Prucedura di u Pianu di Sicurezza di l'Informazione

I MUVRINI

U scopu di u sviluppu è l'implementazione di sta prucedura cumpleta di u pianu di sicurezza di l'infurmazioni scritte ("Piano") hè di creà salvaguardi amministrativi, tecnichi è fisichi efficaci per a prutezzione di "infurmazioni persunali" di futuri studienti, candidati, studenti, impiegati, ex-alumni. , è amichi di Hudson County Community College, è di rispettà i nostri obblighi sottu u regulamentu di New Jersey 201 CMR 17.00. U Pianu stabilisce e nostre prucedure per valutà i nostri metudi elettronichi è fisichi di accede, cullighjate, almacenà, utilizendu, trasmette è prutegge "infurmazione persunale" di i cumpunenti di u College.

Per i scopi di stu Pianu, "infurmazione persunale" hè definitu cum'è u nome è u cognome di una persona, o u primu nome iniziale è u cognome, in cumminazione cù unu o più di i seguenti elementi di dati chì riguardanu tali residenti: (a) Social numeru di sicurità; (b) numeru di licenza di guida o numeru di carta d'identificazione statale; o (c) numeru di contu finanziariu o numeru di carta di creditu o debitu, cù o senza codice di sicurezza, codice d'accessu, numeru d'identità persunale o password chì permettenu l'accessu à u cuntu finanziariu di un residente induve l'Hudson County Community College hè u custode di sti dati. ; a condizione, però, chì "infurmazioni persunali" ùn includenu micca infurmazioni chì sò legalmente ottenute da l'infurmazioni dispunibuli publicamente, o da i registri di u guvernu federale, statale o lucale legalmente dispunibuli à u publicu generale.

Fini

U scopu di stu Pianu hè di:

1. Assicurà a sicurità è a cunfidenziale di l'infurmazioni persunali;
2. Prutegge contr'à ogni minaccia potenziale o periculu per a sicurità o l'integrità di l'infurmazioni persunali; è,
3. Prutegge contr'à l'accessu micca autorizatu, o l'usu di l'infurmazioni persunali in una manera chì crea un risicu sustanziale di furtu d'identità o fraud.

aghjalesi

In a formulazione è l'implementazione di u Pianu, l'istituzione: (1) identificà i risichi interni è esterni raghjone previsibles per a sicurità, a cunfidenzialità è l'integrità di qualsiasi documentu elettronicu, carta, o altri registri chì cuntenenu infurmazione persunale; (2) valutà a probabilità è u dannu potenziale di sti minacce, tenendu in cunsiderà a sensibilità di l'infurmazioni persunali; (3) valutà a sufficienza di e pulitiche esistenti, pratiche, prucedure, sistemi d'infurmazione è altre salvaguardi in piazza per cuntrullà i risichi; (4) cuncepisce è mette in opera un pianu chì mette salvaguardi per minimizzà quelli risichi, in cunfurmità cù i requisiti di 201 CMR 17.00; è (5) cuntrollà regularmente u Pianu.

Coordinatore di a Sicurezza di Dati

HCCC hà designatu u Chief Information Officer (CIO) è u Vicepresidentu per l'Affari è Finanzi / CFO per implementà, supervisà è mantene u Pianu. U CIO è u Vicepresidentu per l'Affari è Finanza / CFO seranu rispunsevuli di:

1. Implementazione iniziale di u Pianu;
2. Supervisione di a furmazione permanente di l'impiegati nantu à l'elementi è i bisogni di u Pianu per tutti i pruprietarii, amministratori, impiegati è cuntrattuali indipendenti chì anu accessu à l'infurmazioni persunali;
3. Monitorà i salvaguardi di u Pianu;
4. Evaluà i fornitori di servizii di terze parti chì anu accessu è ospitanu / trasmettenu / copia di salvezza / mantene l'infurmazioni persunali, è esigenu à quelli fornitori di servizii per cuntrattu per implementà è mantene tali misure di sicurezza adatte per prutege l'infurmazioni persunali;
5. Revisione di u scopu di e misure di sicurezza in u Pianu annu, o ogni volta chì ci hè un cambiamentu materiale in e pratiche cummerciale di HCCC chì pò implica a sicurità o l'integrità di i registri chì cuntenenu infurmazione persunale; è,
6. Rivisendu a legislazione è e lege è aghjurnà e pulitiche è e prucedure cum'è necessariu.

Rischi interni

Per cumbatte i risichi interni à a sicurità, a cunfidenzialità è l'integrità di qualsiasi documentu elettronicu, carta, o altri registri chì cuntenenu informazioni persunali, è per valutà è migliurà, induve necessariu, l'efficacità di e salvaguardi attuali per limità tali risichi, e seguenti misure sò obbligatori è efficaci immediatamente:

Misure amministrative

1. 1. Una copia di u Pianu serà distribuita à u presidente, u Gabinettu di u presidente, u persunale di i servizii di Tecnulugia di l'Informazione (ITS) è altri membri di u persunale designatu chì trattanu l'infurmazioni persunali. Dopu avè ricivutu u Pianu, ogni individuu deve ricunnosce per scrittu chì hà ricevutu una copia di u Pianu.
  2. Dopu à a furmazione, tuttu u persunale serà dumandatu à firmà accordi di cunfidenziale chì descrizanu a gestione di l'infurmazioni persunali. L'accordi di cunfidenziale esigeranu chì i membri di u staffu signalanu ogni usu suspettu o micca autorizatu di "infurmazioni persunali" à u CIO o à u Vicepresidente per i Risorse Umane.
  3. A quantità di informazioni persunali raccolte deve esse limitata à ciò chì hè ragiunate necessariu per rializà scopi di cummerciale legittimi. L'usu di l'infurmazioni persunali hè trattatu per mezu di audit in diverse aree.
  4. Tutte e misure di sicurezza di e dati seranu riviste almenu annu, o ogni volta chì ci hè un cambiamentu materiale in a pratica cummerciale di HCCC o un cambiamentu di a lege chì pò implicà raghjone a sicurezza o l'integrità di i registri chì cuntenenu infurmazione persunale. U CIO è u Vicepresidente per l'Affari è Finanzi / CFO seranu rispunsevuli di sta rivisione è informaranu cumplettamente i capi di dipartimentu di i risultati di quella revisione è di ogni raccomandazione per a sicurezza migliorata derivante da quella revisione.
  5. Ogni volta chì ci hè un incidente chì richiede notificazione sottu NJ Stat. § 56: 8-163, a lege di rapportu di violazione di dati persunali di u New Jersey, ci sarà una revisione immediata ubligatoria post-incidente di l'avvenimenti è l'azzioni pigliate, s'ellu ci hè, per determinà s'ellu ci hè bisognu di cambiamenti in e pratiche di sicurezza di HCCC per migliurà. a sicurità di l'infurmazioni persunali sottu u Pianu.
  6. Ogni dipartimentu deve sviluppà regule (in mente i bisogni di l'affari di quellu dipartimentu) chì assicuranu restrizioni ragiunate nantu à l'accessu fisicu di l'infurmazioni persunali sò in u locu, cumprese una prucedura scritta chì dice cumu l'accessu fisicu di u record hè limitatu. Ogni dipartimentu deve almacenà tali registri è dati in strutture chjuse, spazii di almacenamentu sicuri, o armadi chjusi.
  7. Eccettu per i cunti di l'Amministrazione di u Sistema, l'accessu à l'infurmazioni persunali archiviati elettronicamente serà limitatu elettronicamente à quelli impiegati chì anu un ID di login unicu, cù accessu adattatu. L'accessu ùn serà micca cuncessu à l'impiegati chì u CIO determina chì ùn anu micca bisognu di accessu à l'infurmazioni persunali archiviati elettronicamente.
  8. Quandu un accordu di cunfidenziale ùn hè micca in u locu, l'accessu di u visitatore o di l'imprenditore à e dati sensittivi, cumprese, ma senza limitazione, password, chjavi di criptografia, è specificazioni tecniche, quandu necessariu, deve esse accunsentutu in scrittura. L'accessu deve esse limitatu à a quantità minima necessaria. Se u login remoto hè necessariu per l'accessu, quellu accessu deve ancu esse appruvatu attraversu u Dipartimentu ITS di HCCC.

Misure fisiche

1. 1. L'accessu à i registri chì cuntenenu infurmazioni persunali serà limitatu à quelli chì sò ragiunate richiesti di cunnosce tali informazioni per rializà u scopu cummerciale legittimu di HCCC. Per mitigà a divulgazione innecessaria, l'infurmazioni sensittivi è persunali seranu redattati, i registri di carta seranu almacenati in strutture chjuse, è i cuntrolli di sicurezza di dati per i registri elettronichi seranu implementati.
  2. À a fine di a ghjurnata di travagliu, tutti i schedarii micca elettronichi è altri registri chì cuntenenu infurmazioni persunali devenu esse guardati in stanze chjuse, uffizii o armari.
  3. I registri di carta chì cuntenenu infurmazioni persunali seranu disposti in una manera chì cunforme cù NJ Stat. § 56: 8-163, a lege di rapportu di violazione di dati persunali di New Jersey. Questu significa chì i registri anu da esse eliminati cù un trituratore cross-cut, o altri metudi chì rendenu l'infurmazioni illegibili.

Misure tecniche

1. 1. HCCC ùn permette micca à l'impiegati di almacenà infurmazione persunale nantu à i media portatili. Questu include laptops, USB, CD, etc. Quandu l'impiegati chì anu accessu à l'infurmazioni persunali sò terminati, HCCC hà da finisce u so accessu à e risorse di a rete è i dispositi fisici chì cuntenenu infurmazione persunale. Questu include a terminazione o a rinunzione di cunti di rete, cunti di basa di dati, chjave, badge, telefoni, è laptops o desktop.
  2. L'impiegati sò tenuti à cambià e so password in una basa di rutina per i sistemi chì cuntenenu infurmazione persunale.
  3. L'accessu à l'infurmazioni persunali serà limitatu à l'utilizatori attivi, è solu i cunti d'utilizatori attivi.
  4. Dove tecnicamente pussibule, tutti i sistemi mantenuti da HCCC chì almacenanu l'infurmazioni persunali impieganu funzioni di bloccu automaticu chì bloccanu l'accessu dopu parechji tentativi di login falluti.
  5. I registri elettronichi (cumpresi i registri almacenati in i discu duru è altri media elettronichi) chì cuntenenu l'infurmazioni persunali saranu eliminati in cunfurmità cù NJ Stat. § 56: 8-163, a lege di rapportu di violazione di dati persunali di New Jersey. Questu hè bisognu chì l'infurmazione sia distrutta o sguassata in modu chì l'infurmazioni persunali ùn ponu micca praticamente leghjite o ricustruite.

Rischi esterni

1. 1. Per cumbatte i risichi esterni per a sicurità, a cunfidenzialità è l'integrità di qualsiasi documentu elettronicu, carta, o altri registri chì cuntenenu informazioni persunali, è per valutà o migliurà induve hè necessariu l'efficacità di e salvaguardie attuali per limità tali risichi, e seguenti misure sò obbligatori. è efficace immediatamente:

a.) Ci sò ragiunamenti up-to-date di prutezzione di firewall è u sistema operatore di sicurità patch ragiunate pensate à mantene l'integrità di l'infurmazioni persunali stallati in sistemi cù infurmazione persunale.

b.) Ci sò versioni ragiunamenti aghjurnati di u software di l'agente di sicurità di u sistema chì includenu a prutezzione di malware, è ragiunamenti up-to-date patchs è definizioni di virus installati nantu à i sistemi chì processanu l'infurmazioni persunali.

c.) Quandu sò stati cullucati nantu à e parte di a rete di HCCC, i schedari chì cuntenenu infurmazioni persunali devenu esse criptati. HCCC ùn permette micca l'infurmazione persunale per esse guardata in laptops, PC, dispositi USB, o altri media portatili. HCCC implementerà un software di criptografia per rispettà stu scopu.

d.) Qualchese infurmazione persunale trasmessa elettronicamente à i venditori di terzu deve esse mandatu via u serviziu criptu di u venditore o attraversu u serviziu criptatu designatu di HCCC per a trasmissione sicura.

e.) Tutti i novi fornituri di serviziu chì almacenanu l'infurmazioni persunali di HCCC in forma ilittronica, anu bisognu di dimustrà in modu adattatu e misure di sicurezza attraversu l'EDUCAUSE HECVAT o strumentu simili. Questi venditori devenu ancu esse appruvati da u Vicepresidentu di HCCC per Finanze è Affari / CFO.

f.) U persunale di e Risorse Umane è i servizii di Tecnulugia di l'Infurmazione seguitanu e prucedure delineate in a Procedura d'Usu Acceptable HCCC per i Sistemi di Tecnulugia di l'Infurmazione in relazione à a creazione, trasferimentu o terminazione di cunti, inseme cù e pulitiche per l'almacenamiento di password è a sicurità basata nantu à u rolu.

g.) Tutte l'infurmazioni persunali seranu disposti dopu à HCCC Policies and Procedures.

h.) Cum'è e risorse è u bilanciu permettenu, HCCC implementerà a tecnulugia chì permetterà à u College di monitorà e basa di dati per l'usu non autorizatu di, o l'accessu à l'infurmazioni persunali, è impiegà protokolli di autentificazione sicura è misure di cuntrollu di accessu in cunfurmità cù e prucedure di HCCC.

Appruvatu da u Cabinet: lugliu 2021
Related Board Policy: ITS

Ritorna à Policies and Procedures