima će se njihova upotreba dijeliti, kao što su prijemni prostori, učionice, laboratorije i pomoćni ili radni prostori za rad.

postupak

    1. ITS će održavati i podržavati osobne računare tokom njihovog određenog perioda usluge. Trenutni period rada za HCCC personalne računare je pet godina.
    2. Svake godine, ITS će zamijeniti dio personalnih računara na popisnoj listi. ITS će postaviti personalne računare nastavnika i osoblja tokom ljeta i jeseni. ITS će također svake godine osvježavati dio učionica, laboratorija i računara otvorenog pristupa. Procijenjeni zamjenski budžeti će biti predstavljeni na godišnjim budžetskim raspravama. ITS prepoznaje da neki fakultet, osoblje i studenti imaju različite potrebe za računarom. Akademske laboratorije sa specijalizovanim računarima biće ugrađene u zamjenski budžet kada je to moguće. Nastavnici i osoblje kojima je potrebna nestandardna mašina koja premašuje troškove standardnog personalnog računara moraće da dobiju odobrenje Kancelarije/Škole. Njihova kancelarija/škola će financirati razliku u cijeni.
    3. Nastavnici i osoblje sa skraćenim radnim vremenom koji žele da pozajme laptop popuniće obrazac zahteva za koji je potrebno odobrenje menadžera. Nakon odobrenja menadžera, ITS će obezbijediti laptop.
    4. ITS će raditi sa korisnikom računara kako bi migrirao podatke o zaposlenima na zamjenski računar. ITS će ukloniti stariji lični računar. ITS će držati hard disk starog računara od dvije sedmice do 90 dana kako bi osigurao da se podaci ne izgube tokom implementacije.

      1. Penzionerima se može dati mogućnost da kupe svoj stari računar po fer tržišnoj vrijednosti koju utvrđuje ITS. Ove kupovine su "kao što jesu", a ITS će ukloniti sav HCCC softver i podatke prije prijenosa vlasništva. Zaposleni će napisati ček na Hudson County Community College, koji će biti deponovan na račun Fakulteta.
    5. U nekim slučajevima, računari se mogu ponovo koristiti ili premjestiti na druge lokacije u kampusu prema nahođenju ITS-a.
    6. Kada je potrebno premjestiti osobne računare, Ured/Škola mora kontaktirati ITS. ITS je odgovoran za tačan inventar. Korisnici ne bi trebali sami premještati personalne računare. Računari ne bi trebali biti preraspodijeljeni ili redistribuirani bez obavještavanja ITS-a i dobijanja odobrenja.
    7. Kada zaposlenik sa personalnim računarom napusti fakultet, ITS će biti obaviješten od strane Ureda/Škole i ljudskih resursa. U većini slučajeva, ovaj računar će biti preraspodijeljen sljedećem zaposleniku na toj poziciji.
    8. Ako se lični računar pokvari i ne može se popraviti, ITS će zamijeniti računar novom mašinom. Taj kompjuter tada postaje lična mašina za tog zaposlenog. 

Odobren od strane Vlade: april 2023
Srodna politika odbora: usluge informacione tehnologije

 

Procedura upravljanja događajima

Uvod

Ova procedura ima za cilj da osigura uspješne događaje širom Koledža koji nastavljaju da unapređuju misiju Koledža. Ova procedura je u skladu sa HCCC Politikom o uslugama informacionih tehnologija koju je odobrio Upravni odbor.

Primjenljivost

Ova procedura je primjenjiva na sve nastavnike i osoblje Koledža koji održavaju događaje Fakulteta.

odgovornost

Zamjenik potpredsjednika za usluge informacionih tehnologija i glavni službenik za informiranje će implementirati ovu proceduru u koordinaciji sa izvršnim direktorom za objekte, operacije i inženjering, izvršnim direktorom za javnu sigurnost i sigurnost i ostalim rukovodiocima koledža.

postupak

  1. Definicija HCCC događaja
    1. Akademske aktivnosti fakulteta: ACV su aktivnosti ili događaji koji su direktno povezani sa nastavnom misijom Koledža. Primjeri uključuju časove koji donose kredite, programske aktivnosti koje se odnose na akademski rad i sastanke fakulteta/administrativnih odjela.​
    2. Fakultetski događaji: CE su aktivnosti koje organizuju i vode fakultet, osoblje, kancelarije koledža i registrovane i odobrene studentske organizacije planirane prvenstveno za članove HCCC zajednice i za dobrobit koledža. Primjeri uključuju aktivnosti studentskog programiranja, razvoj fakulteta i osoblja, početak rada, saziv, otvorene kuće, događaje za zapošljavanje, gostujuće predavače i druge. Polaznici ovih događaja su članovi zajednice, profesori, osoblje, studenti, gosti i bivši studenti.​
    3. Događaji u organizaciji fakulteta: CHE su akademski programi, konferencije, predavanja i sastanci koji uključuju dva subjekta: entitet Fakulteta (škola, akademska ili administrativna jedinica, ili registrovana i odobrena studentska organizacija) i vanjska organizacija (kao što je profesionalna udruga u kojoj je Koledž član ili održava odnos koji direktno koristi zajednici fakulteta ili organizaciji u zajednici.)​
    4. Događaji koji nisu fakulteti/vanjski: NC/EE se definiraju kao programi i aktivnosti koje organiziraju pojedinci, grupe, preduzeća ili organizacije koje nisu uključene u organizacionu strukturu Koledža. Primjeri su prijemi, dobrotvorni događaji, korporativni sastanci i događaji, kampovi za mlade, konferencije, društvene aktivnosti, izložbe, itd. Ne-univerzitetski/spoljni događaji zahtijevaju ugovorni aranžman i ispravan dokaz o osiguranju sa fakultetom.​
  2. Kancelarije koje podržavaju događaje i šta pružaju

    1. Usluge informacionih tehnologija
      1. Tehnološka oprema
      2. Testirajte prezentacije i medije prije događaja
      3. Veze za sastanke i hibridna podrška za sastanke/događaje
      4. WiFi WiFi
      5. Tehnološka podrška tokom događaja
    2. postrojenja
      1. Postavljanje i razgradnja namještaja
      2. Razbijanje namještaja
      3. čišćenje
      4. HVAC monitoring
    3. Sigurnost
      1. Sigurnosna podrška tokom događaja
      2. Otvaranje i zatvaranje zgrada
      3. Podrška za parkiranje i prijevoz
    4. flik
      1. Hrana i piće
      2. Serveri i druga podrška
      3. Koordinacija sa vanjskim grupama
  3. Proces upravljanja događajima

    1. Online zahtjevi se moraju unijeti putem Coursedog sistema koledža.
    2. Odobrenje će biti potrebno za posebne prostore i vrste događaja; npr. sala za sastanke predsjednika, atrijum, galerija.
    3. Za sve događaje potrebna je prethodna najava.
    4. Prioritet će biti dat događajima visokog profila na cijelom fakultetu.
  4. Vodič za vrstu događaja

    Vrsta događaja

    Opis
    Akademska računarska laboratorija Usluge računarske laboratorije, uključujući podršku laboratorijskog asistenta, zahtijevaju tri dana unaprijed. Ovi zahtjevi se mogu unijeti 180 dana unaprijed.
    Administrativne usluge Za sastanke je potrebna najava jedan dan unaprijed.
    Kontinuirano obrazovanje (CE) Događaji i časovi za kontinuirano obrazovanje i razvoj radne snage zahtijevaju najavu jednog dana. Ovi zahtjevi se mogu unijeti 180 dana unaprijed.
    Usluge upisa / Prijem Usluge upisa i prijemni događaji zahtijevaju tri dana unaprijed. Ovi zahtjevi se mogu unijeti 90 dana unaprijed.
    Ugostiteljske i ugostiteljske usluge Prioritet 1 Događaji prioriteta 1 uključuju događaje širom kampusa, vanjske učesnike, oglašene događaje i događaje na nivou kabineta. Za ove zahtjeve potrebno je obavijestiti 30 dana i mogu se unijeti 180 dana unaprijed.
    Ugostiteljske i ugostiteljske usluge Prioritet 2 Događaji prioriteta 2 uključuju događaje na nivou odjela sa više od 50 učesnika i koji se snimaju zahtijevaju najavu od 14 dana. Ovi zahtjevi se mogu unijeti 180 dana unaprijed.
    Ugostiteljske i ugostiteljske usluge Prioritet 3 Prioritet 3 Događaji su mali i neformalniji i zahtijevaju najavu od tri dana. Ovi zahtjevi se mogu unijeti 180 dana unaprijed.
    Događaj u kampusu North Hudson Za programe i događaje koji se održavaju u kampusu North Hudson potrebno je tri dana unaprijed. Ovi zahtjevi se mogu unijeti 180 dana unaprijed.
    Uredski prostor North Hudson Za sastanke u kampusu North Hudson potrebno je najaviti jedan dan unaprijed.
    Ured matičara Programi i događaji u učionicama za akademske poslove na trgu Journal Square zahtijevaju najavu jednog dana. Ovi zahtjevi se mogu unijeti 180 dana unaprijed.
    Škola za testiranje medicinskih sestara / Gost govornik Programi i događaji u F129 Computer Lab zahtijevaju jednodnevno obavještenje. Ovi zahtjevi se mogu unijeti 180 dana unaprijed.
    Studentski život Za sve događaje studentskog života potrebno je dva dana unaprijed. Ovi zahtjevi se mogu unijeti 180 dana unaprijed.
    Prevucite za više
  5. odgovornosti

    1. Organizatori će u zahtjevu dati sve dostupne informacije, uključujući kontakte za događaj, email i brojeve telefona itd.
    2. Organizator će blagovremeno i pismeno obavijestiti sve promjene.
    3. Organizatori će uključiti Izjavu o pristupačnosti Koledža u svu komunikaciju o događaju.
    4. Organizatori će prisustvovati šetnjama i vježbama prema vrsti događaja.
    5. Uredi fakulteta koji pružaju usluge će blagovremeno komunicirati sa organizatorima.
    6. Hibridne veze do događaja kreiraće isključivo Službe za informacione tehnologije za HCCC događaje.
    7. Organizatori će unaprijed obavijestiti urede fakulteta kada dođe do otkazivanja radi oslobađanja prostora za događaj.
    8. Uredi HCCC-a će obavijestiti organizatore o svim problemima čim se otkriju.

Odobren od strane Vlade: decembar 2024
Srodna politika odbora: usluge informacione tehnologije

 

Zahtjevi za pristup informacionim sistemima koji sadrže postupak osjetljivih podataka

Uvod

 Ova procedura određuje vlasnike sistema/podataka Hudson County Community College (HCCC). Ovi pojedinci nadgledaju pristup informacionim sistemima koji sadrže osetljive podatke, kao što je Colleague ERP sistem. Nadzor je neophodan radi zaštite i očuvanja povjerljivosti, integriteta i dostupnosti podataka HCCC-a i usklađivanja sa standardima i propisima informacione tehnologije koji se primjenjuju na HCCC.

Imenovani vlasnici sistema/podataka za informacione sisteme Hudson County Community Collegea koji sadrže osjetljive podatke imat će ovlaštenje da pojedincima odobre pristup ovim sistemima.

Određivanje vlasnika sistema/podataka

 Sljedeći članovi izvršnog osoblja su određeni kao vlasnici sistema/podataka za informacione sisteme koji sadrže osjetljive podatke.

 Kolega ERP sistem

Studentski modul

Potpredsjednik za studentska pitanja i upis

Studentski finansijski modul

Potpredsjednik za poslovanje i finansije/finansijski direktor

Financial Aid modul

Prodekan of Financial Aid

Modul ljudskih resursa

Potpredsjednik za ljudske resurse

 Sistem za obradu dokumenata

Usluge upisa, prijema i savjetodavna dokumenta

Potpredsjednik za studentska pitanja i upis

Student Financial Aid dokumenti

Prodekan of Financial Aid

Finansijska dokumenta

Potpredsjednik za poslovanje i finansije/finansijski direktor

Zahtjevi za pristup informacionim sistemima koji sadrže osjetljive podatke

Zahtjevi za pristup informacionim sistemima koji sadrže osjetljive podatke odobravaju se na osnovu „najmanje privilegije“, što znači pristup samo onim informacijama i sistemima neophodnim za obavljanje redovnih radnih obaveza pojedinca.

Članovi izvršnog osoblja određeni kao vlasnici sistema/podataka ili imenovani menadžeri u funkcionalnim oblastima će pregledati zahtjeve za pristup informacionim sistemima koji sadrže osjetljive podatke od članova osoblja pod njihovim administrativnim ovlaštenjima. Oni će potvrditi da je korisnicima odobren pristup na osnovu "najmanje privilegije" samo onim privilegijama neophodnim za obavljanje njihovih redovnih radnih obaveza. Oni će odobriti zahtjeve podnošenjem obrasca zahtjeva za pristup sistemu koji se nalazi na portalu. Ako pristup nije opravdan, zahtjev će biti odbijen.

Uklanjanje pristupa informacionim sistemima koji sadrže osetljive podatke

Članovi izvršnog osoblja će osigurati da supervizori odmah obavještavaju Službe informacione tehnologije (ITS) kada pristup korisnika informacionom sistemu više nije potreban i kada korisnikov pristup mora biti izmijenjen zbog promjene u osnovnim dužnostima zaposlenog.

ITS će odmah biti obaviješten telefonskim pozivom, nakon čega će uslijediti e-poruka glavnom službeniku za informacije (CIO), po prestanku rada zaposlenog superkorisnika ili u slučaju prisilnog prestanka zaposlenog. Rutinski otkazi, premještaji na drugi fakultet ili promjene u dužnostima moraju se podnijeti u roku od pet radnih dana koristeći obrazac zahtjeva za pristup sistemu koji se nalazi na portalu.

Pregled pristupa informacionim sistemima koji sadrže osetljive podatke

ITS će sprovesti godišnji pregled svih korisničkih naloga za osetljive IT sisteme kako bi procenio stalne potrebe naloga i odgovarajući nivo pristupa.

odgovornosti

CIO će imati sveukupnu odgovornost za razvoj i održavanje tehničkih procedura u skladu s ovom procedurom, te će biti u skladu sa primjenjivim standardima Hudson County Community College.

Dodatak A opisuje lokaciju obrasca za traženje pristupa informacionim sistemima fakulteta.

Definicije

 podaci - uključuje sve informacije iz nadležnosti HCCC-a, uključujući podatke o studentskim evidencijama, podatke o osoblju, finansijske podatke (budžet i platni spisak), podatke o studentskom životu, administrativne podatke odjeljenja, pravne fajlove, podatke o institucionalnom istraživanju, vlasničke podatke i sve druge podatke koji se odnose na ili podržavaju uprava Koledža.

Informacioni sistem - Sastoji se od ukupnih komponenti i operacija procesa vođenja evidencije, uključujući informacije prikupljene ili kojima se upravlja pomoću kompjuterskih mreža i interneta, bilo automatiziranih ili ručnih, koje sadrže lične podatke i ime, lični broj ili druge identifikacijske podatke subjekta podataka.

Osjetljivi podaci – uključuje sve informacije koje bi mogle negativno utjecati na interese Koledža, vođenje agencijskih programa ili privatnost na koju pojedinci imaju pravo ako su ugroženi u smislu povjerljivosti, integriteta ili dostupnosti. Podaci su klasifikovani kao osjetljivi ako kompromitacija tih podataka rezultira materijalnim i značajnim negativnim efektima na interese Koledža, nemogućnost pogođene agencije da vodi svoje poslovanje, kršenje očekivanja privatnosti ili se po zakonu zahtijeva da budu povjerljivi.

superuser – je zaposlenik koji ima upisni panel ili povišeni privilegovani pristup; npr. administrator sigurnosti.

 reference

  • Zakon o porodičnim obrazovnim pravima i privatnosti (FERPA) (20 USC § 1232g; 34 CFR, dio 99)
  • Zakon o modernizaciji finansijskih usluga (Gramm-Leach-Bliley Act) (15 USC § 6801 et seq.)
  • Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja (HIPAA) (Javni zakon 104-191)

Pregledajte periodičnost i odgovornost

 CIO će pregledati ovu proceduru svake godine i, ako je potrebno, preporučiti revizije.

DODATAK "A"

Obrasci zahtjeva za pristup sistemu:

Colleague Access

https://myhudson.hccc.edu/ellucian

Zahtjev za kreiranje računa ili zahtjev za onemogućavanje

https://myhudson.hccc.edu/its

Odobren od strane Vlade: jul 2021
Povezana politika odbora: ITS

 

Procedura plana sigurnosti informacija

Uvod

Svrha razvoja i implementacije ovog sveobuhvatnog pisanog postupka plana sigurnosti informacija (“Plan”) je stvaranje djelotvornih administrativnih, tehničkih i fizičkih mjera zaštite za zaštitu “ličnih podataka” budućih studenata, kandidata, studenata, zaposlenih, bivših studenata. , i prijateljima Hudson County Community College, te da se pridržavamo naših obaveza prema uredbi New Jerseya 201 CMR 17.00. Plan utvrđuje naše procedure za procenu naših elektronskih i fizičkih metoda pristupa, prikupljanja, skladištenja, korišćenja, prenošenja i zaštite „ličnih informacija“ sastavnica Koledža.

Za potrebe ovog Plana, „lični podaci“ se definišu kao ime i prezime osobe, ili ime i prezime, u kombinaciji sa jednim ili više od sledećih elemenata podataka koji se odnose na takvog rezidenta: (a) Društveni Sigurnosni broj; (b) broj vozačke dozvole ili broj lične karte koju je izdala država; ili (c) broj finansijskog računa ili broj kreditne ili debitne kartice, sa ili bez bilo kakvog potrebnog sigurnosnog koda, pristupnog koda, ličnog identifikacionog broja ili lozinke koji bi omogućili pristup finansijskom računu stanovnika gdje je Hudson County Community College čuvar tih podataka ; pod uslovom, međutim, da “lični podaci” ne uključuju informacije koje su zakonito dobijene iz javno dostupnih informacija, ili iz evidencija saveznih, državnih ili lokalnih vlasti koje su zakonito dostupne široj javnosti.

svrha

Svrha ovog plana je:

    1. Osigurati sigurnost i povjerljivost ličnih podataka;
    2. Zaštitite od svih potencijalnih prijetnji ili opasnosti po sigurnost ili integritet ličnih podataka; i,
    3. Zaštitite od neovlaštenog pristupa ili upotrebe ličnih podataka na način koji stvara značajan rizik od krađe identiteta ili prevare.

obim

U formulisanju i implementaciji Plana, institucija će: (1) identifikovati razumno predvidive unutrašnje i eksterne rizike za bezbednost, poverljivost i integritet bilo koje elektronske, papirne ili druge evidencije koja sadrži lične podatke; (2) procijeniti vjerovatnoću i potencijalnu štetu od ovih prijetnji, uzimajući u obzir osjetljivost ličnih podataka; (3) procijeniti dovoljnost postojećih politika, praksi, procedura, informacionih sistema i drugih zaštitnih mjera koje postoje za kontrolu rizika; (4) dizajnirati i implementirati plan koji postavlja zaštitne mjere za minimiziranje tih rizika, u skladu sa zahtjevima 201 CMR 17.00; i (5) redovno prati Plan.

Koordinator za sigurnost podataka

HCCC je odredio glavnog službenika za informacije (CIO) i potpredsjednika za poslovanje i finansije/finansijskog direktora da implementira, nadgleda i održava plan. CIO i potpredsjednik za poslovanje i finansije/finansijski direktor će biti odgovorni za:

    1. Početna implementacija Plana;
    2. Nadzor nad kontinuiranom obukom zaposlenih o elementima i zahtjevima Plana za sve vlasnike, menadžere, zaposlene i samostalne izvođače koji imaju pristup ličnim podacima;
    3. Praćenje zaštitnih mjera Plana;
    4. Procjena pružatelja usluga treće strane koji imaju pristup i hosting/prenos/sigurnosno kopiranje/održavanje ličnih podataka, i zahtijevanje od tih pružalaca usluga ugovorom da implementiraju i održavaju takve odgovarajuće sigurnosne mjere za zaštitu ličnih podataka;
    5. Preispitivanje obima bezbednosnih mera u Planu godišnje, ili kad god dođe do materijalne promene u poslovnoj praksi HCCC-a koja može da implicira bezbednost ili integritet zapisa koji sadrže lične podatke; i,
    6. Revizija zakonodavstva i zakona i ažuriranje politika i procedura prema potrebi.

Interni rizici

Za borbu protiv internih rizika za sigurnost, povjerljivost i integritet bilo koje elektronske, papirne ili druge evidencije koja sadrži lične podatke, te kako bi se ocijenila i poboljšala, gdje je potrebno, učinkovitost trenutnih mjera zaštite za ograničavanje takvih rizika, sljedeće mjere su obavezne i stupaju na snagu odmah: 

Administrativne mjere

      1. Kopija plana će se podijeliti predsjedniku, predsjednikovom kabinetu, osoblju Službe za informacione tehnologije (ITS) i drugim određenim članovima osoblja koji rukuju ličnim podacima. Po prijemu Plana, svaki pojedinac mora pismeno potvrditi da je primio kopiju Plana.
      2. Nakon obuke, svo osoblje će morati da potpiše ugovore o povjerljivosti koji opisuju postupanje s ličnim podacima. Ugovori o povjerljivosti će zahtijevati da članovi osoblja prijave svaku sumnjivu ili neovlaštenu upotrebu „ličnih podataka“ CIO-u ili potpredsjedniku za ljudske resurse.
      3. Količina prikupljenih ličnih podataka mora biti ograničena na ono što je razumno neophodno za postizanje legitimnih poslovnih ciljeva. Korištenje ličnih podataka rješava se kroz revizije u različitim oblastima.
      4. Sve mjere sigurnosti podataka će se revidirati najmanje jednom godišnje, ili kad god dođe do materijalne promjene u poslovnoj praksi HCCC-a ili promjene zakona koja može razumno implicirati sigurnost ili integritet zapisa koji sadrže lične podatke. CIO i potpredsjednik za poslovanje i finansije/finansijski direktor će biti odgovorni za ovu reviziju i u potpunosti će obavijestiti šefove odjela o rezultatima te revizije i svim preporukama za poboljšanje sigurnosti koje proizilaze iz tog pregleda.
      5. Kad god se dogodi incident koji zahtijeva obavještenje prema NJ Stat. § 56:8-163, zakon o prijavljivanju kršenja ličnih podataka New Jerseya, odmah će postojati obavezna revizija događaja i radnji koje su preduzete, ako ih ima, kako bi se utvrdilo da li su potrebne bilo kakve promjene u sigurnosnim praksama HCCC-a radi poboljšanja sigurnost ličnih podataka prema Planu.
      6. Svako odeljenje će razviti pravila (imajući u vidu poslovne potrebe tog odeljenja) koja obezbeđuju da postoje razumna ograničenja fizičkog pristupa ličnim podacima, uključujući pisanu proceduru koja navodi kako je fizički pristup evidenciji ograničen. Svako odjeljenje mora čuvati takve zapise i podatke u zaključanim objektima, sigurnim skladišnim prostorima ili zaključanim ormarićima.
      7. Osim naloga sistemske administracije, pristup elektronski pohranjenim ličnim podacima će biti elektronski ograničen na one zaposlenike koji imaju jedinstveni ID za prijavu, sa odgovarajućim pristupom. Pristup neće biti odobren zaposlenima za koje CIO utvrdi da im nije potreban pristup elektronski pohranjenim ličnim podacima.
      8. Kada ugovor o povjerljivosti nije na snazi, pristup posjetitelja ili ugovarača osjetljivim podacima, uključujući, ali ne ograničavajući se na lozinke, ključeve za šifriranje i tehničke specifikacije, kada je to potrebno, mora biti pismeno dogovoren. Pristup će biti ograničen na minimalni potreban iznos. Ako je za pristup potrebna daljinska prijava, taj pristup također mora biti odobren preko ITS odjela HCCC-a.

fizičke mjere

      1. Pristup evidenciji koja sadrži lične podatke biće ograničen na one od kojih se razumno traži da znaju takve informacije kako bi ostvarili legitimnu poslovnu svrhu HCCC-a. Kako bi se ublažilo nepotrebno otkrivanje, osjetljive i lične informacije će biti redigovane, papirni zapisi će biti pohranjeni u zaključanim objektima, a bit će implementirane kontrole sigurnosti podataka za elektronske zapise.
      2. Na kraju radnog dana, svi neelektronski dosijei i drugi zapisi koji sadrže lične podatke moraju biti pohranjeni u zaključanim prostorijama, kancelarijama ili ormarima.
      3. Papirna evidencija koja sadrži lične podatke će se odlagati na način koji je u skladu sa NJ Stat. § 56:8-163, Zakon o prijavljivanju kršenja ličnih podataka New Jerseya. To znači da bi se zapisi trebali zbrinuti korištenjem unakrsnog rezača ili drugih metoda koje informacije čine nečitkim.

Tehničke mjere

      1. HCCC ne dozvoljava zaposlenima da čuvaju lične podatke na prenosivim medijima. Ovo uključuje laptope, USB, CD-ove, itd. Kada zaposleni koji imaju pristup ličnim podacima budu ukinuti, HCCC će ukinuti njihov pristup mrežnim resursima i fizičkim uređajima koji sadrže lične podatke. Ovo uključuje ukidanje ili predaju mrežnih naloga, naloga baze podataka, ključeva, bedževa, telefona i laptopa ili desktopa.
      2. Zaposleni su dužni da mijenjaju svoje lozinke na rutinskoj osnovi za sisteme koji sadrže lične podatke.
      3. Pristup ličnim podacima bit će ograničen na aktivne korisnike i samo aktivne korisničke račune.
      4. Gdje je tehnički moguće, svi sistemi koji održavaju HCCC i koji pohranjuju lične podatke koristit će funkcije automatskog zaključavanja koje zaključavaju pristup nakon višestrukih neuspješnih pokušaja prijave.
      5. Elektronski zapisi (uključujući zapise pohranjene na tvrdim diskovima i drugim elektronskim medijima) koji sadrže lične podatke biće odloženi u skladu sa NJ Stat i na način koji je u skladu sa NJ Stat. § 56:8-163, Zakon o prijavi kršenja ličnih podataka New Jerseya. Ovo zahtijeva da se informacije unište ili izbrišu tako da se lični podaci ne mogu praktično pročitati ili rekonstruisati.

Eksterni rizici

      1. Za borbu protiv eksternih rizika po sigurnost, povjerljivost i integritet bilo koje elektronske, papirne ili druge evidencije koja sadrži lične podatke, te kako bi se ocijenila ili poboljšala, gdje je potrebno, učinkovitost trenutnih mjera zaštite za ograničavanje takvih rizika, sljedeće mjere su obavezne i stupa na snagu odmah:

a.) Postoje razumno ažurirane sigurnosne zakrpe za zaštitu zaštitnog zida i operativnog sistema razumno dizajnirane da održe integritet ličnih podataka instaliranih na sistemima sa ličnim podacima.

b.) Postoje razumno ažurirane verzije softvera agenta za sigurnost sistema koje uključuju zaštitu od zlonamjernog softvera i razumno ažurirane zakrpe i definicije virusa instalirane na sistemima koji obrađuju lične podatke.

c.) Kada se pohranjuju na mrežnim dionicama HCCC-a, datoteke koje sadrže lične informacije treba da budu šifrovane. HCCC ne dozvoljava pohranjivanje ličnih podataka na laptope, računare, USB uređaje ili druge prenosive medije. HCCC će implementirati softver za šifriranje kako bi ispunio ovaj cilj.

d.) Sve lične informacije koje se elektronski prenose dobavljačima trećih strana treba da se šalju putem šifrovane usluge prodavca ili putem šifrovane usluge HCCC-a za siguran prenos. 

e.) Svi novi provajderi usluga koji pohranjuju lične podatke HCCC-a u elektronskom obliku morat će na adekvatan način pokazati mjere sigurnosti putem EDUCAUSE HECVAT ili sličnog instrumenta. Ove dobavljače također mora odobriti potpredsjednik za finansije i poslovanje/finansijski direktor HCCC-a.

f.) Osoblje Službe za ljudske resurse i informacione tehnologije će pratiti procedure navedene u HCCC Proceduri prihvatljive upotrebe za sisteme informacione tehnologije u vezi sa kreiranjem, prenosom ili ukidanjem naloga, zajedno sa politikama za skladištenje lozinki i sigurnost zasnovanu na ulogama.

g.) Svi lični podaci će biti uklonjeni prema HCCC-u Policies and Procedures.

h.) Kako resursi i budžet dozvoljavaju, HCCC će implementirati tehnologiju koja će omogućiti Koledžu da nadgleda baze podataka radi neovlaštenog korištenja ili pristupa ličnim informacijama, te da koristi sigurne protokole za autentifikaciju i mjere kontrole pristupa u skladu sa procedurama HCCC-a.

 

Odobren od strane Vlade: jul 2021
Srodna politika odbora: usluge informacione tehnologije

 

Procedura plana odgovora na incidente sigurnosti informacija

svrha

Ovaj plan navodi kako odgovoriti na incidente u informacijskoj sigurnosti na Hudson County Community College (HCCC). Plan identifikuje uloge i odgovornosti tima za reagovanje na incidente HCCC-a i korake koje treba preduzeti u slučaju incidenta. Plan odgovora na incidente sigurnosti informacija (ISIRP) ima za cilj minimiziranje uticaja incidenta, očuvanje dokaza za potrebe istrage i vraćanje normalnog rada što je brže moguće.

Definicije

Incident: Događaj koji rezultira gubitkom povjerljivosti, integriteta ili dostupnosti informacija ili informacionih sistema.

odgovor: Radnje koje se poduzimaju za ublažavanje utjecaja incidenta i vraćanje pogođenih sistema i podataka u njihovo normalno stanje.

Tim za reagovanje na incidente (IRT): Tim za odgovor na incidente (IRT) odgovoran je za implementaciju ISIRP-a. IRT se sastoji od predstavnika relevantnih odjela, uključujući, ali ne ograničavajući se na usluge informacionih tehnologija (ITS), finansije (upravljanje rizicima), pravne savjetnike, ljudske resurse i komunikacije. IRT je odgovoran za koordinaciju odgovora na incident i osigurava da su svi potrebni resursi dostupni.

Uloge i odgovornosti

IRT je odgovoran za sljedeće:

  • Reagovanje na incidente i ublažavanje njihovog uticaja.
  • Istraga incidenata i utvrđivanje njihovog uzroka.
  • Vraćanje sistema i podataka na koje je uticao incident.
  • Komunikacija sa zainteresovanim stranama o incidentima.
  • Evidentiranje i prijavljivanje incidenata.
Izvještavanje o incidentima

Svi sumnjivi ili potvrđeni incidenti sigurnosti informacija moraju se odmah prijaviti ITS-u. ITS će tada procijeniti incident i utvrditi da li je u pitanju sigurnosni incident. ITS će eskalirati incident IRT-u ako je u pitanju sigurnosni incident.

Koraci odgovora
Kategorizacija incidenata:

IRT će kategorizirati incident na osnovu njegove težine i uticaja. Kategorije su sljedeće:

Kategorija 1: Manji incident - Nema značajnog uticaja na fakultet ili njegovo poslovanje.
Kategorija 2: Umjereni incident - Ograničen utjecaj na fakultet ili njegove operacije.
Kategorija 3: Veliki incident - Značajan uticaj na fakultet ili njegovo poslovanje.
Kategorija 4: kritični incident - ozbiljan uticaj na fakultet ili njegove operacije.

Odgovor na incident po kategorijama:

IRT će slijediti dolje navedene korake da odgovori na incident:
Kategorija 1: Nije potreban zvaničan odgovor.
Kategorija 2: IRT će istražiti incident i poduzeti odgovarajuće mjere da obuzda i ublaži incident.
Kategorija 3: IRT će koordinirati sa relevantnim odjelima i vanjskim resursima, kao što su stručnjaci za provođenje zakona i sajber bezbjednost, kako bi istražili incident i poduzeli odgovarajuće mjere za obuzdavanje i ublažavanje incidenta.
Kategorija 4: IRT će implementirati HCCC Plan upravljanja vanrednim situacijama, koji navodi korake koje treba slijediti tokom značajne krize.

ISIRP koraci koje IRT treba slijediti

IRT će slijediti ove korake u slučaju incidenta:

  1. Odgovorite na izvještaj o incidentu.
  2. Ublažite uticaj incidenta.
  3. Kategorizirajte efekte na gornjoj skali.
  4. Istražite incident.
  5. Utvrdite uzrok incidenta.
  6. Vratite sisteme i podatke koji su pogođeni incidentom.
  7. Komunicirajte sa zainteresovanim stranama o incidentu.
  8. Zabilježite i prijavite incident.
Alati i resursi

IRT će koristiti sljedeće alate i resurse da odgovori na incidente:

  • Sigurnosni softver: Sophos, Crowdstrike
  • Sistemi za sigurnosnu kopiju i oporavak podataka: Cohesity, Arcserve, OneDrive
  • Kanali komunikacije: e-pošta, tekst, društveni mediji
  • Stručnjaci za kibernetičku sigurnost trećih strana: NJ Edge, CyberSecOp, konsultanti za osiguranje kibernetičke sigurnosti
Testiranje i obuka

IRT će redovno testirati i obučavati postojeće procedure i alate.

Plan komunikacije

IRT će komunicirati sa sljedećim zainteresiranim stranama u slučaju incidenta:

  • studenti
  • fakultet
  • osoblje
  • Mediji
  • Za sprovođenje zakona
  • Regulatorne agencije
metrika i izvještavanje

IRT će dokumentirati sve aspekte incidenta, uključujući, ali ne ograničavajući se na tip incidenta, ozbiljnost, utjecaj, odgovor i rješenje. Dokumentacija će biti pohranjena na siguran način i dostupna samo ovlaštenom osoblju.

IRT će prikupiti i analizirati sljedeće metrike vezane za incidente:

  • Broj incidenata
  • Troškovi incidenata
  • Vrijeme je za oporavak od incidenata

Zamjenik potpredsjednika za tehnologiju i CIO će o ovim pokazateljima izvijestiti Upravni odbor HCCC-a.

Pregledajte i ažurirajte

AVP CIO će pregledati ISIRP godišnje i ažurirati ga kako bi odražavao promjenjivi sigurnosni krajolik i potrebe HCCC-a u razvoju.

Odobren od strane Vlade: maj 2023
Srodna politika odbora: usluge informacione tehnologije

 

Procedura odgovornosti za prijenosnu tehnologiju

  1. UVOD
    Ova procedura ima za cilj uspostavljanje jasnih smjernica za odgovornost i odgovornost u vezi s gubitkom ili oštećenjem prijenosnih tehnoloških uređaja koje pruža zaposlenicima i studentima Hudson County Community College (HCCC). Ova procedura je u skladu sa Politikom HCCC-a o uslugama informacione tehnologije koju je odobrio Upravni odbor HCCC-a.
  2. PRIMJENJIVOST
    Ova procedura se odnosi na sve pojedince, uključujući zaposlene i studente, za koje je HCCC izdao prenosive tehnološke uređaje.
  3. RAČUNOVODSTVO
    1. Individualna odgovornost
      1. Svi pojedinci kojima se izdaju prenosivi tehnološki uređaji lično su odgovorni za pravilnu njegu i čuvanje opreme.
      2. Korisnici moraju odmah prijaviti svaki gubitak ili krađu prijenosnog tehnološkog uređaja Uredu za javnu sigurnost i sigurnost. Svako oštećenje uređaja mora se odmah prijaviti Uredu za informacione tehnologije (ITS).
    2. Procedura izvještavanja
      1. Pojedinci koji prijavljuju izgubljeni ili oštećeni uređaj moraju dati detaljne informacije o incidentu, uključujući datum, vrijeme i lokaciju.
      2. Pismeni izvještaj o incidentu mora se dostaviti Uredu za javnu sigurnost i sigurnost u roku od 24 sata od gubitka ili krađe.
    3. Istraga
      1. Ured za javnu sigurnost i sigurnost će istražiti okolnosti oko gubitka prijenosnog tehnološkog uređaja.
      2. Od pojedinaca koji su uključeni može se tražiti da u potpunosti sarađuju u istrazi, dajući sve relevantne informacije.
    4. Mere odgovornosti
      1. Ako se utvrdi da je gubitak ili šteta nastala zbog nemara ili namjernih radnji, pojedinac se može smatrati finansijski odgovornim za troškove popravke ili zamjene opreme.
      2. Pojedinci će biti pismeno obaviješteni o ishodu istrage i svim finansijskim obavezama.
    5. Finansijska odgovornost
      1. Pojedinci za koje se smatra da su odgovorni za gubitak ili štetu morat će HCCC-u nadoknaditi troškove popravke ili zamjene prijenosnog tehnološkog uređaja. Troškovi popravke ili zamjene opreme zaposlenih mogli bi doći iz budžeta kancelarije/škole.
      2. Aranžmani o plaćanju mogu se sklopiti sa Uredom za računovodstvo, a neispunjavanje finansijskih obaveza može rezultirati dodatnim posljedicama, uključujući zadržavanje akademske evidencije ili druge disciplinske mjere.
  4. IZUZETCI
    Slučajevi koji uključuju gubitak ili štetu zbog krađe ili drugih kriminalnih aktivnosti rješavat će se u skladu sa lokalnim procedurama za provođenje zakona.
  5. KOMUNIKACIJA
    Ova politika će biti saopštena svim pojedincima koji primaju prenosive tehnološke uređaje kroz distribuciju pisanih materijala, uključivanje u priručnike za zaposlene/studente i elektronske komunikacione kanale.

Odobrena od strane Vlade marta 2024
Povezana politika: ITS

 

Procedura plana upravljanja rizikom dobavljača

Uvod

Tnjegov Plan upravljanja rizikom dobavljača ima za cilj da uspostavi okvir za efikasno upravljanje i ublažavanje rizika povezanih sa dobavljačima trećih strana na Hudson County Community College. Procedura opisuje procese i procedure za procjenu dobavljača, odabir i kontinuirano praćenje kako bi se osigurala sigurnost, usklađenost i pouzdanost odnosa dobavljača. Procedura se prvenstveno fokusira na prikupljanje i pregled informacija o podobnosti i sigurnosti dobavljača i procjenu uslova i jezika ugovora tokom inicijalnog potpisivanja i obnavljanja ugovora.

  1. Proces odabira dobavljača
    1. Identifikacija dobavljača: Identifikujte potencijalne dobavljače na osnovu zahtjeva i potreba fakulteta.
    2. Početna procjena dobavljača: Procijenite potencijalne dobavljače koristeći sljedeće kriterije:
      1. Kvalifikacije i stručnost
      2. Reputacija i reference
      3. Finansijska stabilnost
      4. Standardi sigurnosti i usklađenosti
      5. Ugovori o nivou usluge
    3. Zahtjev za ponudom (RFP): Pripremite i izdajte RFP, ako je potrebno, dobavljačima koji su ušli u uži izbor u kojima se navode očekivanja, zahtjevi i kriteriji evaluacije koledža.
    4. Evaluacija dobavljača: Procijenite prijedloge dobavljača na osnovu unaprijed definiranih kriterija i obavite sve potrebne intervjue ili prezentacije.
    5. Odabir dobavljača: Odaberite dobavljača(e) na osnovu rezultata evaluacije, uzimajući u obzir faktore kao što su troškovi, sposobnosti i profil rizika.
  1. Prikupljanje i pregled Priručnika za procjenu dobavljača u zajednici visokog obrazovanja (HECVAT).
    1. Zahtjev za HECVAT obrazac: Svi potencijalni dobavljači moraju predati svoj popunjeni HECVAT; Nalazi revizije SOC 2 mogu biti zamjena za HECVAT.
    2. Početni pregled: Pregledajte HECVAT da biste procijenili sigurnosne prakse dobavljača, mjere zaštite podataka i usklađenost sa relevantnim propisima.
    3. Procjena rizika: Izvršite procjenu rizika na osnovu informacija datih u HECVAT-u da biste identifikovali potencijalne rizike povezane sa odnosom dobavljača.
    4. Mjere ublažavanja: Razvijte mjere ublažavanja za rješavanje identificiranih rizika, kao što je traženje dodatnih informacija, provođenje sigurnosnih revizija ili uspostavljanje ugovornih obaveza za sigurnost i privatnost.
  2. Pregled odredbi i uslova
    1. Pregled ugovora: Pregledajte odredbe i uslove predloženog ugovora sa dobavljačem, fokusirajući se na oblasti koje se odnose na privatnost podataka, sigurnost, usklađenost i intelektualnu svojinu.
    2. Pravni pregled: Angažirajte pravnog savjetnika, ako je potrebno, kako biste osigurali da jezik ugovora na adekvatan način štiti interese koledža i da je usklađen sa primjenjivim zakonima i propisima.
    3. Pregovaranje i dopuna: Sarađujte sa dobavljačem kako biste pregovarali i izmijenili jezik ugovora kako biste riješili sve uočene nedoumice ili nedostatke.
    4. Odobrenje i potpisivanje: Pribavite neophodna odobrenja za ugovor i potpišite sporazum kada sve strane budu zadovoljne odredbama i uslovima.
  3. Kontinuirano upravljanje dobavljačima
    1. Redovno praćenje: Kontinuirano nadgledajte performanse dobavljača, sigurnosne prakse i usklađenost tokom trajanja ugovora.
    2. Pregled obnove ugovora: Obnavljanje ugovora zavisi od Statuta o ugovornom zakonu koledža. Sprovesti detaljnu reviziju odnosa sa dobavljačima, uključujući ponovnu procenu novog HECVAT-a, odredbi i uslova i jezika ugovora, tokom procesa obnove ugovora.
    3. Procjena učinka dobavljača: Periodično procijenite učinak dobavljača u odnosu na utvrđene ugovore o nivou usluga i očekivanja.
    4. Odgovor na incidente: Slijedite proceduru odgovora na incidente kako biste odmah riješili bilo kakve povrede sigurnosti ili incidente podataka koji uključuju dobavljače.
    5. Isključenje dobavljača: Razvijte proces kako biste osigurali ispravan isključenje dobavljača, uključujući vraćanje osjetljivih informacija i ukidanje pristupa sistemu.
  4. Dokumentacija i izvještavanje
    1. Dokumentacija
      1. Repozitorijum ugovora: Svi ugovori sa dobavljačima, uključujući njihove odredbe i uslove, amandmane i srodna dokumenta, treba da budu pohranjeni u sistemu upravljanja ugovorima koledža. Osigurajte da je spremište ugovora organizirano, lako dostupno i redovno ažurirano.
      2. Završena HECVAT i sigurnosna dokumentacija: Održavajte evidenciju svih HECVAT-a i sigurnosnih revizija primljenih od dobavljača, uključujući svu prateću dokumentaciju ili pojašnjenja koja su dali dobavljači.
      3. Procjene rizika: Dokumentirajte rezultate procjena rizika sprovedenih na osnovu HECVAT-a i bilo koje dodatne procjene ili izvršene revizije.
      4. Izvještaji o incidentima: Vodite evidenciju o svim sigurnosnim incidentima ili kršenjima u koje su uključeni dobavljači, zajedno s odgovarajućim mjerama odgovora na incidente.
    2. Izvještavanje
      1. Izvještavanje izvršnog direktora: Pružajte redovne izvještaje izvršnom rukovodstvu, uključujući glavnog službenika za informiranje (CIO) i Kabinet, sumirajući pejzaž rizika dobavljača, napore za ublažavanje i značajne incidente ili zabrinutosti.
      2. Izvještaj o obnovi ugovora: Pripremite sveobuhvatan izvještaj koji naglašava nalaze iz pregleda obnove ugovora, uključujući sve preporučene promjene ili poboljšanja odnosa s dobavljačima.
      3. Izvještavanje o usklađenosti: Generirajte periodične izvještaje o usklađenosti dobavljača sa važećim propisima, ugovornim obavezama i dogovorenim sigurnosnim standardima.
    3. Zadržavanje zapisa
      1. Period čuvanja: Dokumentacija za procjenu rizika dobavljača će pratiti rasporede čuvanja zapisa za dokumentaciju koja se odnosi na dobavljače, osiguravajući usklađenost sa zakonskim, regulatornim i internim zahtjevima.
      2. Privatnost i zaštita podataka: Pridržavajte se važećih propisa o privatnosti i zaštiti podataka prilikom skladištenja i rukovanja dokumentima koji se odnose na dobavljače, osiguravajući da su na snazi ​​odgovarajuće mjere zaštite.

Odobren od strane Vlade: maj 2023
Srodna politika odbora: usluge informacione tehnologije

Vratiti u Policies and Procedures