目的
最全菠菜网院(AACC)致力于保存个人数据,并致力于遵守有关个人保护的法规, 敏感的, 以及其他在其管辖范围内的受保护数据.
根据《最全菠菜网》(GLBA)保障规则,如34 CFR 314所载.联邦贸易委员会授权建立信息安全计划. 这个程序的目的是创造, 执行, 并维持确保安全的保护措施, 保密, 以及客户财务记录和与之相关的任何非公开的个人身份财务信息的完整性.
GLBA要求学院实施信息安全计划,旨在保护和保护为提供金融产品或服务而收集的所有非公开信息(NPI). 学院有校级信息安全政策, 程序, 的指导方针, 描述学院整体信息安全计划要素的流程,包括在GLBA下对国家提供商标识符(NPI)的保护.
本文档旨在提供与GLBA相关的附加信息,并不打算覆盖与信息安全相关的机构级政策和程序. 像这样, 与信息安全相关的机构级政策和程序在应用问题上以及在部门与机构级安全政策和程序之间发生冲突的情况下取代.
项目目标
该计划的目标是:
描述和定义
需求
GLBA要求AACC信息安全计划包括以下要素. 学院的方法,因为他们涉及到这些元素如下:
风险评估
AACC的信息和教学技术部(IIT)确定了合理可预见的内部和外部安全风险, 可能导致未经授权披露的数据的机密性和完整性, 滥用, 变更, 信息的破坏或其他危害,以及控制这些风险的保障措施是否充分.
认识到这可能并不代表与数据保护相关的风险的完整列表, 而且新的风险会定期产生, 信息安全总监(ISD)和信息安全工作组将积极监控适当的网络安全咨询文献,以识别未来的风险,并确保未来定期进行信息安全风险评估.
具体地说, IIT认可的以下内外部信息安全风险包括但不限于:
1. 元素没有. 1
指定一名合格的个人负责监督和实施机构或服务的信息安全计划,并执行信息安全计划(16 C.F.R. 314.4(a)).
1.信息和教学技术副总裁(VP-IIT)或其指定人员将:(1)战略性地监督该计划, (2)与IIT员工合作,评估内部和外部数据安全风险,并评估现有保护措施, (3)促进针对已识别风险的保障措施的开发和测试, (4)评估签约服务提供商的安全措施;(5)评估项目的有效性.
1.IIT副校长还应指定一名合适的个人担任项目协调员, 谁将管理信息安全计划,并作为主要资源和与马里兰州的联络人, 安妮阿伦德尔县, 部门, 单位, 服务提供商和相关实体处理与GLBA保障规则相关的问题并传播相关信息和更新.
2. 元素没有. 2
规定信息安全计划应以风险评估为基础,风险评估可识别合理可预见的内部和外部安全风险, 保密, 以及可能导致未经授权披露的客户信息的完整性(客户信息一词适用于机构或服务), 滥用, 变更, 破坏, 或以其他方式泄露该等信息, 并评估控制这些风险的任何保障措施的充分性(16 C.F.R. 314.4(b)).
2.信息安全总监(ISD), 与IIT团队合作, 会否与各行政协调会部门的职员合作,识别书院财务相关资讯系统的保安及私隐风险. 而ISD主要负责学院系统的内部和外部风险评估,包括存储新产品导入的系统, 学院的所有成员都有责任保护NPI.
2.政府统计处会定期检讨学院与财务有关的资讯系统及服务的资料保安. 政府新闻处将与学习资源管理科的人员合作, 以及学习司的代表进行与数据处理有关的风险评估,其中包括内部控制的文件,并将其提交给可持续发展司进行评估.
2.3根据学院信息技术战略计划的规定, 管理层仍然负责审查和识别其他安全风险, 包括存储纸质记录或其他包含数据的记录. 数据管理员负责确保他们所负责的区域内的大学信息得到适当的使用, 控制访问级别,并保证其机密性和完整性. ISD可以根据需要为PVP,管理,教职员工提供指导.
2.4 .根据需要提供与学院财务相关的信息系统和服务,并遵循最小特权原则, 定义如下, 应用. 访问由个人用户的主管请求,并通过学院批准的流程批准.
2.访问包含学生财务信息的表格是由经济援助办公室批准的. 注册主任负责确保未经批准不授予对这些表格的访问权.
2.IIT副校长, 与政府新闻处协调, 负责确保学院的主要电子系统的物理安全,包括NPI以及学院用来访问该系统的网络. 在其他学院区域的风险评估期间, ISD将通知副总裁- iit和财务副总裁(AVP-F)确定的与GLBA相关的其他系统. 作为识别, ISD将与IIT团队合作, 以及AACC四个部门的适当代表,为与这些已确定的系统相关的任何风险制定缓解计划.
3. 元素没有. 3
规定了保障措施的设计和实施,以控制机构或服务机构通过风险评估确定的风险(16 C.F.R. 314.4©). 至少, 书面信息安全计划必须解决16 C中确定的最低保障措施的实施问题.F.R. 314.4©(1)至(8).
3.1 AVP-F, 或者他们指定的人, 是否进行年度审查,以确保有权访问客户信息的人员仍然活跃,并且他们的访问级别是适当的. Role-based authorization will be 应用 in adherence to the principle of least privilege; roles are regularly reviewed and 维护ed.
3.负责官员将根据既定政策定期评估这一要求和相关指导方针, 流程, 指引及程序. 发现的缺陷、差距或需要改进的地方将及时处理.
3.任何数据的传输或存储必须采用加密方法. 这些方法必须由信息安全总监审核, 及/或资讯保安专责小组, 并经副校长批准.
3.4对应用程序和数据库开发环境的访问由网络和基于主机的防火墙控制, 主机和应用程序级授权方案, 多因素认证. 发展的IIT经理, 维护, 或修改与数据相关的关键应用程序必须部署适当的措施来管理变更控制, 测试和生产环境的分离, 以及对参与这些职能的工作人员的职责和授权的分离.
3.5访问或传输NPI时需要进行多因素认证. 这将在软件生命周期允许的情况下统一实现. 例外情况需要ISD审核,IIT副总裁预先批准.
3.数据保留符合学院政策.
3.7 Log data required to audit for unauthorized access to customer information and related information systems is securely collected and 维护ed for an appropriate period of time; details are reserved.
4. 元素没有. 4
规定机构或服务机构定期测试或以其他方式监测其实施的保障措施的有效性(16 C.F.R. 314.4(d)).
4.根据学院政策,定期进行测试和有效性监测, 过程, 指引及程序.
5. 元素没有. 5
规定了实施要求和指导方针,以确保人员能够制定信息安全计划(16 C.F.R. 314.4€).
5.安全培训:在访问受保护数据之前, 所有员工都必须参加信息安全培训, 以及审查和承认适当的消费者信息法规. 进一步, 对在可访问数据的领域工作的新员工进行推荐信和/或背景调查(视职位而定). 处理数据的新员工要接受有关学生记录保密重要性的适当培训, 学生财务信息和所有其他数据, 并正确使用计算机信息和密码.
之后, 所有员工都必须完成网络安全和FERPA的年度培训,以确保合规. 网络安全意识培训还可能包括检测和识别勒索软件的控制和措施, 网络钓鱼, 以及防止员工向未经授权的个人提供数据的社会工程策略. 这些培训工作将风险降到最低,并保护数据和信息. 安全更新定期分发给所有员工,以提高意识并测试对社会工程策略的脆弱性.
5.2 . ISD与IIT副总裁定期合作沟通, 企业应用服务总监, 基建署署长, 技术支持服务部主任, 以及远程教育学院院长, 以及资讯保安专责小组,以确保落实及遵从最佳实务.
5.预留专业发展基金,为学院提供所需的技术培训. 系统管理员和系统工程师与应用程序管理员密切合作,确保及时实施补丁和安全更新. 政府新闻处利用资讯保安专责小组处理紧急和紧急的问题.
5.所有技术工作者都拥有适当的知识资源,以维持其所在领域的流通,并通过建立的沟通渠道分享威胁和对策. IIT进行定期的准备沟通、讨论、培训和测试.
6. 元素没有. 6
说明机构或服务机构将如何监督其信息系统服务提供者(16 C.F.R. 314.4(f)).
6.1 .学院制定了与保障措施及其数据处理有关的标准语言. 这种语言包含在其与可能需要访问数据的服务提供商签订的合同和协议中.
6.作为学院采购流程的一部分, 需要访问数据的技术合同将在签约过程中进行安全审查, 这取决于风险程度, 在续约期间是否可以重新审核.
7. 元素没有. 7
Provides for the evaluation and adjustment of its information security program in light of the results of the required testing and monitoring; any material changes to its operations or business arrangements; the results of the required risk assessments; or any other circumstances that it knows or has reason to know may have a material impact the information security program (16 C.F.R. 314.4(g)).
7.1. 除非另有规定,政策每两年检讨一次. 除了定期的审查之外, 定期采用基于风险的方法审查风险并制定缓解计划.
8. 元素没有. 8
对于在5上维护学生信息的机构或服务人员,000或更多的消费者, 处理事件响应计划的建立(16 C.F.R. 314.4(h)).
8.事件将根据AACC的信息安全要求和指南进行处理. ISD维护学院的事件响应计划,其中包括一个决策树和事件声明清单, 激活, 确定合适的内部和外部利益相关者, 调查, 缓解, 重新评估和报告.
9. 元素没有. 9
对于在5上维护学生信息的机构或服务人员,000或更多的消费者, 要求其合格的个人定期或至少每年向董事会或董事会报告, 如果没有这样的董事会存在, 向负责该机构信息安全计划的高级官员(16 C.F.R. 314.4(i)).
9.1每年春天, 资讯科技署署长将与资讯及教育科技副署长一起检讨资讯保安计划. 政府统计处会检讨和强调文件的任何修订或更改. 这个讨论将在主管和副总裁每月的一对一例会中进行. 在本次会议结束时, 信息安全主管将提出建议,批准即将到来的财政年度的计划. 如果IIT副校长同意,该计划将在即将到来的财政年度得到批准.
9.经信息与教学技术部主席批准后, 信息安全总监安排并向AACC的总裁和副总裁(PVP)提供年度更新. 该演示包括关键的信息安全更新, 概述信息安全计划的任何变更, 共享关键指标, 并提出建议或更改. 如果PVP支持报告, 提交校董会的审计及财务委员会审议.
9.3. IIT副主席和ISD副主席向AACC主席和副主席(PVP)汇报工作。, 至少每年向董事会的审计和财务委员会汇报GLBA信息安全计划的状况.
豁免
没有一个
突发事件
没有一个
评审过程
资讯科技规定将每12个月或更早(如有需要)检讨一次. 指南和程序将每24个月或更早进行审查,如果需要的话.
指导方针标题: AACC信息安全计划遵从格拉姆-里奇-比利利法案(GLBA)
指导业主: 信息和教学技术副总裁
指导管理员: 资讯保安总监
联系信息: 约翰•威廉姆斯 jwwilliams6@salamzone.com
批准日期: 1月. 8, 2024
有效日期: 1月. 8, 2024
历史: 采用10月. 13, 2023
适用于: 教职员工和学生
相关政策: N/A
相关程序: N/A
相关指南: N/A
形式: N/A
相关法律: