Pamaagi sa Plano sa Seguridad sa Impormasyon

 

Pasiuna

Ang katuyoan sa pagpalambo ug pagpatuman niining komprehensibo nga sinulat nga pamaagi sa plano sa seguridad sa impormasyon ("Plano") mao ang paghimo og epektibo nga administratibo, teknikal, ug pisikal nga mga panalipod alang sa pagpanalipod sa "personal nga impormasyon" sa umaabot nga mga estudyante, aplikante, estudyante, empleyado, alumni , ug mga higala sa Hudson County Community College, ug sa pagtuman sa among mga obligasyon ubos sa regulasyon sa New Jersey 201 CMR 17.00. Ang Plano nagtakda sa atong mga pamaagi sa pagtimbang-timbang sa atong elektroniko ug pisikal nga mga paagi sa pag-access, pagkolekta, pagtipig, paggamit, pagpadala, ug pagpanalipod sa “personal nga impormasyon” sa mga konstituwente sa Kolehiyo.

Alang sa mga katuyoan niini nga Plano, ang “personal nga impormasyon” gihubit isip unang ngalan ug apelyido sa usa ka tawo, o unang inisyal ug apelyido, inubanan sa bisan kinsa o labaw pa sa mosunod nga mga elemento sa datos nga may kalabutan sa maong residente: (a) Social Numero sa Seguridad; (b) numero sa lisensya sa pagmaneho o numero sa identification card nga gihatag sa estado; o (c) numero sa account sa panalapi o numero sa credit o debit card, nga adunay o walay bisan unsang gikinahanglan nga code sa seguridad, access code, numero sa personal nga identipikasyon o password nga magtugot sa pag-access sa pinansyal nga account sa usa ka residente diin ang Hudson County Community College mao ang custodian sa maong datos ; basta, bisan pa niana, nga ang "personal nga impormasyon" dili maglakip sa impormasyon nga legal nga makuha gikan sa publiko nga impormasyon, o gikan sa pederal, estado o lokal nga mga rekord sa gobyerno nga legal nga magamit sa publiko.

Katuyoan

Ang katuyoan niini nga Plano mao ang:

    1. Pagsiguro sa seguridad ug pagkakompidensyal sa personal nga impormasyon;
    2. Panalipdi batok sa bisan unsang posibleng hulga o peligro sa seguridad o integridad sa personal nga impormasyon; ug,
    3. Panalipdi batok sa dili awtorisado nga pag-access, o paggamit sa, personal nga impormasyon sa paagi nga makamugna og dakong risgo sa pagpangawat sa pagkatawo o pagpanglimbong.

kasangkaran

Sa pagporma ug pag-implementar sa Plano, ang institusyon: (1) makaila sa makatarunganon nga makita nga internal ug eksternal nga mga risgo sa seguridad, kompidensyal, ug integridad sa bisan unsang electronic, papel, o uban pang mga rekord nga adunay personal nga impormasyon; (2) pag-assess sa kalagmitan ug potensyal nga kadaot niini nga mga hulga, nga gikonsiderar ang pagkasensitibo sa personal nga impormasyon; (3) pagtimbang-timbang sa kaigoan sa kasamtangan nga mga polisiya, mga gawi, mga pamaagi, mga sistema sa impormasyon, ug uban pang mga panalipod nga anaa aron makontrol ang mga risgo; (4) pagdesinyo ug pagpatuman sa usa ka plano nga nagbutang ug mga panalipod aron mamenosan ang maong mga risgo, nga nahiuyon sa mga kinahanglanon sa 201 CMR 17.00; ug (5) kanunay nga pagmonitor sa Plano.

Data Security Coordinator

Gitudlo sa HCCC ang Chief Information Officer (CIO) ug Bise Presidente alang sa Negosyo ug Pananalapi/CFO sa pagpatuman, pagdumala ug pagmentinar sa Plano. Ang CIO ug Bise Presidente alang sa Negosyo ug Pananalapi/CFO maoy responsable sa:

    1. Inisyal nga pagpatuman sa Plano;
    2. Pagdumala sa nagpadayon nga pagbansay sa empleyado sa mga elemento ug mga kinahanglanon sa Plano para sa tanang tag-iya, manedyer, empleyado, ug mga independenteng kontraktor nga adunay access sa personal nga impormasyon;
    3. Pag-monitor sa mga panalipod sa Plano;
    4. Pag-assess sa Third Party Service providers nga adunay access ug host/transmit/backup/maintain sa personal nga impormasyon, ug nagkinahanglan niadtong mga service providers pinaagi sa kontrata sa pagpatuman ug pagmentinar sa maong tukma nga mga lakang sa seguridad aron mapanalipdan ang personal nga impormasyon;
    5. Pagrepaso sa sakup sa mga lakang sa seguridad sa Plano kada tuig, o bisan kanus-a adunay materyal nga pagbag-o sa mga gawi sa negosyo sa HCCC nga mahimong maglambigit sa seguridad o integridad sa mga rekord nga adunay personal nga impormasyon; ug,
    6. Pagrepaso sa lehislasyon ug mga balaod ug pag-update sa mga palisiya ug pamaagi kung gikinahanglan.

Internal nga mga Risgo

Aron mabatukan ang mga internal nga risgo sa seguridad, kompidensyal, ug integridad sa bisan unsang elektronik, papel, o uban pang mga rekord nga adunay personal nga kasayuran, ug aron masusi ug mapauswag, kung gikinahanglan, ang pagka-epektibo sa karon nga mga panalipod alang sa paglimit sa ingon nga mga risgo, ang mosunod nga mga lakang mandatory ug epektibo dayon: 

Administratibo nga mga Lakang

      1. Usa ka kopya sa Plano ang iapud-apod ngadto sa Presidente, Gabinete sa Presidente, mga kawani sa Information Technology Services (ITS), ug uban pang gitudlo nga mga kawani nga nagdumala sa personal nga impormasyon. Sa pagkadawat sa Plano, ang matag indibidwal kinahanglan nga moila sa pagsulat nga nakadawat sila og kopya sa Plano.
      2. Pagkahuman sa pagbansay, ang tanan nga kawani kinahanglan nga mopirma sa mga kasabutan sa kompidensyal nga naghulagway sa pagdumala sa personal nga impormasyon. Ang mga kasabotan sa pagkakompidensyal magkinahanglan sa mga kawani sa pagtaho sa bisan unsang kadudahang o dili awtorisado nga paggamit sa "personal nga impormasyon" ngadto sa CIO o sa Bise Presidente alang sa Human Resources.
      3. Ang kantidad sa personal nga impormasyon nga nakolekta kinahanglan nga limitado sa kung unsa ang makatarunganon nga kinahanglanon aron matuman ang lehitimong katuyoan sa negosyo. Ang paggamit sa personal nga impormasyon gitumong pinaagi sa mga pag-audit sa lain-laing mga dapit.
      4. Ang tanan nga mga lakang sa seguridad sa datos kinahanglan nga susihon labing menos kada tuig, o bisan kanus-a adunay materyal nga pagbag-o sa praktis sa negosyo sa HCCC o pagbag-o sa balaod nga mahimong makatarunganon nga maglambigit sa seguridad o integridad sa mga rekord nga adunay personal nga impormasyon. Ang CIO ug Bise Presidente alang sa Negosyo ug Pananalapi/CFO maoy responsable niini nga pagrepaso ug kinahanglang bug-os nga magpahibalo sa mga pangulo sa departamento sa mga resulta sa maong pagrepaso ug sa bisan unsang mga rekomendasyon alang sa mas maayong seguridad nga motumaw gikan niana nga pagrepaso.
      5. Kanus-a adunay usa ka insidente nga nanginahanglan pagpahibalo sa ilawom sa NJ Stat. § 56:8-163, ang balaod sa pagtaho sa paglapas sa datos sa personal nga impormasyon sa New Jersey, kinahanglan adunay diha-diha nga mandatory nga pagrepaso human sa insidente sa mga panghitabo ug mga aksyon nga gihimo, kung aduna, aron mahibal-an kung gikinahanglan ba ang bisan unsang mga pagbag-o sa mga gawi sa seguridad sa HCCC aron mapauswag ang seguridad sa personal nga impormasyon ubos sa Plano.
      6. Ang matag departamento kinahanglang maghimo ug mga lagda (nagpahinumdom sa mga panginahanglanon sa negosyo sa maong departamento) nga magseguro nga ang makatarunganong mga pagdili sa pisikal nga pag-access sa personal nga impormasyon anaa, lakip ang usa ka sinulat nga pamaagi nga nag-ingon kon sa unsang paagi gipugngan ang pisikal nga pag-access sa rekord. Kinahanglang tipigan sa matag departamento ang maong mga rekord ug datos sa mga naka-lock nga pasilidad, luwas nga mga lugar nga tipiganan, o naka-lock nga mga kabinet.
      7. Gawas sa mga account sa System Administration, ang pag-access sa gitipigan nga elektronik nga personal nga impormasyon kinahanglan nga elektroniko nga limitado sa mga empleyado nga adunay usa ka talagsaon nga login ID, nga adunay angay nga pag-access. Ang pag-access dili ihatag sa mga empleyado nga gitino sa CIO nga wala magkinahanglan og access sa elektronik nga gitipigan nga personal nga impormasyon.
      8. Kung ang usa ka kasabutan sa kompidensyal wala sa lugar, ang bisita o kontraktor nga maka-access sa sensitibo nga datos, lakip na apan dili limitado sa mga password, mga yawe sa pag-encrypt, ug teknikal nga mga detalye, kung gikinahanglan, kinahanglan nga uyonan sa pagsulat. Ang pag-access kinahanglan nga limitado sa minimum nga kantidad nga gikinahanglan. Kung gikinahanglan ang layo nga pag-login alang sa pag-access, kana nga pag-access kinahanglan usab nga aprobahan pinaagi sa Departamento sa ITS sa HCCC.

Pisikal nga mga Pagsukod

      1. Ang pag-access sa mga rekord nga adunay personal nga kasayuran kinahanglan nga limitado sa mga tawo nga makatarunganon nga kinahanglan nga mahibal-an ang ingon nga kasayuran aron matuman ang lehitimong katuyoan sa negosyo sa HCCC. Aron maminusan ang dili kinahanglan nga pagbutyag, ang sensitibo ug personal nga kasayuran i-redact, ang mga rekord sa papel itago sa mga naka-lock nga pasilidad, ug ang mga kontrol sa seguridad sa datos alang sa mga elektronik nga rekord ipatuman.
      2. Sa pagtapos sa adlaw sa trabaho, ang tanan nga dili elektronikong mga file ug uban pang mga rekord nga adunay personal nga impormasyon kinahanglang tipigan sa mga sirado nga mga lawak, mga opisina o mga kabinet.
      3. Ang mga rekord sa papel nga adunay personal nga kasayuran kinahanglan nga ibaligya sa paagi nga nagsunod sa NJ Stat. § 56:8-163, Ang personal nga impormasyon sa datos sa New Jersey naglapas sa balaod sa pagtaho. Kini nagpasabut nga ang mga rekord kinahanglan nga ilabay gamit ang usa ka cross-cut shredder, o uban pang mga pamaagi nga maghimo sa kasayuran nga dili mabasa.

Teknikal nga mga Lakang

      1. Ang HCCC wala magtugot sa mga empleyado sa pagtipig og personal nga impormasyon sa madaladala nga media. Naglakip kini sa mga laptop, USB, CD, ug uban pa. Kung ang mga empleyado nga adunay access sa personal nga impormasyon gitapos, ang HCCC kinahanglan nga tapuson ang ilang pag-access sa mga kapanguhaan sa network ug pisikal nga mga aparato nga adunay personal nga impormasyon. Naglakip kini sa pagtapos o pagsurender sa mga account sa network, database account, yawe, badge, telepono, ug mga laptop o desktop.
      2. Ang mga empleyado gikinahanglan nga usbon ang ilang mga password sa naandan nga basehan alang sa mga sistema nga adunay personal nga impormasyon.
      3. Ang pag-access sa personal nga kasayuran kinahanglan nga limitado sa mga aktibo nga tiggamit, ug aktibo nga mga account sa tiggamit lamang.
      4. Kung mahimo sa teknikal, ang tanan nga mga sistema nga gipadayon sa HCCC nga nagtipig sa personal nga kasayuran mogamit mga awtomatik nga bahin sa pag-lock nga maka-lock sa pag-access pagkahuman sa daghang dili malampuson nga pagsulay sa pag-login.
      5. Ang mga rekord sa elektroniko (lakip ang mga rekord nga gitipigan sa mga hard drive ug uban pang elektronik nga media) nga adunay sulud nga personal nga kasayuran kinahanglan ilabay sumala sa ug paagi nga nagsunod sa NJ Stat. § 56:8-163, Ang personal nga impormasyon sa datos sa New Jersey naglapas sa balaod sa pagtaho. Nagkinahanglan kini nga ang impormasyon pagalaglagon o papason aron ang personal nga impormasyon dili praktikal nga mabasa o matukod pag-usab.

Panggawas nga mga Risgo

      1. Aron mabuntog ang mga peligro sa gawas sa seguridad, pagkakompidensyal, ug integridad sa bisan unsang elektronik, papel, o uban pang mga rekord nga adunay personal nga kasayuran, ug aron masusi o mapauswag kung gikinahanglan ang pagkaepektibo sa karon nga mga panalipod alang sa paglimit sa ingon nga mga peligro, ang mga mosunod nga mga lakang gikinahanglan. ug epektibo dayon:

a.) Adunay makatarunganon nga labing bag-o nga proteksyon sa firewall ug mga patch sa seguridad sa operating system nga makatarunganon nga gidisenyo aron mapadayon ang integridad sa personal nga kasayuran nga na-install sa mga sistema nga adunay personal nga kasayuran.

b.) Adunay makatarunganon nga labing bag-o nga mga bersyon sa software sa ahente sa seguridad sa sistema nga naglakip sa pagpanalipod sa malware, ug makatarunganon nga labing bag-o nga mga patch ug mga kahulugan sa virus nga na-install sa mga sistema nga nagproseso sa personal nga impormasyon.

c.) Kung gitipigan sa mga bahin sa network sa HCCC, ang mga file nga adunay personal nga kasayuran kinahanglan nga ma-encrypt. Ang HCCC wala magtugot sa personal nga impormasyon nga tipigan sa mga laptop, PC, USB device, o uban pang portable media. Ang HCCC mag-deploy ug encryption software aron matuman kini nga katuyoan.

d.) Ang bisan unsang personal nga impormasyon nga gipadala sa elektronik nga paagi ngadto sa mga third-party nga vendor kinahanglan ipadala pinaagi sa encrypted nga serbisyo sa vendor o pinaagi sa gitudlo nga encrypted nga serbisyo sa HCCC alang sa luwas nga transmission. 

e.) Tanang bag-ong mga service provider nga nagtipig sa personal nga impormasyon sa HCCC sa elektronik nga porma kinahanglan nga igo nga magpakita sa mga lakang sa seguridad pinaagi sa EDUCAUSE HECVAT o susamang instrumento. Kini nga mga tigbaligya kinahanglan usab nga aprobahan sa Bise Presidente sa HCCC alang sa Pananalapi ug Negosyo/CFO.

f.) Ang mga kawani sa Human Resources ug Information Technology Services kinahanglang mosunod sa mga pamaagi nga gilatid sa HCCC Acceptable Use Procedure for Information Technology Systems nga may kalabutan sa pagmugna, pagbalhin, o pagtapos sa mga account, uban sa mga polisiya alang sa pagtipig sa password ug seguridad nga gibase sa papel.

g.) Ang tanang personal nga impormasyon ilabay sa pagsunod sa HCCC Policies and Procedures.

h.) Kung itugot sa mga kahinguhaan ug badyet, ang HCCC mopatuman sa teknolohiya nga magtugot sa Kolehiyo sa pagmonitor sa mga database alang sa dili awtorisado nga paggamit sa, o pag-access sa, personal nga impormasyon, ug paggamit sa luwas nga mga protocol sa pag-authenticate ug mga lakang sa pagkontrol sa pag-access subay sa mga pamaagi sa HCCC.

Giaprobahan sa Gabinete: Hulyo 2021
May Kalabutan nga Board Policy: ITS

Balik sa Policies and Procedures