Procedura plana sigurnosti informacija

 

Uvod

Svrha razvoja i implementacije ovog sveobuhvatnog pisanog postupka plana sigurnosti informacija (“Plan”) je stvaranje djelotvornih administrativnih, tehničkih i fizičkih mjera zaštite za zaštitu “ličnih podataka” budućih studenata, kandidata, studenata, zaposlenih, bivših studenata. , i prijateljima Hudson County Community College, te da se pridržavamo naših obaveza prema uredbi New Jerseya 201 CMR 17.00. Plan utvrđuje naše procedure za procenu naših elektronskih i fizičkih metoda pristupa, prikupljanja, skladištenja, korišćenja, prenošenja i zaštite „ličnih informacija“ sastavnica Koledža.

Za potrebe ovog Plana, „lični podaci“ se definišu kao ime i prezime osobe, ili ime i prezime, u kombinaciji sa jednim ili više od sledećih elemenata podataka koji se odnose na takvog rezidenta: (a) Društveni Sigurnosni broj; (b) broj vozačke dozvole ili broj lične karte koju je izdala država; ili (c) broj finansijskog računa ili broj kreditne ili debitne kartice, sa ili bez bilo kakvog potrebnog sigurnosnog koda, pristupnog koda, ličnog identifikacionog broja ili lozinke koji bi omogućili pristup finansijskom računu stanovnika gdje je Hudson County Community College čuvar tih podataka ; pod uslovom, međutim, da “lični podaci” ne uključuju informacije koje su zakonito dobijene iz javno dostupnih informacija, ili iz evidencija saveznih, državnih ili lokalnih vlasti koje su zakonito dostupne široj javnosti.

svrha

Svrha ovog plana je:

    1. Osigurati sigurnost i povjerljivost ličnih podataka;
    2. Zaštitite od svih potencijalnih prijetnji ili opasnosti po sigurnost ili integritet ličnih podataka; i,
    3. Zaštitite od neovlaštenog pristupa ili upotrebe ličnih podataka na način koji stvara značajan rizik od krađe identiteta ili prevare.

obim

U formulisanju i implementaciji Plana, institucija će: (1) identifikovati razumno predvidive unutrašnje i eksterne rizike za bezbednost, poverljivost i integritet bilo koje elektronske, papirne ili druge evidencije koja sadrži lične podatke; (2) procijeniti vjerovatnoću i potencijalnu štetu od ovih prijetnji, uzimajući u obzir osjetljivost ličnih podataka; (3) procijeniti dovoljnost postojećih politika, praksi, procedura, informacionih sistema i drugih zaštitnih mjera koje postoje za kontrolu rizika; (4) dizajnirati i implementirati plan koji postavlja zaštitne mjere za minimiziranje tih rizika, u skladu sa zahtjevima 201 CMR 17.00; i (5) redovno prati Plan.

Koordinator za sigurnost podataka

HCCC je odredio glavnog službenika za informacije (CIO) i potpredsjednika za poslovanje i finansije/finansijskog direktora da implementira, nadgleda i održava plan. CIO i potpredsjednik za poslovanje i finansije/finansijski direktor će biti odgovorni za:

    1. Početna implementacija Plana;
    2. Nadzor nad kontinuiranom obukom zaposlenih o elementima i zahtjevima Plana za sve vlasnike, menadžere, zaposlene i samostalne izvođače koji imaju pristup ličnim podacima;
    3. Praćenje zaštitnih mjera Plana;
    4. Procjena pružatelja usluga treće strane koji imaju pristup i hosting/prenos/sigurnosno kopiranje/održavanje ličnih podataka, i zahtijevanje od tih pružalaca usluga ugovorom da implementiraju i održavaju takve odgovarajuće sigurnosne mjere za zaštitu ličnih podataka;
    5. Preispitivanje obima bezbednosnih mera u Planu godišnje, ili kad god dođe do materijalne promene u poslovnoj praksi HCCC-a koja može da implicira bezbednost ili integritet zapisa koji sadrže lične podatke; i,
    6. Revizija zakonodavstva i zakona i ažuriranje politika i procedura prema potrebi.

Interni rizici

Za borbu protiv internih rizika za sigurnost, povjerljivost i integritet bilo koje elektronske, papirne ili druge evidencije koja sadrži lične podatke, te kako bi se ocijenila i poboljšala, gdje je potrebno, učinkovitost trenutnih mjera zaštite za ograničavanje takvih rizika, sljedeće mjere su obavezne i stupaju na snagu odmah: 

Administrativne mjere

      1. Kopija plana će se podijeliti predsjedniku, predsjednikovom kabinetu, osoblju Službe za informacione tehnologije (ITS) i drugim određenim članovima osoblja koji rukuju ličnim podacima. Po prijemu Plana, svaki pojedinac mora pismeno potvrditi da je primio kopiju Plana.
      2. Nakon obuke, svo osoblje će morati da potpiše ugovore o povjerljivosti koji opisuju postupanje s ličnim podacima. Ugovori o povjerljivosti će zahtijevati da članovi osoblja prijave svaku sumnjivu ili neovlaštenu upotrebu „ličnih podataka“ CIO-u ili potpredsjedniku za ljudske resurse.
      3. Količina prikupljenih ličnih podataka mora biti ograničena na ono što je razumno neophodno za postizanje legitimnih poslovnih ciljeva. Korištenje ličnih podataka rješava se kroz revizije u različitim oblastima.
      4. Sve mjere sigurnosti podataka će se revidirati najmanje jednom godišnje, ili kad god dođe do materijalne promjene u poslovnoj praksi HCCC-a ili promjene zakona koja može razumno implicirati sigurnost ili integritet zapisa koji sadrže lične podatke. CIO i potpredsjednik za poslovanje i finansije/finansijski direktor će biti odgovorni za ovu reviziju i u potpunosti će obavijestiti šefove odjela o rezultatima te revizije i svim preporukama za poboljšanje sigurnosti koje proizilaze iz tog pregleda.
      5. Kad god se dogodi incident koji zahtijeva obavještenje prema NJ Stat. § 56:8-163, zakon o prijavljivanju kršenja ličnih podataka New Jerseya, odmah će postojati obavezna revizija događaja i radnji koje su preduzete, ako ih ima, kako bi se utvrdilo da li su potrebne bilo kakve promjene u sigurnosnim praksama HCCC-a radi poboljšanja sigurnost ličnih podataka prema Planu.
      6. Svako odeljenje će razviti pravila (imajući u vidu poslovne potrebe tog odeljenja) koja obezbeđuju da postoje razumna ograničenja fizičkog pristupa ličnim podacima, uključujući pisanu proceduru koja navodi kako je fizički pristup evidenciji ograničen. Svako odjeljenje mora čuvati takve zapise i podatke u zaključanim objektima, sigurnim skladišnim prostorima ili zaključanim ormarićima.
      7. Osim naloga sistemske administracije, pristup elektronski pohranjenim ličnim podacima će biti elektronski ograničen na one zaposlenike koji imaju jedinstveni ID za prijavu, sa odgovarajućim pristupom. Pristup neće biti odobren zaposlenima za koje CIO utvrdi da im nije potreban pristup elektronski pohranjenim ličnim podacima.
      8. Kada ugovor o povjerljivosti nije na snazi, pristup posjetitelja ili ugovarača osjetljivim podacima, uključujući, ali ne ograničavajući se na lozinke, ključeve za šifriranje i tehničke specifikacije, kada je to potrebno, mora biti pismeno dogovoren. Pristup će biti ograničen na minimalni potreban iznos. Ako je za pristup potrebna daljinska prijava, taj pristup također mora biti odobren preko ITS odjela HCCC-a.

fizičke mjere

      1. Pristup evidenciji koja sadrži lične podatke biće ograničen na one od kojih se razumno traži da znaju takve informacije kako bi ostvarili legitimnu poslovnu svrhu HCCC-a. Kako bi se ublažilo nepotrebno otkrivanje, osjetljive i lične informacije će biti redigovane, papirni zapisi će biti pohranjeni u zaključanim objektima, a bit će implementirane kontrole sigurnosti podataka za elektronske zapise.
      2. Na kraju radnog dana, svi neelektronski dosijei i drugi zapisi koji sadrže lične podatke moraju biti pohranjeni u zaključanim prostorijama, kancelarijama ili ormarima.
      3. Papirna evidencija koja sadrži lične podatke će se odlagati na način koji je u skladu sa NJ Stat. § 56:8-163, Zakon o prijavljivanju kršenja ličnih podataka New Jerseya. To znači da bi se zapisi trebali zbrinuti korištenjem unakrsnog rezača ili drugih metoda koje informacije čine nečitkim.

Tehničke mjere

      1. HCCC ne dozvoljava zaposlenima da čuvaju lične podatke na prenosivim medijima. Ovo uključuje laptope, USB, CD-ove, itd. Kada zaposleni koji imaju pristup ličnim podacima budu ukinuti, HCCC će ukinuti njihov pristup mrežnim resursima i fizičkim uređajima koji sadrže lične podatke. Ovo uključuje ukidanje ili predaju mrežnih naloga, naloga baze podataka, ključeva, bedževa, telefona i laptopa ili desktopa.
      2. Zaposleni su dužni da mijenjaju svoje lozinke na rutinskoj osnovi za sisteme koji sadrže lične podatke.
      3. Pristup ličnim podacima bit će ograničen na aktivne korisnike i samo aktivne korisničke račune.
      4. Gdje je tehnički moguće, svi sistemi koji održavaju HCCC i koji pohranjuju lične podatke koristit će funkcije automatskog zaključavanja koje zaključavaju pristup nakon višestrukih neuspješnih pokušaja prijave.
      5. Elektronski zapisi (uključujući zapise pohranjene na tvrdim diskovima i drugim elektronskim medijima) koji sadrže lične podatke biće odloženi u skladu sa NJ Stat i na način koji je u skladu sa NJ Stat. § 56:8-163, Zakon o prijavi kršenja ličnih podataka New Jerseya. Ovo zahtijeva da se informacije unište ili izbrišu tako da se lični podaci ne mogu praktično pročitati ili rekonstruisati.

Eksterni rizici

      1. Za borbu protiv eksternih rizika po sigurnost, povjerljivost i integritet bilo koje elektronske, papirne ili druge evidencije koja sadrži lične podatke, te kako bi se ocijenila ili poboljšala, gdje je potrebno, učinkovitost trenutnih mjera zaštite za ograničavanje takvih rizika, sljedeće mjere su obavezne i stupa na snagu odmah:

a.) Postoje razumno ažurirane sigurnosne zakrpe za zaštitu zaštitnog zida i operativnog sistema razumno dizajnirane da održe integritet ličnih podataka instaliranih na sistemima sa ličnim podacima.

b.) Postoje razumno ažurirane verzije softvera agenta za sigurnost sistema koje uključuju zaštitu od zlonamjernog softvera i razumno ažurirane zakrpe i definicije virusa instalirane na sistemima koji obrađuju lične podatke.

c.) Kada se pohranjuju na mrežnim dionicama HCCC-a, datoteke koje sadrže lične informacije treba da budu šifrovane. HCCC ne dozvoljava pohranjivanje ličnih podataka na laptope, računare, USB uređaje ili druge prenosive medije. HCCC će implementirati softver za šifriranje kako bi ispunio ovaj cilj.

d.) Sve lične informacije koje se elektronski prenose dobavljačima trećih strana treba da se šalju putem šifrovane usluge prodavca ili putem šifrovane usluge HCCC-a za siguran prenos. 

e.) Svi novi provajderi usluga koji pohranjuju lične podatke HCCC-a u elektronskom obliku morat će na adekvatan način pokazati mjere sigurnosti putem EDUCAUSE HECVAT ili sličnog instrumenta. Ove dobavljače također mora odobriti potpredsjednik za finansije i poslovanje/finansijski direktor HCCC-a.

f.) Osoblje Službe za ljudske resurse i informacione tehnologije će pratiti procedure navedene u HCCC Proceduri prihvatljive upotrebe za sisteme informacione tehnologije u vezi sa kreiranjem, prenosom ili ukidanjem naloga, zajedno sa politikama za skladištenje lozinki i sigurnost zasnovanu na ulogama.

g.) Svi lični podaci će biti uklonjeni prema HCCC-u Policies and Procedures.

h.) Kako resursi i budžet dozvoljavaju, HCCC će implementirati tehnologiju koja će omogućiti Koledžu da nadgleda baze podataka radi neovlaštenog korištenja ili pristupa ličnim informacijama, te da koristi sigurne protokole za autentifikaciju i mjere kontrole pristupa u skladu sa procedurama HCCC-a.

Odobren od strane Vlade: jul 2021
Povezana politika odbora: ITS

Vratiti u Policies and Procedures