I. 目的
《推荐全球十大博彩公司排行榜》(GLB)于1999年颁布,影响所有金融机构. 作为金融贷款和校友流程的一部分,学院和大学属于GLB. GLB金融隐私规则要求金融机构提供隐私 建立消费者关系时通知,此后每年通知一次. 它定义了对非公开个人信息(NPI)的保护. 它还要求 机构要实施彻底的行政、技术和物质保障 防止任何对安全或完整性的预期威胁或危害 这些信息.
II. 范围
本政策适用于所有收集、存取、维护、分发、处理、 保护、存储、使用、传输、处置或以其他方式处理“涵盖信息”. 这些办公室具体包括但不限于信息技术部门 服务(ITS),学生金融服务,注册办公室,财务办公室,宿舍 生活、业务运作、校友关系及人力资源(“涵盖办事处”).
3. 定义
A “客户是指任何个人(学生、家长、教师、员工或其他第三方) (大学相互作用)谁从大学获得金融服务和 在接受这项服务的过程中,为大学提供了敏感的, 关于自己的非公开的个人信息.
“覆盖信息是敏感的,非公开的,个人身份信息包括,但可以 不限于,个人姓名与以下任何一项一起:
- 社会保险号
- 信用卡信息
- 收入和信用记录
- 银行账户信息
- 纳税申报表
- 资产声明
承保信息包括纸质和电子记录.
A "金融服务是由联邦法律定义的,包括但不限于下列活动 the lending of money; investing for others; providing or underwriting insurance; giving financial, investment or economic advisory 服务; marketing securities 和 the 就像.
IV. 政策 & 过程
该计划的目标如下:
- 确保员工只能访问大学所需的相关数据 业务;
- 确保客户记录和信息的安全性和保密性;
- 保护和防止未经授权的访问个人身份的财务 大学保存的纪录及资料;
- 遵守大学现行的政策、标准、指引及程序; 和
- 遵守适用的联邦、州和地方法规.
资讯安全计划协调员
主管是负责协调和监督本政策的指定员工 行政 & 企业服务部或其指定人员(“信息安全 计划协调员”或“协调员”). 协调员负责所有相关领域的工作 1)识别合理可预见的内外部风险 2)评估所涵盖信息的安全性、保密性和完整性 当前控制这些风险的保障措施的有效性,3)设计 并实施保障计划,4)对员工实施培训计划 谁有权访问覆盖信息,5)监督服务提供商和合同 6)定期评估和调整安全计划.
协调员,在运营助理副总裁的指导下 & 合规, 是否可以成立一个格雷姆-里奇-比利利工作委员会与协调员一起工作 执行政策的各项内容. 协调员也可指定其他大学 官员监督和协调政策的具体内容. 所有评论 询问学校的格雷姆-里奇-比利利政策应该通过电子邮件发送 给协调员 杰拉尔德.korea@svztur.com.
风险评估
协调员向所涉办事处提供指导,以确定和评估内部 以及涉及信息的安全性、保密性和完整性的外部风险 这可能导致未经授权的访问,披露,滥用,更改,销毁 或以其他方式泄露该等信息
每个承保办事处负责按照规定确保承保信息的安全 有了这个政策. 受保办事处必须开发和记录自己的信息 所涵盖资料的保障措施. 这种评估和评价的范围可以 包括但不限于员工(包括学生)的管理和培训 employees) 和 volunteers; information systems (including network 和 software design, 以及信息的处理、存储、传输和处理,兼备纸张 和 electronic records); procedures for detecting, preventing 和 responding to attacks, 入侵或其他系统故障(包括数据处理和电话通信); 以及应急计划和业务连续性.
员工培训
每个承保办事处对其雇员进行有关政策和程序的培训和教育 保障所涵盖的资料. 协调员,还有风险办公室 & 合规管理,帮助各办事处制定评估程序 有关员工培训的程序和做法的有效性.
信息系统
协调员或其指定人员制定评估承保风险的程序 与大学信息系统相关的信息包括网络 以及软件设计,以及信息的处理、存储、传输、检索、 及有关资料的处理. 这项评估包括对该大学的 资讯科技实务及程序. 此外,协调器进行评估 监视与潜在信息安全威胁相关的程序 软件系统和更新这样的系统,除其他事项外,实施 为处理安全漏洞而设计的补丁或其他软件修复程序.
纸质记录的物理安全
承保办事处应制定和维持程序,合理地保证 纸质记录的安全,包括与大学记录有关的指导方针 保留和处置政策. 定期对这些程序进行物理评估 应进行纸质记录.
管理系统故障
大学维护系统,以防止,检测和响应攻击,入侵, 以及其他系统故障. 协调员,或他/她指定的人,维护的计划 detecting, preventing 和 responding to attacks or other system failures; 和 reviews 网络访问有安全策略和程序,以及相应的协议 网络攻击和入侵.
设计和实施保障措施
本文所述的风险评估和分析应适用于所有处理方法 或以电子、纸张或其他形式处置被掩盖的信息. 协调人应定期实施防范措施,控制风险 通过这样的评估确定,并定期测试或以其他方式监测 这些保障措施的有效性. 监测的水平将是适当的基础 所识别的风险的潜在影响和可能性,以及风险 所提供信息的敏感性.
服务供应商及合约
大学可能会不时与第三方共享涵盖信息 在正常的业务过程中. 这些活动可能包括收债活动、 传送文件、销毁文件或设备,或其他类似行为 服务. 所有合同必须包括针对第三方的条款 Bliley合规.
协调者与负责第三方服务采购的人员一起工作 活动和覆盖办事处,以提高认识,并制定方法 只选择和保留那些有能力维护适当的 所涵盖资料的保障措施.
V.异常
本政策的任何例外情况均应由信息安全部门审查和批准 计划协调员与风险办公室协商 & 合规管理, 根据需要.
V. 责任
信息安全计划协调员负责实施这些规定 这个政策.
有权访问涵盖信息的员工必须遵守大学政策和 管理“承保信息”的程序,以及任何其他做法或程序 在他们的单位建立.
VI. 交叉引用
该策略由以下政策、程序和/或指导方针支持.
- 帐户创建和删除策略 (.pdf)
- 可接受使用政策
- 电脑 & 电子资源政策
- 电子邮件策略
- 安全策略 (.pdf)
- 文档保留 & 毁灭的政策
- 健康保险流通与责任法案政策
7. 资源
生效日期:2018年6月1日|更新日期:2020年6月1日