توفر هذه السياسة التوقعات والإرشادات الخاصة بكلية مجتمع مقاطعة هدسون ("الكلية") لجميع الذين يستخدمون ويديرون خدمات وموارد تكنولوجيا المعلومات بالكلية ("موارد ITS").
توفر الكلية موارد ITS للنهوض بأهداف الكلية التعليمية والخدمية والتجارية ونجاح الطلاب. يعتبر أي وصول أو استخدام لموارد ITS بالكلية يتداخل أو يقاطع أو يتعارض مع هذه الأغراض انتهاكًا لهذه السياسة. سوف يخضعون لعواقب ، بما في ذلك إلغاء الوصول إلى أنظمة النقل الذكية.
تنطبق هذه السياسة على جميع أعضاء مجتمع الكلية ، بما في ذلك أعضاء هيئة التدريس والطلاب والإداريين والموظفين والخريجين والضيوف المعتمدين والمقاولين المستقلين الذين يستخدمون موارد ITS الخاصة بالكلية أو يصلون إليها أو يوظفونها ، محليًا أو عن بُعد ، سواءً كانت خاضعة للتحكم الفردي ، مشتركة أو قائمة بذاتها أو متصلة بالشبكة.
يفوض مجلس الإدارة الرئيس مسؤولية تطوير الإجراءات والمبادئ التوجيهية لتنفيذ هذه السياسة. سيكون مكتب خدمات تكنولوجيا المعلومات والشؤون المالية مسؤولاً عن تنفيذ السياسة.
المعتمد: يونيو 2021
باعتماد: مجلس الأمناء
التصنيف: خدمات تقنية المعلومات
مجدول للمراجعة: يونيو 2024
المكتب (المكاتب) المسؤولة: مكتب خدمات تكنولوجيا المعلومات والمالية
يهدف هذا الإجراء إلى ضمان استخدام أنظمة تقنية المعلومات بالكلية لتعزيز مهمة الكلية. يتوافق هذا الإجراء مع سياسة خدمات تكنولوجيا المعلومات الخاصة بـ HCCC التي وافق عليها مجلس أمناء HCCC.
ينطبق هذا الإجراء على جميع المستخدمين الفرديين الذين يصلون ويستخدمون موارد الحوسبة والشبكات والمعلومات من خلال أي منشأة بالكلية. يشمل هؤلاء المستخدمون جميع موظفي Hudson County Community College وأعضاء هيئة التدريس والمسؤولين وغيرهم من الأشخاص الذين تم تعيينهم أو الاحتفاظ بهم لأداء أعمال الكلية.
يغطي هذا الإجراء جميع أنظمة تقنية المعلومات بالكلية ، بما في ذلك الحوسبة والشبكات وغيرها من موارد تكنولوجيا المعلومات التي تمتلكها الكلية أو تشغلها أو تشتريها أو تتعاقد معها الكلية. تشمل هذه الموارد أنظمة الحوسبة والشبكات بالكلية (بما في ذلك تلك المتصلة بالبنية التحتية للاتصالات بالكلية ، والعمود الفقري على مستوى الكلية ، وشبكات المنطقة المحلية ، والإنترنت) ، ومواقع الوصول العام ، وأنظمة الكمبيوتر المشتركة ، وأجهزة الكمبيوتر المكتبية ، والأجهزة المحمولة ، وغيرها. أجهزة الكمبيوتر والبرامج وقواعد البيانات المخزنة على الشبكة أو التي يمكن الوصول إليها من خلالها ومنشآت تطبيقات أنظمة النقل الذكية / المؤسسة وأنظمة وخدمات الاتصالات.
يجب على كبير مسؤولي المعلومات (CIO) ومديري / مديري أنظمة النقل الذكية / تطبيقات المؤسسة تنفيذ هذا الإجراء. يجب توجيه تقارير المستخدم عن إساءة الاستخدام المشتبه بها والشكاوى الأخرى إلى مدير المعلومات. يجب على رئيس قسم المعلومات الإبلاغ عن الحادث إلى نائب الرئيس للأعمال والمالية / المدير المالي. يتم توضيح تفاصيل الإجراء أدناه تحت عنوان "عدم الامتثال والعقوبات".
تضع الكلية قيمة عالية على الخصوصية وتدرك أهميتها الحاسمة في البيئة الأكاديمية. في ظروف محدودة ، بما في ذلك على سبيل المثال لا الحصر المشكلات الفنية أو حالات الفشل أو طلبات إنفاذ القانون أو اللوائح الحكومية ، قد تحدد الكلية أن المصالح الأخرى تفوق قيمة توقعات خصوصية المستخدم. عندها فقط ستصل الكلية إلى أنظمة تكنولوجيا المعلومات ذات الصلة دون موافقة المستخدم. تلتزم الكلية بحماية خصوصية المستخدم طالما أن ذلك لا يضر بالموارد المؤسسية. تتم مناقشة الظروف التي قد تحتاج الكلية بموجبها للوصول أدناه. تم وضع الضمانات الإجرائية لضمان الوصول إلى الوصول فقط عندما يكون ذلك مناسبا.
الشروط - وفقًا لقانون الولاية والقانون الفيدرالي ، يجوز للكلية الوصول إلى جميع جوانب أنظمة تكنولوجيا المعلومات ، دون موافقة المستخدم ، في الحالات التالية:
بموجب قانون New Jersey Open Public Records Act ، تحتفظ الكلية بالحق في الوصول إلى البيانات والكشف عنها. قد يشمل هذا الكشف الرسائل والبيانات والملفات والنسخ الاحتياطي للبريد الإلكتروني أو الأرشيف. يجب أن يتم الإفصاح لسلطات إنفاذ القانون وغيرها على النحو الذي يقتضيه القانون ، للاستجابة للإجراءات القانونية ، والوفاء بالتزاماتها تجاه الأطراف الثالثة. حتى البريد الإلكتروني المحذوف يخضع للاكتشاف القانوني أثناء التقاضي من خلال أرشيفات الرسائل وأشرطة النسخ الاحتياطي وإلغاء حذف الرسائل.
طريقة عملنا - ستصل الكلية إلى البيانات دون موافقة المستخدم فقط بموافقة رئيس قسم المعلومات ونائب الرئيس للأعمال والشؤون المالية / المدير المالي. سيتم التحايل على هذه العملية فقط عندما يكون الوصول إلى بيانات الطوارئ ضروريًا للحفاظ على سلامة المرافق والحفاظ على الصحة العامة والسلامة. ستقوم الكلية ، من خلال CIO ، بتسجيل جميع حالات الوصول دون موافقة. سيتم إخطار المستخدم بوصول الكلية إلى أنظمة تكنولوجيا المعلومات ذات الصلة دون موافقة. اعتمادًا على الظروف ، سيحدث هذا الإخطار قبل أو أثناء أو بعد الوصول وفقًا لتقدير الكلية.
مبادئ عامة
حقوق المستخدمين
مسؤوليات المستخدمين
امتيازات محددة على استخدام الشبكة
شبكة ويب العالمية
عدم الامتثال والعقوبات
قد يؤدي عدم الامتثال لهذا الإجراء إلى رفض أو إزالة امتيازات الوصول إلى الأنظمة الإلكترونية للكلية، واتخاذ إجراءات تأديبية بموجب سياسات وإجراءات الكلية المعمول بها، والمسؤولية المدنية والتقاضي، والملاحقة الجنائية بموجب القوانين المحلية والفيدرالية والولائية المناسبة.
فيما يلي عملية التحقيق في الانتهاكات المشتبه بها وعدم الامتثال لهذا الإجراء:
المؤهلون للحسابات هم ما يلي:
تقوم ITS بإزالة الحسابات عندما:
كلمات السر
إجراء البريد الإلكتروني لكلية مجتمع مقاطعة هدسون
يتحمل الأفراد الذين لديهم إمكانية الوصول إلى أنظمة تكنولوجيا المعلومات بالكلية مسؤولية استخدامها بشكل مهني وأخلاقي وقانوني واتباع سياسات وإجراءات الكلية المعمول بها. يجب على المستخدمين الحفاظ على بيئة أكاديمية وبيئة عمل تساعد على تنفيذ مهمة الكلية بكفاءة وإنتاجية.
تُحظر الاتصالات الإلكترونية التي يكون معناها أو نقلها أو توزيعها غير قانوني أو غير أخلاقي أو احتيالي أو تشهيري أو مزعج أو غير مسؤول أو ينتهك سياسات أو إجراءات الكلية. يجب ألا تحتوي الاتصالات الإلكترونية على أي شيء لا يمكن نشره على لوحة الإعلانات ، أو مشاهدته من قبل مشاهدين غير مقصودين ، أو الظهور في منشور بالكلية. المواد التي يمكن اعتبارها غير ملائمة أو مسيئة أو غير محترمة للآخرين لا يجب إرسالها أو استلامها كاتصالات إلكترونية باستخدام مرافق الكلية. سيشرف كبير مسؤولي المعلومات على تنفيذ هذا الإجراء.
أ. الإجراءات التي تم اعتبارها انتهاكات لإجراء البريد الإلكتروني هي كما يلي:
يحق للكلية إزالة الوصول إلى الحسابات التي تبين أنها تنتهك هذا الإجراء.
ب. قواعد وضوابط البريد الإلكتروني:
وافق عليها مجلس الوزراء: يوليو 2021
سياسة مجلس الإدارة ذات الصلة: خدمات تقنية المعلومات
المُقدّمة
يهدف هذا الإجراء إلى ضمان الوصول إلى تكنولوجيا الحوسبة الحالية المطلوبة لتعزيز نجاح الطلاب والوفاء بمسؤوليات الموظف الوظيفية. يوفر هذا الإجراء الاستبدال المجدول لمكتب خدمات تكنولوجيا المعلومات (ITS) لأجهزة الكمبيوتر للموظفين والفصول الدراسية والمختبرات.
الهدف
الغرض من هذا الإجراء هو تعيين المعلمات والعملية لاستبدال أجهزة الكمبيوتر الشخصية. يستثني هذا الإجراء محطات العمل والمحطات الطرفية ذات الأغراض الفريدة للاستخدام مع البنية التحتية لسطح المكتب الظاهري (VDI).
مجال
يغطي هذا الإجراء أجهزة الكمبيوتر الشخصية التي يستخدمها أعضاء هيئة التدريس بدوام كامل، والموظفين بدوام كامل، والمختبرات، والفصول الدراسية. يجب التعامل مع أجهزة الكمبيوتر التي يتم شراؤها بموجب المنح أو للاستخدام المخصص بشكل منفصل وفقًا لمعايير المنح والغرض منها. لا تنطبق هذه السياسة على المعدات الطرفية، وهواتف المكاتب، والهواتف المحمولة، والطابعات، والماسحات الضوئية، ومعدات الصوت/الصورة، والخوادم، أو غيرها من المعدات المتعلقة بتكنولوجيا المعلومات. يتم استبدال هذه المعدات بواسطة ITS وفقًا للحاجة والحالة والموارد الميزانية بناءً على تحليلها وحكمها وعقود الدعم الخاصة بها.
منصات الأجهزة
في كل عام ، ستحدد الكلية المواصفات القياسية لأجهزة الكمبيوتر المكتبية والمحمولة بناءً على وظيفة الوظيفة لاحتواء التكاليف والصيانة ودعم الكفاءات. قامت ITS بتطوير معايير المعدات ، وراجعتها لجنة التكنولوجيا التابعة لمجلس الكلية ، واعتمدها رئيس قسم المعلومات ونائب الرئيس للشؤون المالية والأعمال / المدير المالي. نظرًا لأن أنظمة النقل الذكية تدعم جهازًا واحدًا لكل موظف ، فسيتم تخصيص كمبيوتر محمول ومحطة إرساء للمستخدمين بدلاً من كمبيوتر سطح المكتب. سيتم توفير أجهزة كمبيوتر سطح المكتب في المناطق التي سيتم فيها مشاركة استخدامها ، مثل مناطق الاستقبال والفصول الدراسية والمختبرات ومناطق العمل المساعدة أو دراسة العمل.
العملية
وافق عليه مجلس الوزراء: أبريل 2023
سياسة مجلس الإدارة ذات الصلة: خدمات تقنية المعلومات
يهدف هذا الإجراء إلى ضمان نجاح الفعاليات في جميع أنحاء الكلية والتي تستمر في تعزيز مهمة الكلية. يتوافق هذا الإجراء مع سياسة خدمات تكنولوجيا المعلومات في HCCC التي وافق عليها مجلس الأمناء.
ينطبق هذا الإجراء على جميع أعضاء هيئة التدريس والموظفين في الكلية الذين يقيمون فعاليات الكلية.
سيقوم نائب الرئيس المساعد لخدمات تكنولوجيا المعلومات ومسؤول المعلومات الرئيسي بتنفيذ هذا الإجراء بالتنسيق مع المدير التنفيذي للمرافق والعمليات والهندسة، والمدير التنفيذي للسلامة العامة والأمن، وقادة الكلية الآخرين.
نوع الحدث |
الوصف |
مختبر الحاسوب الأكاديمي | تتطلب خدمات مختبر الكمبيوتر، بما في ذلك دعم مساعد المختبر، إخطارًا مسبقًا بثلاثة أيام. ويمكن تقديم هذه الطلبات قبل 180 يومًا. |
خدمات إدارية | تتطلب الاجتماعات إشعارًا مسبقًا بيوم واحد. |
التعليم المستمر | تتطلب فعاليات ودورات التعليم المستمر وتنمية القوى العاملة إخطارًا مسبقًا بيوم واحد. يمكن تقديم هذه الطلبات قبل 180 يومًا. |
خدمات التسجيل / القبول | تتطلب خدمات التسجيل وفعاليات القبول إخطارًا مسبقًا بثلاثة أيام. ويمكن تقديم هذه الطلبات قبل 90 يومًا. |
خدمات الضيافة والتموين الأولوية 1 | تشمل الأحداث ذات الأولوية 1 الأحداث التي تقام على مستوى الحرم الجامعي، والمشاركين الخارجيين، والأحداث المعلن عنها، والأحداث على مستوى مجلس الوزراء. تتطلب هذه الطلبات إخطارًا مسبقًا قبل 30 يومًا ويمكن تقديمها قبل 180 يومًا. |
خدمات الضيافة والتموين الأولوية 2 | تتضمن الأحداث ذات الأولوية 2 الأحداث على مستوى القسم التي تضم أكثر من 50 مشاركًا والتي يتم تسجيلها والتي تتطلب إخطارًا قبل 14 يومًا. يمكن تقديم هذه الطلبات قبل 180 يومًا. |
خدمات الضيافة والتموين الأولوية 3 | تعتبر الأحداث ذات الأولوية 3 صغيرة وغير رسمية وتتطلب إخطارًا قبل ثلاثة أيام. يمكن تقديم هذه الطلبات قبل 180 يومًا. |
حدث الحرم الجامعي شمال هدسون | تتطلب البرامج والفعاليات التي تستضيفها الحرم الجامعي في نورث هدسون إخطارًا مسبقًا بثلاثة أيام. ويمكن تقديم هذه الطلبات قبل 180 يومًا. |
مساحات مكتبية في شمال هدسون | تتطلب الاجتماعات في حرم شمال هدسون إشعارًا قبل يوم واحد. |
مكتب المسجل | تتطلب البرامج والفعاليات في قاعات الشؤون الأكاديمية في Journal Square إخطارًا مسبقًا بيوم واحد. يمكن تقديم هذه الطلبات قبل 180 يومًا. |
كلية التمريض / المتحدث الضيف | تتطلب البرامج والفعاليات في مختبر الكمبيوتر F129 إخطارًا مسبقًا بيوم واحد. يمكن تقديم هذه الطلبات قبل 180 يومًا. |
حياة الطالب | تتطلب جميع الأحداث المتعلقة بالحياة الطلابية إخطارًا مسبقًا بيومين. يمكن تقديم هذه الطلبات قبل 180 يومًا. |
تمت الموافقة عليها من قبل مجلس الوزراء: ديسمبر 2024
سياسة مجلس الإدارة ذات الصلة: خدمات تقنية المعلومات
يحدد هذا الإجراء مالكي البيانات / نظام كلية مجتمع مقاطعة هدسون (HCCC). يشرف هؤلاء الأفراد على الوصول إلى أنظمة المعلومات التي تحتوي على بيانات حساسة ، مثل نظام Colleague ERP. الإشراف ضروري لحماية والحفاظ على سرية وسلامة وتوافر بيانات HCCC والامتثال لمعايير وأنظمة تكنولوجيا المعلومات المطبقة على HCCC.
يتمتع مالكو النظام / البيانات المعينون لأنظمة المعلومات الخاصة بكلية Hudson County Community College التي تحتوي على بيانات حساسة بصلاحية الموافقة على الأفراد والوصول إلى هذه الأنظمة.
تعيين مالكي النظام / البيانات
تم تعيين الموظفين التنفيذيين التالية أسماؤهم كمالكين للنظام / البيانات لأنظمة المعلومات التي تحتوي على بيانات حساسة.
نظام ERP للزملاء
وحدة الطالب
نائب رئيس الجامعة لشؤون الطلاب والقيد
وحدة مالية الطالب
نائب الرئيس للأعمال والمالية / المدير المالي
Financial Aid وحدة
عميد مشارك Financial Aid
وحدة الموارد البشرية
نائب الرئيس للموارد البشرية
نظام تصوير الوثائق
خدمات التسجيل والقبول ووثائق الإرشاد
نائب رئيس الجامعة لشؤون الطلاب والقيد
طالب Financial Aid الوثائق
عميد مشارك Financial Aid
المستندات المالية
نائب الرئيس للأعمال والمالية / المدير المالي
طلبات الوصول إلى نظم المعلومات التي تحتوي على بيانات حساسة
تُمنح طلبات الوصول إلى أنظمة المعلومات التي تحتوي على بيانات حساسة على أساس "الامتياز الأقل" ، مما يعني الوصول فقط إلى هذه المعلومات والأنظمة اللازمة لأداء واجبات العمل العادية للفرد.
يجب على الموظفين التنفيذيين المعينين كمالكين للنظام / البيانات أو المديرين المعينين في المجالات الوظيفية مراجعة طلبات الوصول إلى أنظمة المعلومات التي تحتوي على بيانات حساسة من الموظفين الخاضعين لسلطتهم الإدارية. يجب عليهم التحقق من منح المستخدمين حق الوصول على أساس "الامتياز الأقل" إلى الامتيازات الضرورية فقط لأداء واجبات العمل العادية. يجب عليهم الموافقة على الطلبات من خلال تقديم نموذج طلب الوصول إلى النظام الموجود على البوابة. إذا لم يكن الوصول له ما يبرره ، فسيتم رفض الطلب.
إزالة الوصول إلى نظم المعلومات التي تحتوي على بيانات حساسة
يجب على الموظفين التنفيذيين التأكد من قيام المشرفين بإخطار خدمات تكنولوجيا المعلومات (ITS) على الفور عندما لم يعد وصول المستخدم إلى نظام المعلومات مطلوبًا وعندما يجب تعديل وصول المستخدم بسبب تغيير في واجبات الموظف الأساسية.
سيتم إخطار ITS على الفور عن طريق مكالمة هاتفية ، متبوعة برسالة بريد إلكتروني إلى كبير مسؤولي المعلومات (CIO) ، عند إنهاء الموظف المتميز أو في حالة الإنهاء غير الطوعي للموظف. يجب إرسال عمليات الإنهاء الروتينية أو النقل إلى قسم آخر بالكلية أو التغييرات في الواجبات في غضون خمسة أيام عمل باستخدام نموذج طلب الوصول إلى النظام الموجود على البوابة.
مراجعة الوصول إلى نظم المعلومات التي تحتوي على بيانات حساسة
يجب إجراء مراجعة سنوية لجميع حسابات المستخدمين لأنظمة تكنولوجيا المعلومات الحساسة بواسطة ITS لتقييم الحاجة المستمرة للحسابات ومستوى الوصول المرتبط بها.
المسؤوليات
يجب أن يتحمل كبير مسؤولي المعلومات المسؤولية الكاملة عن تطوير الإجراءات الفنية المتوافقة مع هذا الإجراء والحفاظ عليها ، ويجب أن يمتثل للمعايير المعمول بها في كلية مجتمع مقاطعة هدسون.
يصف الملحق أ موقع النموذج لطلب الوصول إلى أنظمة معلومات الكلية.
التعريفات
البيانات - يتضمن أي معلومات ضمن اختصاص HCCC ، بما في ذلك بيانات سجل الطالب ، وبيانات الموظفين ، والبيانات المالية (الميزانية وكشوف المرتبات) ، وبيانات حياة الطالب ، وبيانات الإدارة الإدارية ، والملفات القانونية ، وبيانات البحث المؤسسي ، وبيانات الملكية ، وجميع البيانات الأخرى التي تتعلق أو تدعم إدارة الكلية.
نظام معلومات - يشمل إجمالي مكونات وعمليات عملية حفظ السجلات ، بما في ذلك المعلومات التي تم جمعها أو إدارتها باستخدام شبكات الكمبيوتر والإنترنت ، سواء كانت آلية أو يدوية ، تحتوي على معلومات شخصية واسم موضوع البيانات أو رقمه الشخصي أو أي تفاصيل تعريفية أخرى لموضوع البيانات.
بيانات حساسة - يتضمن أي معلومات يمكن أن تؤثر سلبًا على مصالح الكلية ، أو إدارة برامج الوكالة ، أو الخصوصية التي يحق للأفراد الحصول عليها في حالة تعرضهم للخطر في السرية أو النزاهة أو التوافر. يتم تصنيف البيانات على أنها حساسة إذا أدى اختراق هذه البيانات إلى تأثير سلبي جوهري وهام على مصالح الكلية ، أو عدم قدرة الوكالة المتأثرة على القيام بأعمالها ، أو خرق توقعات الخصوصية ، أو كان مطلوبًا بموجب القانون أن تظل سرية.
الخارق - هو موظف لديه لوحة تسجيل أو وصول ذو امتياز مرتفع ؛ على سبيل المثال ، مسؤول الأمن.
مراجع حسابات
مراجعة الدورية والمسؤولية
يجب على كبير موظفي المعلومات مراجعة هذا الإجراء سنويًا ، وإذا لزم الأمر ، يوصي بالمراجعات.
الملحق أ"
نماذج طلب الوصول إلى النظام:
وصول الزميل
https://myhudson.hccc.edu/ellucian
طلب إنشاء حساب أو تعطيل الطلب
وافق عليها مجلس الوزراء: يوليو 2021
سياسة مجلس الإدارة ذات الصلة: ITS
المُقدّمة
الغرض من تطوير وتنفيذ إجراء خطة أمن المعلومات الشاملة ("الخطة") هو إنشاء ضمانات إدارية وتقنية ومادية فعالة لحماية "المعلومات الشخصية" للطلاب المحتملين والمتقدمين والطلاب والموظفين والخريجين ، وأصدقاء كلية مجتمع مقاطعة هدسون ، والامتثال لالتزاماتنا بموجب لائحة ولاية نيو جيرسي 201 CMR 17.00. تحدد الخطة إجراءاتنا لتقييم أساليبنا الإلكترونية والفيزيائية للوصول إلى "المعلومات الشخصية" الخاصة بمكونات الكلية وجمعها وتخزينها واستخدامها ونقلها وحمايتها.
لأغراض هذه الخطة ، يتم تعريف "المعلومات الشخصية" على أنها الاسم الأول للشخص واسم العائلة ، أو الاسم الأول والأخير الأول ، جنبًا إلى جنب مع أي عنصر أو أكثر من عناصر البيانات التالية التي تتعلق بهذا المقيم: (أ) الاجتماعية رقم سرى؛ (ب) رقم رخصة القيادة أو رقم بطاقة الهوية الصادر من الدولة ؛ أو (ج) رقم الحساب المالي أو رقم بطاقة الائتمان أو الخصم ، مع أو بدون أي رمز أمان مطلوب أو رمز وصول أو رقم تعريف شخصي أو كلمة مرور من شأنها أن تسمح بالوصول إلى الحساب المالي للمقيم حيث تكون كلية مجتمع مقاطعة هدسون هي الوصي على تلك البيانات ؛ شريطة ، مع ذلك ، أن "المعلومات الشخصية" يجب ألا تتضمن المعلومات التي تم الحصول عليها بشكل قانوني من المعلومات المتاحة للجمهور ، أو من السجلات الحكومية الفيدرالية أو الحكومية أو المحلية المتاحة بشكل قانوني لعامة الناس.
الهدف
الغرض من هذه الخطة هو:
مجال
عند صياغة الخطة وتنفيذها ، ستقوم المؤسسة بما يلي: (1) تحديد المخاطر الداخلية والخارجية التي يمكن توقعها بشكل معقول على أمن وسرية وسلامة أي سجلات إلكترونية أو ورقية أو غيرها من السجلات التي تحتوي على معلومات شخصية ؛ (2) تقييم الاحتمالية والأضرار المحتملة لهذه التهديدات ، مع مراعاة حساسية المعلومات الشخصية ؛ (3) تقييم مدى كفاية السياسات والممارسات والإجراءات وأنظمة المعلومات والضمانات الأخرى القائمة للسيطرة على المخاطر ؛ (4) تصميم وتنفيذ خطة تضع الضمانات في مكانها الصحيح لتقليل تلك المخاطر ، بما يتفق مع متطلبات 201 CMR 17.00 ؛ و (5) مراقبة الخطة بانتظام.
منسق أمن البيانات
عينت HCCC كبير مسؤولي المعلومات (CIO) ونائب الرئيس للأعمال والمالية / المدير المالي لتنفيذ الخطة والإشراف عليها وصيانتها. سيكون رئيس قسم المعلومات ونائب الرئيس للأعمال والمالية / المدير المالي مسؤولين عن:
المخاطر الداخلية
لمكافحة المخاطر الداخلية على أمن وسرية وسلامة أي سجلات إلكترونية أو ورقية أو غيرها من السجلات التي تحتوي على معلومات شخصية ، ومن أجل تقييم وتحسين ، عند الضرورة ، فعالية الضمانات الحالية للحد من هذه المخاطر ، التدابير التالية إلزامية وفعالة على الفور:
الإجراءات الإدارية
تدابير فيزيائية
التدابير الفنية
المخاطر الخارجية
أ) هناك جدار حماية محدث بشكل معقول وتصحيحات أمان لنظام التشغيل مصممة بشكل معقول للحفاظ على سلامة المعلومات الشخصية المثبتة على الأنظمة التي تحتوي على معلومات شخصية.
ب) هناك إصدارات محدثة بشكل معقول من برنامج وكيل أمان النظام والتي تتضمن الحماية من البرامج الضارة ، وتصحيحات محدثة بشكل معقول وتعريفات الفيروسات المثبتة على الأنظمة التي تعالج المعلومات الشخصية.
ج) عند تخزينها على مشاركات شبكة HCCC ، يجب تشفير الملفات التي تحتوي على معلومات شخصية. لا يسمح HCCC بتخزين المعلومات الشخصية على أجهزة الكمبيوتر المحمولة أو أجهزة الكمبيوتر أو أجهزة USB أو الوسائط المحمولة الأخرى. ستقوم HCCC بنشر برنامج تشفير للامتثال لهذا الهدف.
د) يجب إرسال أي معلومات شخصية يتم إرسالها إلكترونيًا إلى البائعين الخارجيين عبر خدمة البائع المشفرة أو من خلال خدمة التشفير المعينة من قبل HCCC لنقلها بشكل آمن.
ه) سيحتاج جميع مزودي الخدمة الجدد الذين يقومون بتخزين المعلومات الشخصية الخاصة بـ HCCC في شكل إلكتروني إلى إظهار التدابير الأمنية بشكل مناسب من خلال EDUCAUSE HECVAT أو أداة مماثلة. يجب أيضًا اعتماد هؤلاء البائعين من قبل نائب رئيس HCCC للشؤون المالية والأعمال / المدير المالي.
و) يجب على موظفي الموارد البشرية وخدمات تكنولوجيا المعلومات اتباع الإجراءات الموضحة في إجراءات الاستخدام المقبول الخاصة بـ HCCC لأنظمة تكنولوجيا المعلومات المتعلقة بإنشاء أو نقل أو إنهاء الحسابات ، إلى جانب سياسات تخزين كلمات المرور والأمان المستند إلى الدور.
ز) سيتم التخلص من جميع المعلومات الشخصية التالية HCCC Policies and Procedures.
ح) حسب ما تسمح به الموارد والميزانية ، ستقوم HCCC بتنفيذ التكنولوجيا التي ستسمح للكلية بمراقبة قواعد البيانات للاستخدام غير المصرح به أو الوصول إلى المعلومات الشخصية ، واستخدام بروتوكولات المصادقة الآمنة وإجراءات التحكم في الوصول وفقًا لإجراءات HCCC.
وافق عليها مجلس الوزراء: يوليو 2021
سياسة مجلس الإدارة ذات الصلة: خدمات تقنية المعلومات
ترشد هذه الخطة كيفية الاستجابة لحوادث أمن المعلومات في كلية مجتمع مقاطعة هدسون (HCCC). تحدد الخطة أدوار ومسؤوليات فريق الاستجابة لحوادث HCCC والخطوات الواجب اتخاذها في حالة وقوع حادث. تهدف خطة الاستجابة لحوادث أمن المعلومات (ISIRP) إلى تقليل تأثير الحادث ، والحفاظ على الأدلة لأغراض التحقيق ، واستعادة العمليات العادية في أسرع وقت ممكن.
حادث: حدث يؤدي إلى فقدان السرية أو السلامة أو توافر المعلومات أو أنظمة المعلومات.
استجابة: الإجراءات التي يتم اتخاذها للتخفيف من تأثير الحادث واستعادة الأنظمة والبيانات المتأثرة إلى حالتها الطبيعية.
فريق الاستجابة للحوادث (IRT): فريق الاستجابة للحوادث (IRT) هو المسؤول عن تنفيذ ISIRP. يتكون IRT من ممثلين من الإدارات ذات الصلة ، بما في ذلك على سبيل المثال لا الحصر خدمات تكنولوجيا المعلومات (ITS) ، والمالية (إدارة المخاطر) ، والمستشار القانوني ، والموارد البشرية ، والاتصالات. إن IRT مسؤول عن تنسيق الاستجابة لحادث ما والتأكد من توفر جميع الموارد اللازمة.
IRT مسؤول عما يلي:
يجب إبلاغ أنظمة النقل الذكية على الفور بجميع حوادث أمن المعلومات المشتبه بها أو المؤكدة. ستقوم أنظمة النقل الذكية (ITS) بعد ذلك بتقييم الحادث وتحديد ما إذا كان حادثًا أمنيًا. ستقوم أنظمة النقل الذكية بتصعيد الحادث إلى IRT إذا كان حادثًا أمنيًا.
سيصنف IRT الحادث بناءً على شدته وتأثيره. الفئات هي كما يلي:
الفئة 1: حادث بسيط - ليس له تأثير كبير على الكلية أو عملياتها.
الفئة 2: حادث معتدل - تأثير محدود على الكلية أو عملياتها.
الفئة 3: حادث كبير - تأثير كبير على الكلية أو عملياتها.
الفئة 4: حادث خطير - أثر خطير على الكلية أو عملياتها.
سيتبع IRT الخطوات التالية للرد على أي حادث:
الفئة 1: لا يوجد رد رسمي مطلوب.
الفئة 2: سيحقق فريق IRT في الحادث ويتخذ الإجراء المناسب لاحتواء الحادث والتخفيف منه.
الفئة 3: سيقوم فريق IRT بالتنسيق مع الإدارات ذات الصلة والموارد الخارجية ، مثل خبراء إنفاذ القانون والأمن السيبراني ، للتحقيق في الحادث واتخاذ الإجراءات المناسبة لاحتواء الحادث والتخفيف من حدته.
الفئة 4: سيقوم فريق IRT بتنفيذ خطة إدارة الطوارئ الخاصة بـ HCCC ، والتي تحدد الخطوات التي يجب اتباعها أثناء الأزمات الكبيرة.
سيتبع IRT هذه الخطوات في حالة وقوع حادث:
سيستخدم فريق IRT الأدوات والموارد التالية للاستجابة للحوادث:
سيختبر فريق IRT الإجراءات والأدوات الموجودة ويتدرب عليها بانتظام.
سيتواصل فريق IRT مع أصحاب المصلحة التاليين في حالة وقوع حادث:
سوف يقوم فريق IRT بتوثيق جميع جوانب الحادث ، بما في ذلك على سبيل المثال لا الحصر نوع الحادثة وشدتها وتأثيرها والاستجابة لها وحلها. سيتم تخزين الوثائق بشكل آمن ويمكن الوصول إليها فقط للأفراد المصرح لهم.
سيقوم IRT بجمع وتحليل المقاييس التالية المتعلقة بالحوادث:
سيقدم نائب الرئيس المساعد للتكنولوجيا ورئيس قسم المعلومات تقريرًا عن هذه المقاييس إلى مجلس أمناء HCCC.
سيقوم AVP CIO بمراجعة ISIRP سنويًا وتحديثه ليعكس المشهد الأمني المتغير واحتياجات HCCC المتطورة.
وافق عليها مجلس الوزراء: مايو 2023
سياسة مجلس الإدارة ذات الصلة: خدمات تقنية المعلومات
وافق عليه مجلس الوزراء في مارس 2024
السياسة المرتبطة: أنظمة النقل الذكية
Tتهدف خطة إدارة مخاطر البائعين الخاصة به إلى إنشاء إطار عمل لإدارة وتخفيف المخاطر المرتبطة بباعة الجهات الخارجية في كلية مجتمع مقاطعة هدسون. يحدد الإجراء العمليات والإجراءات لتقييم البائعين والاختيار والمراقبة المستمرة لضمان أمان علاقات البائعين وامتثالها وموثوقيتها. يركز الإجراء بشكل أساسي على جمع ومراجعة المعلومات حول ملاءمة البائع وأمانه وتقييم الشروط والأحكام ولغة العقد أثناء توقيع العقد الأولي وتجديده.
وافق عليها مجلس الوزراء: مايو 2023
سياسة مجلس الإدارة ذات الصلة: خدمات تقنية المعلومات
العودة إلى Policies and Procedures