سياسة خدمات تكنولوجيا المعلومات

 

PURPOSE

توفر هذه السياسة التوقعات والإرشادات الخاصة بكلية مجتمع مقاطعة هدسون ("الكلية") لجميع الذين يستخدمون ويديرون خدمات وموارد تكنولوجيا المعلومات بالكلية ("موارد ITS").

توفر الكلية موارد ITS للنهوض بأهداف الكلية التعليمية والخدمية والتجارية ونجاح الطلاب. يعتبر أي وصول أو استخدام لموارد ITS بالكلية يتداخل أو يقاطع أو يتعارض مع هذه الأغراض انتهاكًا لهذه السياسة. سوف يخضعون لعواقب ، بما في ذلك إلغاء الوصول إلى أنظمة النقل الذكية.

سياسة

تنطبق هذه السياسة على جميع أعضاء مجتمع الكلية ، بما في ذلك أعضاء هيئة التدريس والطلاب والإداريين والموظفين والخريجين والضيوف المعتمدين والمقاولين المستقلين الذين يستخدمون موارد ITS الخاصة بالكلية أو يصلون إليها أو يوظفونها ، محليًا أو عن بُعد ، سواءً كانت خاضعة للتحكم الفردي ، مشتركة أو قائمة بذاتها أو متصلة بالشبكة.

يفوض مجلس الإدارة الرئيس مسؤولية تطوير الإجراءات والمبادئ التوجيهية لتنفيذ هذه السياسة. سيكون مكتب خدمات تكنولوجيا المعلومات والشؤون المالية مسؤولاً عن تنفيذ السياسة.

المعتمد: يونيو 2021
باعتماد: مجلس الأمناء
التصنيف: خدمات تقنية المعلومات
مجدول للمراجعة: يونيو 2024
المكتب (المكاتب) المسؤولة: مكتب خدمات تكنولوجيا المعلومات والمالية

 

الإجراءات

الاستخدام المقبول لإجراء نظم تقنية المعلومات

المُقدّمة

يهدف هذا الإجراء إلى ضمان استخدام أنظمة تقنية المعلومات بالكلية لتعزيز مهمة الكلية. يتوافق هذا الإجراء مع سياسة خدمات تكنولوجيا المعلومات الخاصة بـ HCCC التي وافق عليها مجلس أمناء HCCC.

القابلية للتطبيق

ينطبق هذا الإجراء على جميع المستخدمين الفرديين الذين يصلون ويستخدمون موارد الحوسبة والشبكات والمعلومات من خلال أي منشأة بالكلية. يشمل هؤلاء المستخدمون جميع موظفي Hudson County Community College وأعضاء هيئة التدريس والمسؤولين وغيرهم من الأشخاص الذين تم تعيينهم أو الاحتفاظ بهم لأداء أعمال الكلية.

يغطي هذا الإجراء جميع أنظمة تقنية المعلومات بالكلية ، بما في ذلك الحوسبة والشبكات وغيرها من موارد تكنولوجيا المعلومات التي تمتلكها الكلية أو تشغلها أو تشتريها أو تتعاقد معها الكلية. تشمل هذه الموارد أنظمة الحوسبة والشبكات بالكلية (بما في ذلك تلك المتصلة بالبنية التحتية للاتصالات بالكلية ، والعمود الفقري على مستوى الكلية ، وشبكات المنطقة المحلية ، والإنترنت) ، ومواقع الوصول العام ، وأنظمة الكمبيوتر المشتركة ، وأجهزة الكمبيوتر المكتبية ، والأجهزة المحمولة ، وغيرها. أجهزة الكمبيوتر والبرامج وقواعد البيانات المخزنة على الشبكة أو التي يمكن الوصول إليها من خلالها ومنشآت تطبيقات أنظمة النقل الذكية / المؤسسة وأنظمة وخدمات الاتصالات.

المساءلة

يجب على كبير مسؤولي المعلومات (CIO) ومديري / مديري أنظمة النقل الذكية / تطبيقات المؤسسة تنفيذ هذا الإجراء. يجب توجيه تقارير المستخدم عن إساءة الاستخدام المشتبه بها والشكاوى الأخرى إلى مدير المعلومات. يجب على رئيس قسم المعلومات الإبلاغ عن الحادث إلى نائب الرئيس للأعمال والمالية / المدير المالي. يتم توضيح تفاصيل الإجراء أدناه تحت عنوان "عدم الامتثال والعقوبات".

سياسة

تضع الكلية قيمة عالية على الخصوصية وتدرك أهميتها الحاسمة في البيئة الأكاديمية. في ظروف محدودة ، بما في ذلك على سبيل المثال لا الحصر المشكلات الفنية أو حالات الفشل أو طلبات إنفاذ القانون أو اللوائح الحكومية ، قد تحدد الكلية أن المصالح الأخرى تفوق قيمة توقعات خصوصية المستخدم. عندها فقط ستصل الكلية إلى أنظمة تكنولوجيا المعلومات ذات الصلة دون موافقة المستخدم. تلتزم الكلية بحماية خصوصية المستخدم طالما أن ذلك لا يضر بالموارد المؤسسية. تتم مناقشة الظروف التي قد تحتاج الكلية بموجبها للوصول أدناه. تم وضع الضمانات الإجرائية لضمان الوصول إلى الوصول فقط عندما يكون ذلك مناسبا.

الشروط - وفقًا لقانون الولاية والقانون الفيدرالي ، يجوز للكلية الوصول إلى جميع جوانب أنظمة تكنولوجيا المعلومات ، دون موافقة المستخدم ، في الحالات التالية:

      1. عند الضرورة لتحديد أو تشخيص الأنظمة أو نقاط الضعف والمشاكل الأمنية ، أو الحفاظ على سلامة أنظمة تكنولوجيا المعلومات بالكلية ؛
      2. عندما يقتضي ذلك القانون الفيدرالي أو الخاص بالولاية أو المحلي أو القواعد الإدارية ؛ 
      3. عندما تكون هناك أسباب معقولة للاعتقاد بأن انتهاكًا للقانون أو خرقًا كبيرًا لسياسة أو إجراء الكلية قد يكون قد حدث ، وقد ينتج عن الوصول والتفتيش أو المراقبة أدلة تتعلق بسوء السلوك ؛
      4. عندما يكون هذا الوصول إلى أنظمة تطبيقات تكنولوجيا المعلومات / المؤسسة مطلوبًا لتنفيذ وظائف الأعمال الأساسية للكلية ؛ و،
      5. عند الاقتضاء للحفاظ على الصحة والسلامة العامة.

بموجب قانون New Jersey Open Public Records Act ، تحتفظ الكلية بالحق في الوصول إلى البيانات والكشف عنها. قد يشمل هذا الكشف الرسائل والبيانات والملفات والنسخ الاحتياطي للبريد الإلكتروني أو الأرشيف. يجب أن يتم الإفصاح لسلطات إنفاذ القانون وغيرها على النحو الذي يقتضيه القانون ، للاستجابة للإجراءات القانونية ، والوفاء بالتزاماتها تجاه الأطراف الثالثة. حتى البريد الإلكتروني المحذوف يخضع للاكتشاف القانوني أثناء التقاضي من خلال أرشيفات الرسائل وأشرطة النسخ الاحتياطي وإلغاء حذف الرسائل.

طريقة عملنا - ستصل الكلية إلى البيانات دون موافقة المستخدم فقط بموافقة رئيس قسم المعلومات ونائب الرئيس للأعمال والشؤون المالية / المدير المالي. سيتم التحايل على هذه العملية فقط عندما يكون الوصول إلى بيانات الطوارئ ضروريًا للحفاظ على سلامة المرافق والحفاظ على الصحة العامة والسلامة. ستقوم الكلية ، من خلال CIO ، بتسجيل جميع حالات الوصول دون موافقة. سيتم إخطار المستخدم بوصول الكلية إلى أنظمة تكنولوجيا المعلومات ذات الصلة دون موافقة. اعتمادًا على الظروف ، سيحدث هذا الإخطار قبل أو أثناء أو بعد الوصول وفقًا لتقدير الكلية.

مبادئ عامة

  1. يعد الوصول إلى تكنولوجيا المعلومات أمرًا حيويًا لمهمة الكلية المتمثلة في تزويد طلابها بأعلى جودة من الخدمات التعليمية.
  2. تمتلك الكلية أنظمة الحوسبة والشبكات وأنظمة الاتصالات الأخرى.
  3. تتمتع الكلية أيضًا بالعديد من الحقوق المتعلقة بالترخيص للبرامج والمعلومات الموجودة أو المطورة على أجهزة الكمبيوتر والشبكات هذه. تقع على عاتق الكلية مسؤولية أمن وسلامة وصيانة وسرية أنظمة الاتصال الخاصة بها.
  4. توجد أنظمة تكنولوجيا المعلومات بالكلية لدعم الموظفين وأعضاء هيئة التدريس والإداريين والاستشاريين والطلاب أثناء قيامهم بمهمة الكلية. لتحقيق هذه الغايات ، تشجع الكلية وتعزز استخدام مجتمع الكلية لهذه الموارد للأغراض المقصودة منها. يخضع الوصول إلى هذه الموارد واستخدامها خارج مهمة الكلية للتنظيم والقيود لضمان عدم تعارضها مع العمل المشروع. يُحظر الوصول إلى الموارد والخدمات التي تتعارض مع رسالة الكلية وأهدافها واستخدامها.
  5. عندما يتجاوز الطلب على موارد تكنولوجيا المعلومات القدرة المتاحة ، تحدد أنظمة النقل الذكية الأولويات لتخصيص الموارد. تعطي أنظمة النقل الذكية أولوية أعلى للأنشطة الأساسية لمهمة الكلية. بالاشتراك مع رئيس قسم المعلومات ، يجب على نواب الرئيس التوصية بهذه الأولويات إلى الرئيس.
  6. تتمتع الكلية بصلاحية التحكم أو رفض الوصول إلى أي شخص ينتهك هذا الإجراء. يعد تهديد حقوق المستخدمين الآخرين وتوافر وسلامة الأنظمة والمعلومات انتهاكًا لهذا الإجراء. تشمل عواقب انتهاك الإجراء إلغاء تنشيط الحسابات أو رموز الوصول أو التصاريح الأمنية ووقف العمليات وحذف الملفات المتأثرة وتعطيل الوصول إلى موارد تكنولوجيا المعلومات.

حقوق المستخدمين

  1. الخصوصية والسرية: كما هو موضح بشكل كامل في القسم الرابع (أعلاه) ، ستحترم الكلية بشكل عام حقوق المستخدمين في الخصوصية والسرية. ومع ذلك ، بطبيعتها التكنولوجية ، قد لا تكون الاتصالات الإلكترونية ، وخاصة البريد الإلكتروني المتصل بالإنترنت ، آمنة من الوصول أو المشاهدة أو الانتهاك غير المصرح به. على الرغم من أن الكلية تستخدم تقنيات لتأمين الرسائل الإلكترونية ، إلا أنه لا يمكن دائمًا ضمان سرية البريد الإلكتروني والوثائق الإلكترونية الأخرى. لذلك ، فإن الحكم السليم يفرض صياغة مستندات إلكترونية قد تصبح علنية دون إحراج أو ضرر.
  2. السلامة: يعد استخدام أعضاء هيئة التدريس أو الموظفين أو المسؤولين في الكلية لأنظمة تكنولوجيا المعلومات بالكلية لنقل اتصالات تهديدية أو مضايقة أو مسيئة (أو عرض صور أو مواد مسيئة) انتهاكًا لإجراءات الكلية وقد يعرض المخالف لعقوبة شديدة . يجب على موظفي الكلية الإبلاغ عن اتصالات التهديد أو المضايقة أو الهجومية التي يتم تلقيها عبر الشبكة إلى مدير المعلومات في أسرع وقت ممكن.

مسؤوليات المستخدمين

  1. يتحمل الأفراد الذين يتمتعون بإمكانية الوصول إلى موارد الحوسبة والشبكات والمعلومات الخاصة بالكلية مسؤولية استخدامها بشكل مهني وأخلاقي وقانوني ومتسق مع جميع سياسات الكلية المعمول بها. يجب على المستخدمين اتخاذ التدابير المعقولة والضرورية لحماية السلامة التشغيلية وإمكانية الوصول إلى أنظمة الكلية. يجب على المستخدمين الحفاظ على بيئة أكاديمية وبيئة عمل تساعد على تنفيذ مهمة الكلية بكفاءة وإنتاجية. على وجه التحديد ، تشمل مسؤوليات المستخدمين ما يلي:
      1. احترام حقوق الآخرين ، بما في ذلك حقوقهم في الملكية الفكرية والخصوصية وعدم التعرض للمضايقة.
      2. حماية سرية معلومات الكلية الحساسة وخصوصية معلومات الطلاب باتباع سياسة وإجراءات FERPA والكلية ؛
      3. استخدام الأنظمة والموارد حتى لا تتداخل مع العمليات اليومية العادية للكلية أو تعطلها ؛
      4. حماية أمن وسلامة المعلومات المخزنة في College IT / Enterprise Applications Systems ؛
      5. معرفة وتنفيذ سياسات وإجراءات الكلية والوحدة المحددة التي تحكم الوصول إلى أنظمة تكنولوجيا المعلومات في الكلية واستخدامها والمعلومات الموجودة على تلك الأنظمة.

امتيازات محددة على استخدام الشبكة

  1. لا يجوز للأفراد مشاركة كلمات المرور أو معرفات تسجيل الدخول أو منح الآخرين إمكانية الوصول إلى أي نظام لا يكونون هم المسؤولون عنه عن البيانات أو النظام. يتحمل المستخدمون مسؤولية أي نشاط يتم إجراؤه باستخدام حسابات أجهزة الكمبيوتر الخاصة بهم وأمان كلمات المرور الخاصة بهم. يجوز للأشخاص المصرح لهم فقط استخدام أنظمة تطبيقات تكنولوجيا المعلومات / المؤسسة الخاصة بالكلية.
  2. لا يجوز للأفراد استخدام حساب شبكة شخص آخر أو محاولة الحصول على كلمات مرور أو رموز وصول إلى حساب شبكة آخر لإرسال الرسائل أو استقبالها.
  3. يجب على الأفراد تعريف أنفسهم وانتماءاتهم بدقة وبشكل مناسب في الاتصالات الإلكترونية. لا يجوز لهم إخفاء هوية حساب الشبكة المخصص لهم أو تمثيل أنفسهم كشخص آخر.
  4. لا يجوز للأفراد استخدام أنظمة الكلية لمضايقة الآخرين أو ترهيبهم أو تهديدهم أو إهانتهم ؛ للتدخل في عمل الآخرين أو تعليمهم ؛ لخلق بيئة عمل أو تعلم مخيفة أو عدائية أو هجومية ؛ أو للقيام بأنشطة غير قانونية أو غير أخلاقية ، بما في ذلك الانتحال وانتهاك الخصوصية.
  5. لا يجوز للأفراد استخدام أنظمة الكلية لاكتساب أو محاولة الوصول غير المصرح به إلى الشبكات البعيدة أو أنظمة الكمبيوتر.
  6. لا يجوز للأفراد تعطيل العمليات العادية لأجهزة الكمبيوتر أو محطات العمل أو المحطات الطرفية أو الأجهزة الطرفية أو الشبكات بالكلية عن عمد.
  7. لا يجوز للأفراد تشغيل أو تثبيت البرامج على أي نظام كمبيوتر بالكلية قد يؤدي إلى إتلاف بيانات وأنظمة الكلية (مثل فيروسات الكمبيوتر والبرامج الشخصية). يجب على المستخدمين عدم استخدام شبكة الكلية لتعطيل الأنظمة الخارجية. إذا اشتبه المستخدم في أن أحد البرامج التي ينوي تثبيتها أو استخدامها قد يتسبب في مثل هذا التأثير ، فيجب عليه أولاً التشاور مع تطبيقات ITS / Enterprise.
  8. لا يجوز للأفراد الالتفاف أو تجنب استخدام أنظمة المصادقة أو آليات حماية البيانات أو غيرها من الضمانات الأمنية.
  9. يجب على الأفراد عدم انتهاك أي من قوانين حقوق النشر والتراخيص المعمول بها ، ويجب عليهم احترام حقوق الملكية الفكرية الأخرى. المعلومات والبرمجيات التي يمكن الوصول إليها على الإنترنت تخضع لحقوق النشر أو حماية إضافية لحقوق الملكية الفكرية. تحظر سياسة الكلية وإجراءاتها وقانونها النسخ غير المصرح به للبرامج التي لم يتم وضعها في المجال العام وتوزيعها على أنها "برامج مجانية". لذلك ، لا ينبغي تنزيل أي شيء أو نسخه من الإنترنت دون إذن صريح من مالك المادة. يجب على المستخدمين مراعاة متطلبات مالك المادة أو القيود المفروضة على المواد. يُحظر أيضًا استخدام البرامج على أكثر من عدد أجهزة الكمبيوتر المرخصة والتثبيت غير المصرح به للبرامج غير المرخصة.
    يجب أن يلتزم مستخدمو "البرامج المشتركة" بمتطلبات اتفاقية البرامج التجريبية.
  10. يُحظر الأنشطة التي تهدر موارد الحوسبة أو تحتكرها بشكل غير عادل ولا تعزز مهمة الكلية. ومن أمثلة هذه الأنشطة الرسائل الإلكترونية الجماعية غير المصرح بها ؛ سلسلة الرسائل الإلكترونية والبريد غير الهام وأنواع أخرى من الرسائل الإذاعية ؛ عمليات أو مخرجات أو حركة متعددة غير ضرورية ؛ تجاوز حدود مساحة دليل الشبكة ؛ ممارسة الألعاب أو "تصفح" الإنترنت لأغراض ترفيهية أو تطبيقات أخرى غير متعلقة بالعمل أثناء ساعات العمل ؛ والطباعة الزائدة.
  11. يحظر قراءة أو نسخ أو تغيير أو حذف البرامج أو الملفات التي تخص شخصًا آخر أو الكلية دون إذن.
  12. يجب على الأفراد عدم استخدام موارد الحوسبة بالكلية لأغراض تجارية أو لتحقيق مكاسب مالية شخصية.
  13. يُحظر استخدام أنظمة تكنولوجيا المعلومات الخاصة بالكلية التي تنتهك القوانين أو اللوائح المحلية أو الحكومية أو الوطنية أو سياسات الكلية أو معايير السلوك أو الإرشادات.
  14. اتصالات البريد الإلكتروني:
      1. يوجد نظام البريد الإلكتروني للكلية لدعم عمل الكلية ، ويجب أن يكون استخدام البريد الإلكتروني مرتبطًا بأعمال الكلية. ومع ذلك ، يُسمح أيضًا بالاستخدام الشخصي غير التجاري العرضي دون تكلفة مباشرة للكلية والذي لا يتعارض مع أعمال الكلية المشروعة.
      2. الاتصالات الإلكترونية التي يكون معناها أو نقلها أو توزيعها غير قانوني أو غير أخلاقي أو احتيالي أو تشهيري أو مزعج أو غير مسؤول. يجب عدم استخدام أنظمة البريد الإلكتروني للكلية لتوصيل محتوى قد يعتبر غير لائق أو مسيئًا أو غير محترم للآخرين.
      3. يجب على الأفراد مراعاة المعايير المهنية المناسبة للكياسة واللياقة في جميع الاتصالات الإلكترونية.
      4. يجب إرسال جميع مراسلات البريد الإلكتروني المتعلقة بأعمال الكلية (بما في ذلك تلك المرسلة إلى الطلاب والطلاب المحتملين) بخلفية بيضاء واضحة ويجب ألا تستخدم أي أدوات مكتبية مزخرفة.
      5. ستتعلق رسائل البريد الإلكتروني التي يتم بثها إلى College Community بسياسة الكلية وإجراءاتها أو أخبار الكلية أو حدث ترعاه الكلية أو عناصر تؤثر على مجتمع الكلية. العناصر المعروضة للبيع وطلبات التبرع وغير ذلك من الأمور التجارية غير المتعلقة بالكلية محظورة. لا يجوز للأفراد إرسال رسائل بريد إلكتروني تطلب هذا النوع من المعلومات عبر القوائم البريدية للكلية.

شبكة ويب العالمية

  1. موقع ويب كلية مجتمع مقاطعة هدسون هو منشور رسمي للكلية. يجب أن تكون جميع المعلومات الواردة في صفحات الويب دقيقة وتعكس سياسة الكلية وإجراءاتها الرسمية.
  2. تتوافق صفحات الويب الخاصة بالكلية الرسمية مع نفس معايير أي مطبوعة مطبوعة بالكلية. يتحمل رئيس قسم المعلومات ومدير التسويق وعلاقات الكلية ومدير خدمات الويب ونائب الرئيس المختص أو من ينوب عنهم المسؤولية النهائية عن محتوى وتصميم كل صفحة.
  3. سيقوم مدير خدمات الويب وموظفو الكلية المسؤولون عن كل قسم أو قسم بمراجعة عملة ودقة صفحات الويب الرسمية لكلية Hudson County Community College بانتظام. المناطق الفردية هي المسؤولة عن إبلاغ المراجعات والتحديثات ، عند حدوثها ، إلى مدير خدمات الويب ، الذي سيراجعها ويرتب لنشرها.

عدم الامتثال والعقوبات

قد يؤدي عدم الامتثال لهذا الإجراء إلى رفض أو إزالة امتيازات الوصول إلى الأنظمة الإلكترونية للكلية، واتخاذ إجراءات تأديبية بموجب سياسات وإجراءات الكلية المعمول بها، والمسؤولية المدنية والتقاضي، والملاحقة الجنائية بموجب القوانين المحلية والفيدرالية والولائية المناسبة.

فيما يلي عملية التحقيق في الانتهاكات المشتبه بها وعدم الامتثال لهذا الإجراء:

    1. أبلغ عن إساءة مشتبه بها إلى CIO.
    2. إذا كان هناك موافقة من نائب الرئيس للأعمال والمالية / المدير المالي ، يجب على رئيس قسم المعلومات التحقيق في التقرير.
    3. يجب على CIO الإبلاغ عن أي إساءة يتم اكتشافها إلى نائب رئيس القسم المناسب ، والذي سيحدد الإجراء التأديبي المناسب.

إجراءات حسابات الشبكة والبريد الإلكتروني والإنترنت

المؤهلون للحسابات هم ما يلي:

    1. جميع موظفي Hudson County Community College الذين يتقاضون رواتب بدوام كامل.
    2. جميع أعضاء هيئة التدريس المساعدين والاستشاريين الآخرين الذين يتم تعيينهم من قبل الكلية من خلال خطابات الاتفاق أو مذكرات التفاهم أو العقد.
    3. جميع أعضاء مجلس الأمناء.
    4. الموظفون بدوام جزئي في كلية Hudson County Community College الذين لديهم حاجة واضحة إلى موارد الكمبيوتر المتاحة من تطبيقات ITS / Enterprise (بخلاف الوصول العام إلى الإنترنت) ، المتعلقة بعملهم في الكلية ، مؤهلون للحصول على حسابات مؤقتة.
    5. موظفو المؤسسات التعليمية التابعة التي لها علاقات مع كلية مجتمع مقاطعة هدسون ، والحاجة الواضحة لموارد كمبيوتر تطبيقات ITS / Enterprise (بخلاف الوصول العام إلى الإنترنت) ، مؤهلون للحسابات المؤقتة.
    6. المنظمات التابعة التي لها مهمة أكاديمية والتي تتطلب أنشطتها المتعلقة بالكلية موارد حوسبة لا يمكن للشركة التابعة توفيرها بشكل معقول من تلقاء نفسها مؤهلة للحصول على حسابات مؤقتة.

تقوم ITS بإزالة الحسابات عندما:

    1.  لم يعد صاحب الحساب يفي بمتطلبات الأهلية.
    2. الحساب مؤقت ، ويمر تاريخ انتهاء الصلاحية دون تجديد.
    3. لم يدخل صاحب الحساب إلى الحساب خلال 18 شهرًا متتاليًا.

كلمات السر

    1. يتم إنشاء الحسابات بكلمة مرور محددة مسبقًا يجب على أصحاب الحسابات تغييرها عند تسجيل الدخول لأول مرة ، وبما يتوافق مع إجراءات الكلية.
    2. يمنع منعا باتا مشاركة أو الكشف عن كلمات المرور.

إجراء البريد الإلكتروني لكلية مجتمع مقاطعة هدسون

يتحمل الأفراد الذين لديهم إمكانية الوصول إلى أنظمة تكنولوجيا المعلومات بالكلية مسؤولية استخدامها بشكل مهني وأخلاقي وقانوني واتباع سياسات وإجراءات الكلية المعمول بها. يجب على المستخدمين الحفاظ على بيئة أكاديمية وبيئة عمل تساعد على تنفيذ مهمة الكلية بكفاءة وإنتاجية.

تُحظر الاتصالات الإلكترونية التي يكون معناها أو نقلها أو توزيعها غير قانوني أو غير أخلاقي أو احتيالي أو تشهيري أو مزعج أو غير مسؤول أو ينتهك سياسات أو إجراءات الكلية. يجب ألا تحتوي الاتصالات الإلكترونية على أي شيء لا يمكن نشره على لوحة الإعلانات ، أو مشاهدته من قبل مشاهدين غير مقصودين ، أو الظهور في منشور بالكلية. المواد التي يمكن اعتبارها غير ملائمة أو مسيئة أو غير محترمة للآخرين لا يجب إرسالها أو استلامها كاتصالات إلكترونية باستخدام مرافق الكلية. سيشرف كبير مسؤولي المعلومات على تنفيذ هذا الإجراء.

أ. الإجراءات التي تم اعتبارها انتهاكات لإجراء البريد الإلكتروني هي كما يلي:

      1. إرسال رسائل بريد إلكتروني مجمعة غير مصرح بها ("بريد غير هام" أو "بريد عشوائي").
      2. استخدام البريد الإلكتروني للمضايقات سواء من خلال اللغة أو التكرار أو المحتوى أو حجم الرسائل.
      3. إعادة توجيه الرسائل المتسلسلة والمخططات الهرمية أو نشرها بطريقة أخرى ، سواء رغب المستلم في استلام مثل هذه الرسائل أم لا.
      4. رسائل البريد الإلكتروني الضارة ، مثل "تفجير البريد" أو إغراق موقع المستخدم بأجزاء كبيرة جدًا أو متعددة من البريد الإلكتروني.
      5. تزوير معلومات المرسل بخلاف accountname@hccc.edu أو عنوان رئيسي آخر معتمد مسبقًا.
      6. إرسال بريد إلكتروني لأغراض تجارية أو مكاسب مالية شخصية.

يحق للكلية إزالة الوصول إلى الحسابات التي تبين أنها تنتهك هذا الإجراء.

ب. قواعد وضوابط البريد الإلكتروني:

      1. لا تقوم الكلية بأرشفة البريد الإلكتروني.
      2. تقوم الكلية بتصفية البريد الإلكتروني بحثًا عن البريد العشوائي والمحتوى الضار.
      3. تقوم الكلية بحظر حسابات البريد الإلكتروني التي ترسل محتوى غير مرغوب فيه وضارًا.

وافق عليها مجلس الوزراء: يوليو 2021
سياسة مجلس الإدارة ذات الصلة: خدمات تقنية المعلومات

 

إجراء دورات حياة الكمبيوتر

المُقدّمة

يهدف هذا الإجراء إلى ضمان الوصول إلى تكنولوجيا الحوسبة الحالية المطلوبة لتعزيز نجاح الطلاب والوفاء بمسؤوليات الموظف الوظيفية. يوفر هذا الإجراء الاستبدال المجدول لمكتب خدمات تكنولوجيا المعلومات (ITS) لأجهزة الكمبيوتر للموظفين والفصول الدراسية والمختبرات. 

الهدف

الغرض من هذا الإجراء هو تعيين المعلمات والعملية لاستبدال أجهزة الكمبيوتر الشخصية. يستثني هذا الإجراء محطات العمل والمحطات الطرفية ذات الأغراض الفريدة للاستخدام مع البنية التحتية لسطح المكتب الظاهري (VDI). 

مجال

يغطي هذا الإجراء أجهزة الكمبيوتر الشخصية التي يستخدمها أعضاء هيئة التدريس بدوام كامل، والموظفين بدوام كامل، والمختبرات، والفصول الدراسية. يجب التعامل مع أجهزة الكمبيوتر التي يتم شراؤها بموجب المنح أو للاستخدام المخصص بشكل منفصل وفقًا لمعايير المنح والغرض منها. لا تنطبق هذه السياسة على المعدات الطرفية، وهواتف المكاتب، والهواتف المحمولة، والطابعات، والماسحات الضوئية، ومعدات الصوت/الصورة، والخوادم، أو غيرها من المعدات المتعلقة بتكنولوجيا المعلومات. يتم استبدال هذه المعدات بواسطة ITS وفقًا للحاجة والحالة والموارد الميزانية بناءً على تحليلها وحكمها وعقود الدعم الخاصة بها. 

منصات الأجهزة 

في كل عام ، ستحدد الكلية المواصفات القياسية لأجهزة الكمبيوتر المكتبية والمحمولة بناءً على وظيفة الوظيفة لاحتواء التكاليف والصيانة ودعم الكفاءات. قامت ITS بتطوير معايير المعدات ، وراجعتها لجنة التكنولوجيا التابعة لمجلس الكلية ، واعتمدها رئيس قسم المعلومات ونائب الرئيس للشؤون المالية والأعمال / المدير المالي. نظرًا لأن أنظمة النقل الذكية تدعم جهازًا واحدًا لكل موظف ، فسيتم تخصيص كمبيوتر محمول ومحطة إرساء للمستخدمين بدلاً من كمبيوتر سطح المكتب. سيتم توفير أجهزة كمبيوتر سطح المكتب في المناطق التي سيتم فيها مشاركة استخدامها ، مثل مناطق الاستقبال والفصول الدراسية والمختبرات ومناطق العمل المساعدة أو دراسة العمل.

العملية

    1. ستقوم أنظمة النقل الذكية بصيانة أجهزة الكمبيوتر الشخصية ودعمها خلال فترة الخدمة المحددة لها. فترة الخدمة الحالية لأجهزة الكمبيوتر الشخصية HCCC هي خمس سنوات.
    2. في كل عام ، ستحل أنظمة النقل الذكية محل جزء من أجهزة الكمبيوتر الشخصية في قائمة الجرد. ستقوم ITS بنشر أجهزة الكمبيوتر الشخصية لأعضاء هيئة التدريس والموظفين خلال الصيف والخريف. ستقوم أنظمة النقل الذكية أيضًا بتحديث جزء من حجرة الدراسة والمختبر وأجهزة الكمبيوتر ذات الوصول المفتوح كل عام. سيتم تقديم ميزانيات الاستبدال المقدرة في جلسات الاستماع السنوية الخاصة بالميزانية. تدرك ITS أن بعض أعضاء هيئة التدريس والموظفين والطلاب لديهم احتياجات حوسبية مختلفة. سيتم دمج المعامل الأكاديمية التي تحتوي على أجهزة كمبيوتر متخصصة في ميزانية الاستبدال عندما يكون ذلك ممكنًا. سيُطلب من أعضاء هيئة التدريس والموظفين الذين يحتاجون إلى جهاز غير قياسي يتجاوز تكلفة الكمبيوتر الشخصية القياسية الحصول على موافقة المكتب / المدرسة. سيقوم مكتبهم / مدرستهم بتمويل فرق السعر.
    3. سيقوم أعضاء هيئة التدريس والموظفين غير المتفرغين الذين يرغبون في استعارة جهاز كمبيوتر محمول بملء نموذج طلب يتطلب موافقة المدير. بعد موافقة المدير، ستقوم ITS بتوفير جهاز كمبيوتر محمول.
    4. ستعمل أنظمة النقل الذكية مع مستخدم الكمبيوتر لترحيل بيانات الموظف إلى الكمبيوتر البديل. ستقوم ITS بإزالة الكمبيوتر الشخصي الأقدم. ستحتفظ أنظمة النقل الذكية بالقرص الصلب للكمبيوتر القديم لمدة أسبوعين إلى 90 يومًا لضمان عدم فقد أي بيانات أثناء النشر.

      1. قد يُمنح المتقاعدون خيار شراء أجهزة الكمبيوتر القديمة الخاصة بهم مقابل قيمة سوقية عادلة تحددها أنظمة النقل الذكية. تتم عمليات الشراء هذه "كما هي" ، وستقوم أنظمة النقل الذكية بإزالة جميع برامج وبيانات HCCC قبل نقل الملكية. سيرسل الموظفون شيكًا إلى كلية مجتمع مقاطعة هدسون ، والذي سيتم إيداعه في حساب الكلية.
    5. في بعض الحالات ، يمكن إعادة استخدام أجهزة الكمبيوتر أو إعادة نشرها في مواقع أخرى داخل الحرم الجامعي وفقًا لتقدير أنظمة النقل الذكية.
    6. عند الحاجة إلى نقل أجهزة الكمبيوتر الشخصية ، يجب على المكتب / المدرسة الاتصال بـ ITS. ITS مسؤولة عن جرد دقيق. يجب على المستخدمين عدم نقل أجهزة الكمبيوتر الشخصية بأنفسهم. لا ينبغي إعادة تعيين أجهزة الكمبيوتر أو إعادة توزيعها دون إخطار أنظمة النقل الذكية والحصول على الموافقة.
    7. عندما يغادر موظف لديه جهاز كمبيوتر شخصي من الكلية ، سيتم إخطار نظام النقل الذكي من قبل المكتب / المدرسة والموارد البشرية. في معظم الحالات ، سيتم إعادة توزيع هذا الكمبيوتر إلى الموظف التالي الذي تم تعيينه في هذا المنصب.
    8. إذا تعطل جهاز الكمبيوتر الشخصي ولا يمكن إصلاحه ، فستقوم أنظمة النقل الذكية باستبدال الكمبيوتر بجهاز جديد. يصبح هذا الكمبيوتر بعد ذلك الجهاز الشخصي لهذا الموظف. 

وافق عليه مجلس الوزراء: أبريل 2023
سياسة مجلس الإدارة ذات الصلة: خدمات تقنية المعلومات

 

إجراءات إدارة الأحداث

المُقدّمة

يهدف هذا الإجراء إلى ضمان نجاح الفعاليات في جميع أنحاء الكلية والتي تستمر في تعزيز مهمة الكلية. يتوافق هذا الإجراء مع سياسة خدمات تكنولوجيا المعلومات في HCCC التي وافق عليها مجلس الأمناء.

القابلية للتطبيق

ينطبق هذا الإجراء على جميع أعضاء هيئة التدريس والموظفين في الكلية الذين يقيمون فعاليات الكلية.

المساءلة

سيقوم نائب الرئيس المساعد لخدمات تكنولوجيا المعلومات ومسؤول المعلومات الرئيسي بتنفيذ هذا الإجراء بالتنسيق مع المدير التنفيذي للمرافق والعمليات والهندسة، والمدير التنفيذي للسلامة العامة والأمن، وقادة الكلية الآخرين.

العملية

  1. تعريف حدث HCCC

    1. الأنشطة الأكاديمية بالكلية: الأنشطة أو الفعاليات المرتبطة بشكل مباشر بالمهمة التعليمية للكلية. وتشمل الأمثلة الفصول الدراسية التي تمنح نقاطًا، والأنشطة البرامجية المتعلقة بالدورات الدراسية الأكاديمية، واجتماعات أعضاء هيئة التدريس/الإدارة الإدارية.
    2. فعاليات الكلية: إن الأنشطة التعليمية المجتمعية هي أنشطة يتم تنظيمها وإدارتها من قبل أعضاء هيئة التدريس والموظفين ومكاتب الكلية والمنظمات الطلابية المسجلة والمعتمدة والتي يتم التخطيط لها في المقام الأول لأعضاء مجتمع HCCC ولصالح الكلية. وتشمل الأمثلة أنشطة برمجة الطلاب وتطوير أعضاء هيئة التدريس والموظفين وحفل التخرج والاحتفال باليوم المفتوح وفعاليات التوظيف والمحاضرين الضيوف وغيرهم. ويشمل الحضور في هذه الأحداث أعضاء المجتمع وأعضاء هيئة التدريس والموظفين والطلاب والضيوف والخريجين.
    3. الأحداث التي تستضيفها الكلية: CHE هي برامج أكاديمية ومؤتمرات وورش عمل واجتماعات تشمل كيانين: كيان الكلية (المدرسة أو الوحدة الأكاديمية أو الإدارية أو منظمة طلابية مسجلة ومعتمدة) ومنظمة خارجية (مثل جمعية مهنية تتمتع الكلية بعضويتها أو تحافظ على علاقة تعود بالنفع المباشر على مجتمع الكلية أو المنظمة المجتمعية).
    4. الأحداث غير الجامعية/الخارجية: تُعرَّف الفعاليات غير الجامعية/الخارجية بأنها البرامج والأنشطة التي ينظمها أفراد أو مجموعات أو شركات أو منظمات غير مدرجة في الهيكل التنظيمي للكلية. ومن الأمثلة على ذلك حفلات الاستقبال والفعاليات الخيرية والاجتماعات والفعاليات للشركات ومعسكرات الشباب والمؤتمرات والأنشطة الاجتماعية والمعارض وما إلى ذلك. تتطلب الفعاليات غير الجامعية/الخارجية ترتيبًا تعاقديًا وإثباتًا مناسبًا للتأمين مع الكلية.
  2. المكاتب الداعمة للفعاليات وما تقدمه

    1. خدمات تكنولوجيا المعلومات
      1. معدات التكنولوجيا
      2. اختبار العروض التقديمية والوسائط قبل الحدث
      3. روابط الاجتماعات ودعم الاجتماعات/الأحداث الهجينة
      4. ضيف واي فاي
      5. الدعم التكنولوجي خلال الحدث
    2. التسهيلات
      1. تركيب وتفكيك الأثاث
      2. تفكيك الاثاث
      3. سوائل التنظيف
      4. مراقبة HVAC
    3. حماية
      1. الدعم الأمني ​​خلال الفعاليات
      2. افتتاحات وإغلاقات المباني
      3. دعم مواقف السيارات والنقل
    4. فليك
      1. طعام و شراب
      2. الخوادم والدعم الآخر
      3. التنسيق مع المجموعات الخارجية
  3. عملية إدارة الأحداث

    1. يجب إدخال الطلبات عبر الإنترنت من خلال نظام Coursedog الخاص بالكلية.
    2. ستكون الموافقة مطلوبة للمساحات الخاصة وأنواع الأحداث؛ على سبيل المثال، غرفة مجلس الرئيس، والقاعة الرئيسية، والمعرض.
    3. يجب الإخطار المسبق لجميع الأحداث.
    4. سيتم إعطاء الأولوية للأحداث البارزة على مستوى الكلية.
  4. دليل نوع الحدث

    نوع الحدث

    الوصف

    مختبر الحاسوب الأكاديمي تتطلب خدمات مختبر الكمبيوتر، بما في ذلك دعم مساعد المختبر، إخطارًا مسبقًا بثلاثة أيام. ويمكن تقديم هذه الطلبات قبل 180 يومًا.
    خدمات إدارية تتطلب الاجتماعات إشعارًا مسبقًا بيوم واحد.
    التعليم المستمر تتطلب فعاليات ودورات التعليم المستمر وتنمية القوى العاملة إخطارًا مسبقًا بيوم واحد. يمكن تقديم هذه الطلبات قبل 180 يومًا.
    خدمات التسجيل / القبول تتطلب خدمات التسجيل وفعاليات القبول إخطارًا مسبقًا بثلاثة أيام. ويمكن تقديم هذه الطلبات قبل 90 يومًا.
    خدمات الضيافة والتموين الأولوية 1 تشمل الأحداث ذات الأولوية 1 الأحداث التي تقام على مستوى الحرم الجامعي، والمشاركين الخارجيين، والأحداث المعلن عنها، والأحداث على مستوى مجلس الوزراء. تتطلب هذه الطلبات إخطارًا مسبقًا قبل 30 يومًا ويمكن تقديمها قبل 180 يومًا.
    خدمات الضيافة والتموين الأولوية 2 تتضمن الأحداث ذات الأولوية 2 الأحداث على مستوى القسم التي تضم أكثر من 50 مشاركًا والتي يتم تسجيلها والتي تتطلب إخطارًا قبل 14 يومًا. يمكن تقديم هذه الطلبات قبل 180 يومًا.
    خدمات الضيافة والتموين الأولوية 3 تعتبر الأحداث ذات الأولوية 3 صغيرة وغير رسمية وتتطلب إخطارًا قبل ثلاثة أيام. يمكن تقديم هذه الطلبات قبل 180 يومًا.
    حدث الحرم الجامعي شمال هدسون تتطلب البرامج والفعاليات التي تستضيفها الحرم الجامعي في نورث هدسون إخطارًا مسبقًا بثلاثة أيام. ويمكن تقديم هذه الطلبات قبل 180 يومًا.
    مساحات مكتبية في شمال هدسون تتطلب الاجتماعات في حرم شمال هدسون إشعارًا قبل يوم واحد.
    مكتب المسجل تتطلب البرامج والفعاليات في قاعات الشؤون الأكاديمية في Journal Square إخطارًا مسبقًا بيوم واحد. يمكن تقديم هذه الطلبات قبل 180 يومًا.
    كلية التمريض / المتحدث الضيف تتطلب البرامج والفعاليات في مختبر الكمبيوتر F129 إخطارًا مسبقًا بيوم واحد. يمكن تقديم هذه الطلبات قبل 180 يومًا.
    حياة الطالب تتطلب جميع الأحداث المتعلقة بالحياة الطلابية إخطارًا مسبقًا بيومين. يمكن تقديم هذه الطلبات قبل 180 يومًا.
    انزلق للمزيد
  5. المسؤوليات

    1. سيقوم المنظمون بتقديم جميع المعلومات المتوفرة في الطلب، بما في ذلك جهات الاتصال الخاصة بالحدث والبريد الإلكتروني وأرقام الهواتف، وما إلى ذلك.
    2. وسوف يقوم المنظمون بإبلاغ أي تغييرات في الوقت المناسب، وكتابيًا.
    3. سيقوم المنظمون بإدراج بيان إمكانية الوصول الخاص بالكلية في جميع الاتصالات المتعلقة بالحدث.
    4. سيقوم المنظمون بحضور جلسات المشي والتدريب حسبما تقتضيه طبيعة الحدث.
    5. وستتواصل مكاتب الكليات التي تقدم الخدمات مع المنظمين في الوقت المناسب.
    6. سيتم إنشاء روابط الأحداث الهجينة حصريًا بواسطة خدمات تكنولوجيا المعلومات لأحداث HCCC.
    7. سيقوم المنظمون بإخطار مكاتب الكلية مسبقًا في حالة إلغاء الحدث لإخلاء مساحة الحدث.
    8. وسوف تقوم مكاتب HCCC بإخطار المنظمين بأي مشاكل بمجرد اكتشافها.

تمت الموافقة عليها من قبل مجلس الوزراء: ديسمبر 2024
سياسة مجلس الإدارة ذات الصلة: خدمات تقنية المعلومات

 

طلبات الوصول إلى إجراءات نظم المعلومات التي تحتوي على بيانات حساسة

المُقدّمة

 يحدد هذا الإجراء مالكي البيانات / نظام كلية مجتمع مقاطعة هدسون (HCCC). يشرف هؤلاء الأفراد على الوصول إلى أنظمة المعلومات التي تحتوي على بيانات حساسة ، مثل نظام Colleague ERP. الإشراف ضروري لحماية والحفاظ على سرية وسلامة وتوافر بيانات HCCC والامتثال لمعايير وأنظمة تكنولوجيا المعلومات المطبقة على HCCC.

يتمتع مالكو النظام / البيانات المعينون لأنظمة المعلومات الخاصة بكلية Hudson County Community College التي تحتوي على بيانات حساسة بصلاحية الموافقة على الأفراد والوصول إلى هذه الأنظمة.

تعيين مالكي النظام / البيانات

 تم تعيين الموظفين التنفيذيين التالية أسماؤهم كمالكين للنظام / البيانات لأنظمة المعلومات التي تحتوي على بيانات حساسة.

 نظام ERP للزملاء

وحدة الطالب

نائب رئيس الجامعة لشؤون الطلاب والقيد

وحدة مالية الطالب

نائب الرئيس للأعمال والمالية / المدير المالي

Financial Aid وحدة

عميد مشارك Financial Aid

وحدة الموارد البشرية

نائب الرئيس للموارد البشرية

 نظام تصوير الوثائق

خدمات التسجيل والقبول ووثائق الإرشاد

نائب رئيس الجامعة لشؤون الطلاب والقيد

طالب Financial Aid الوثائق

عميد مشارك Financial Aid

المستندات المالية

نائب الرئيس للأعمال والمالية / المدير المالي

طلبات الوصول إلى نظم المعلومات التي تحتوي على بيانات حساسة

تُمنح طلبات الوصول إلى أنظمة المعلومات التي تحتوي على بيانات حساسة على أساس "الامتياز الأقل" ، مما يعني الوصول فقط إلى هذه المعلومات والأنظمة اللازمة لأداء واجبات العمل العادية للفرد.

يجب على الموظفين التنفيذيين المعينين كمالكين للنظام / البيانات أو المديرين المعينين في المجالات الوظيفية مراجعة طلبات الوصول إلى أنظمة المعلومات التي تحتوي على بيانات حساسة من الموظفين الخاضعين لسلطتهم الإدارية. يجب عليهم التحقق من منح المستخدمين حق الوصول على أساس "الامتياز الأقل" إلى الامتيازات الضرورية فقط لأداء واجبات العمل العادية. يجب عليهم الموافقة على الطلبات من خلال تقديم نموذج طلب الوصول إلى النظام الموجود على البوابة. إذا لم يكن الوصول له ما يبرره ، فسيتم رفض الطلب.

إزالة الوصول إلى نظم المعلومات التي تحتوي على بيانات حساسة

يجب على الموظفين التنفيذيين التأكد من قيام المشرفين بإخطار خدمات تكنولوجيا المعلومات (ITS) على الفور عندما لم يعد وصول المستخدم إلى نظام المعلومات مطلوبًا وعندما يجب تعديل وصول المستخدم بسبب تغيير في واجبات الموظف الأساسية.

سيتم إخطار ITS على الفور عن طريق مكالمة هاتفية ، متبوعة برسالة بريد إلكتروني إلى كبير مسؤولي المعلومات (CIO) ، عند إنهاء الموظف المتميز أو في حالة الإنهاء غير الطوعي للموظف. يجب إرسال عمليات الإنهاء الروتينية أو النقل إلى قسم آخر بالكلية أو التغييرات في الواجبات في غضون خمسة أيام عمل باستخدام نموذج طلب الوصول إلى النظام الموجود على البوابة.

مراجعة الوصول إلى نظم المعلومات التي تحتوي على بيانات حساسة

يجب إجراء مراجعة سنوية لجميع حسابات المستخدمين لأنظمة تكنولوجيا المعلومات الحساسة بواسطة ITS لتقييم الحاجة المستمرة للحسابات ومستوى الوصول المرتبط بها.

المسؤوليات

يجب أن يتحمل كبير مسؤولي المعلومات المسؤولية الكاملة عن تطوير الإجراءات الفنية المتوافقة مع هذا الإجراء والحفاظ عليها ، ويجب أن يمتثل للمعايير المعمول بها في كلية مجتمع مقاطعة هدسون.

يصف الملحق أ موقع النموذج لطلب الوصول إلى أنظمة معلومات الكلية.

التعريفات

 البيانات - يتضمن أي معلومات ضمن اختصاص HCCC ، بما في ذلك بيانات سجل الطالب ، وبيانات الموظفين ، والبيانات المالية (الميزانية وكشوف المرتبات) ، وبيانات حياة الطالب ، وبيانات الإدارة الإدارية ، والملفات القانونية ، وبيانات البحث المؤسسي ، وبيانات الملكية ، وجميع البيانات الأخرى التي تتعلق أو تدعم إدارة الكلية.

نظام معلومات - يشمل إجمالي مكونات وعمليات عملية حفظ السجلات ، بما في ذلك المعلومات التي تم جمعها أو إدارتها باستخدام شبكات الكمبيوتر والإنترنت ، سواء كانت آلية أو يدوية ، تحتوي على معلومات شخصية واسم موضوع البيانات أو رقمه الشخصي أو أي تفاصيل تعريفية أخرى لموضوع البيانات.

بيانات حساسة - يتضمن أي معلومات يمكن أن تؤثر سلبًا على مصالح الكلية ، أو إدارة برامج الوكالة ، أو الخصوصية التي يحق للأفراد الحصول عليها في حالة تعرضهم للخطر في السرية أو النزاهة أو التوافر. يتم تصنيف البيانات على أنها حساسة إذا أدى اختراق هذه البيانات إلى تأثير سلبي جوهري وهام على مصالح الكلية ، أو عدم قدرة الوكالة المتأثرة على القيام بأعمالها ، أو خرق توقعات الخصوصية ، أو كان مطلوبًا بموجب القانون أن تظل سرية.

الخارق - هو موظف لديه لوحة تسجيل أو وصول ذو امتياز مرتفع ؛ على سبيل المثال ، مسؤول الأمن.

 مراجع حسابات

  • قانون الخصوصية والحقوق التعليمية للأسرة (FERPA) (20 USC § 1232g ؛ 34 CFR الجزء 99)
  • قانون تحديث الخدمات المالية (قانون غرام-ليتش-بليلي) (15 USC § 6801 وما يليها)
  • قانون نقل التأمين الصحي والمساءلة (HIPAA) (القانون العام 104-191)

مراجعة الدورية والمسؤولية

 يجب على كبير موظفي المعلومات مراجعة هذا الإجراء سنويًا ، وإذا لزم الأمر ، يوصي بالمراجعات.

الملحق أ"

نماذج طلب الوصول إلى النظام:

وصول الزميل

https://myhudson.hccc.edu/ellucian

طلب إنشاء حساب أو تعطيل الطلب

https://myhudson.hccc.edu/its

وافق عليها مجلس الوزراء: يوليو 2021
سياسة مجلس الإدارة ذات الصلة: ITS

 

إجراءات خطة أمن المعلومات

المُقدّمة

الغرض من تطوير وتنفيذ إجراء خطة أمن المعلومات الشاملة ("الخطة") هو إنشاء ضمانات إدارية وتقنية ومادية فعالة لحماية "المعلومات الشخصية" للطلاب المحتملين والمتقدمين والطلاب والموظفين والخريجين ، وأصدقاء كلية مجتمع مقاطعة هدسون ، والامتثال لالتزاماتنا بموجب لائحة ولاية نيو جيرسي 201 CMR 17.00. تحدد الخطة إجراءاتنا لتقييم أساليبنا الإلكترونية والفيزيائية للوصول إلى "المعلومات الشخصية" الخاصة بمكونات الكلية وجمعها وتخزينها واستخدامها ونقلها وحمايتها.

لأغراض هذه الخطة ، يتم تعريف "المعلومات الشخصية" على أنها الاسم الأول للشخص واسم العائلة ، أو الاسم الأول والأخير الأول ، جنبًا إلى جنب مع أي عنصر أو أكثر من عناصر البيانات التالية التي تتعلق بهذا المقيم: (أ) الاجتماعية رقم سرى؛ (ب) رقم رخصة القيادة أو رقم بطاقة الهوية الصادر من الدولة ؛ أو (ج) رقم الحساب المالي أو رقم بطاقة الائتمان أو الخصم ، مع أو بدون أي رمز أمان مطلوب أو رمز وصول أو رقم تعريف شخصي أو كلمة مرور من شأنها أن تسمح بالوصول إلى الحساب المالي للمقيم حيث تكون كلية مجتمع مقاطعة هدسون هي الوصي على تلك البيانات ؛ شريطة ، مع ذلك ، أن "المعلومات الشخصية" يجب ألا تتضمن المعلومات التي تم الحصول عليها بشكل قانوني من المعلومات المتاحة للجمهور ، أو من السجلات الحكومية الفيدرالية أو الحكومية أو المحلية المتاحة بشكل قانوني لعامة الناس.

الهدف

الغرض من هذه الخطة هو:

    1. ضمان أمن وسرية المعلومات الشخصية ؛
    2. الحماية من أي تهديدات أو مخاطر محتملة لأمن أو سلامة المعلومات الشخصية ؛ و،
    3. الحماية من الوصول غير المصرح به إلى المعلومات الشخصية أو استخدامها بطريقة تخلق خطرًا كبيرًا لسرقة الهوية أو الاحتيال.

مجال

عند صياغة الخطة وتنفيذها ، ستقوم المؤسسة بما يلي: (1) تحديد المخاطر الداخلية والخارجية التي يمكن توقعها بشكل معقول على أمن وسرية وسلامة أي سجلات إلكترونية أو ورقية أو غيرها من السجلات التي تحتوي على معلومات شخصية ؛ (2) تقييم الاحتمالية والأضرار المحتملة لهذه التهديدات ، مع مراعاة حساسية المعلومات الشخصية ؛ (3) تقييم مدى كفاية السياسات والممارسات والإجراءات وأنظمة المعلومات والضمانات الأخرى القائمة للسيطرة على المخاطر ؛ (4) تصميم وتنفيذ خطة تضع الضمانات في مكانها الصحيح لتقليل تلك المخاطر ، بما يتفق مع متطلبات 201 CMR 17.00 ؛ و (5) مراقبة الخطة بانتظام.

منسق أمن البيانات

عينت HCCC كبير مسؤولي المعلومات (CIO) ونائب الرئيس للأعمال والمالية / المدير المالي لتنفيذ الخطة والإشراف عليها وصيانتها. سيكون رئيس قسم المعلومات ونائب الرئيس للأعمال والمالية / المدير المالي مسؤولين عن:

    1. التنفيذ الأولي للخطة ؛
    2. الإشراف على تدريب الموظفين المستمر على عناصر ومتطلبات الخطة لجميع المالكين والمديرين والموظفين والمقاولين المستقلين الذين لديهم إمكانية الوصول إلى المعلومات الشخصية ؛
    3. مراقبة ضمانات الخطة.
    4. تقييم مزودي خدمات الطرف الثالث الذين لديهم إمكانية الوصول إلى المعلومات الشخصية واستضافتها / نقلها / نسخها احتياطيًا / الاحتفاظ بها ، ومطالبة مزودي الخدمة هؤلاء بموجب عقد بتنفيذ هذه الإجراءات الأمنية المناسبة والحفاظ عليها لحماية المعلومات الشخصية ؛
    5. مراجعة نطاق التدابير الأمنية في الخطة سنويًا ، أو كلما كان هناك تغيير جوهري في ممارسات الأعمال الخاصة بـ HCCC والذي قد ينطوي على أمان أو سلامة السجلات التي تحتوي على معلومات شخصية ؛ و،
    6. مراجعة التشريعات والقوانين وتحديث السياسات والإجراءات حسب الحاجة.

المخاطر الداخلية

لمكافحة المخاطر الداخلية على أمن وسرية وسلامة أي سجلات إلكترونية أو ورقية أو غيرها من السجلات التي تحتوي على معلومات شخصية ، ومن أجل تقييم وتحسين ، عند الضرورة ، فعالية الضمانات الحالية للحد من هذه المخاطر ، التدابير التالية إلزامية وفعالة على الفور: 

الإجراءات الإدارية

      1. يجب توزيع نسخة من الخطة على الرئيس ، ومجلس وزراء الرئيس ، وموظفي خدمات تكنولوجيا المعلومات (ITS) ، وغيرهم من الموظفين المعينين الذين يتعاملون مع المعلومات الشخصية. عند استلام الخطة ، يحتاج كل فرد إلى الإقرار كتابيًا بأنه تلقى نسخة من الخطة.
      2. بعد التدريب ، سيُطلب من جميع الموظفين توقيع اتفاقيات السرية التي تصف التعامل مع المعلومات الشخصية. تتطلب اتفاقيات السرية من الموظفين الإبلاغ عن أي استخدام مشبوه أو غير مصرح به "للمعلومات الشخصية" إلى مدير المعلومات أو نائب الرئيس للموارد البشرية.
      3. يجب أن يقتصر مقدار المعلومات الشخصية التي يتم جمعها على ما هو ضروري بشكل معقول لتحقيق أغراض تجارية مشروعة. يتم التعامل مع استخدام المعلومات الشخصية من خلال عمليات التدقيق في مختلف المجالات.
      4. يجب مراجعة جميع تدابير أمن البيانات سنويًا على الأقل ، أو كلما كان هناك تغيير جوهري في ممارسة أعمال HCCC أو تغيير في القانون قد ينطوي بشكل معقول على أمان أو سلامة السجلات التي تحتوي على معلومات شخصية. يكون رئيس قسم المعلومات ونائب الرئيس للأعمال والشؤون المالية / المدير المالي مسؤولين عن هذه المراجعة ويبلغ رؤساء الأقسام بشكل كامل بنتائج تلك المراجعة وأي توصيات لتحسين الأمان تنشأ عن تلك المراجعة.
      5. متى كان هناك حادث يتطلب إخطارًا بموجب قانون نيوجيرسي. § 56: 8-163 ، قانون الإبلاغ عن خرق البيانات الشخصية لنيوجيرسي ، يجب أن تكون هناك مراجعة إلزامية فورية بعد الحادث للأحداث والإجراءات المتخذة ، إن وجدت ، لتحديد ما إذا كانت أي تغييرات في الممارسات الأمنية الخاصة بـ HCCC مطلوبة من أجل تحسين أمن المعلومات الشخصية بموجب الخطة.
      6. يجب على كل قسم تطوير قواعد (مع الأخذ في الاعتبار احتياجات العمل لهذا القسم) التي تضمن وجود قيود معقولة على الوصول المادي للمعلومات الشخصية ، بما في ذلك إجراء مكتوب يوضح كيفية تقييد الوصول المادي للسجل. يجب على كل قسم تخزين هذه السجلات والبيانات في منشآت مقفلة أو مناطق تخزين آمنة أو خزانات مقفلة.
      7. باستثناء حسابات إدارة النظام ، يجب أن يقتصر الوصول إلى المعلومات الشخصية المخزنة إلكترونيًا إلكترونيًا على هؤلاء الموظفين الذين لديهم معرف تسجيل دخول فريد ، مع وصول مناسب. لن يتم منح حق الوصول للموظفين الذين يقرر رئيس قسم المعلومات أنهم لا يحتاجون إلى الوصول إلى المعلومات الشخصية المخزنة إلكترونيًا.
      8. عندما لا تكون اتفاقية السرية سارية ، يجب الاتفاق كتابةً على وصول الزائر أو المقاول إلى البيانات الحساسة ، بما في ذلك على سبيل المثال لا الحصر كلمات المرور ومفاتيح التشفير والمواصفات الفنية. يجب أن يقتصر الوصول على الحد الأدنى للمبلغ الضروري. إذا كان تسجيل الدخول عن بُعد مطلوبًا للوصول ، فيجب أيضًا الموافقة على هذا الوصول من خلال قسم ITS التابع لـ HCCC.

تدابير فيزيائية

      1. يجب أن يقتصر الوصول إلى السجلات التي تحتوي على معلومات شخصية على أولئك المطلوب منهم بشكل معقول معرفة هذه المعلومات لتحقيق الغرض التجاري المشروع لـ HCCC. للتخفيف من الإفصاح غير الضروري ، سيتم تنقيح المعلومات الحساسة والشخصية ، وسيتم تخزين السجلات الورقية في منشآت مقفلة ، وسيتم تنفيذ ضوابط أمان البيانات للسجلات الإلكترونية.
      2. في نهاية يوم العمل ، يجب تخزين جميع الملفات غير الإلكترونية والسجلات الأخرى التي تحتوي على معلومات شخصية في غرف أو مكاتب أو خزانات مقفلة.
      3. يجب التخلص من السجلات الورقية التي تحتوي على معلومات شخصية بطريقة تتوافق مع NJ Stat. § 56: 8-163 ، قانون الإبلاغ عن خرق البيانات الشخصية لنيوجيرسي. هذا يعني أنه يجب التخلص من السجلات باستخدام آلة تمزيق مقطوعة ، أو طرق أخرى تجعل المعلومات غير مقروءة.

التدابير الفنية

      1. لا تسمح HCCC للموظفين بتخزين المعلومات الشخصية على الوسائط المحمولة. وهذا يشمل أجهزة الكمبيوتر المحمولة ، و USB ، والأقراص المدمجة ، وما إلى ذلك. عند إنهاء الموظفين الذين لديهم إمكانية الوصول إلى المعلومات الشخصية ، يجب على HCCC إنهاء وصولهم إلى موارد الشبكة والأجهزة المادية التي تحتوي على معلومات شخصية. يتضمن ذلك إنهاء أو تسليم حسابات الشبكة ، وحسابات قاعدة البيانات ، والمفاتيح ، والشارات ، والهواتف ، وأجهزة الكمبيوتر المحمولة أو أجهزة سطح المكتب.
      2. يُطلب من الموظفين تغيير كلمات المرور الخاصة بهم بشكل روتيني للأنظمة التي تحتوي على معلومات شخصية.
      3. يجب أن يقتصر الوصول إلى المعلومات الشخصية على المستخدمين النشطين وحسابات المستخدمين النشطة فقط.
      4. حيثما كان ذلك ممكنًا من الناحية الفنية ، فإن جميع أنظمة HCCC التي تحتفظ بها والتي تخزن المعلومات الشخصية ستستخدم ميزات القفل التلقائي التي تغلق الوصول بعد عدة محاولات تسجيل دخول غير ناجحة.
      5. يجب التخلص من السجلات الإلكترونية (بما في ذلك السجلات المخزنة على محركات الأقراص الثابتة والوسائط الإلكترونية الأخرى) التي تحتوي على معلومات شخصية وفقًا والطريقة التي تتوافق مع NJ Stat. § 56: 8-163 ، قانون الإبلاغ عن خرق البيانات الشخصية لنيوجيرسي. يتطلب هذا إتلاف المعلومات أو محوها بحيث لا يمكن عمليًا قراءة المعلومات الشخصية أو إعادة بنائها.

المخاطر الخارجية

      1. لمكافحة المخاطر الخارجية على أمان وسرية وسلامة أي سجلات إلكترونية أو ورقية أو غيرها من السجلات التي تحتوي على معلومات شخصية ، ومن أجل تقييم أو تحسين فعالية الضمانات الحالية للحد من هذه المخاطر عند الضرورة ، فإن الإجراءات التالية إلزامية وفعال على الفور:

أ) هناك جدار حماية محدث بشكل معقول وتصحيحات أمان لنظام التشغيل مصممة بشكل معقول للحفاظ على سلامة المعلومات الشخصية المثبتة على الأنظمة التي تحتوي على معلومات شخصية.

ب) هناك إصدارات محدثة بشكل معقول من برنامج وكيل أمان النظام والتي تتضمن الحماية من البرامج الضارة ، وتصحيحات محدثة بشكل معقول وتعريفات الفيروسات المثبتة على الأنظمة التي تعالج المعلومات الشخصية.

ج) عند تخزينها على مشاركات شبكة HCCC ، يجب تشفير الملفات التي تحتوي على معلومات شخصية. لا يسمح HCCC بتخزين المعلومات الشخصية على أجهزة الكمبيوتر المحمولة أو أجهزة الكمبيوتر أو أجهزة USB أو الوسائط المحمولة الأخرى. ستقوم HCCC بنشر برنامج تشفير للامتثال لهذا الهدف.

د) يجب إرسال أي معلومات شخصية يتم إرسالها إلكترونيًا إلى البائعين الخارجيين عبر خدمة البائع المشفرة أو من خلال خدمة التشفير المعينة من قبل HCCC لنقلها بشكل آمن. 

ه) سيحتاج جميع مزودي الخدمة الجدد الذين يقومون بتخزين المعلومات الشخصية الخاصة بـ HCCC في شكل إلكتروني إلى إظهار التدابير الأمنية بشكل مناسب من خلال EDUCAUSE HECVAT أو أداة مماثلة. يجب أيضًا اعتماد هؤلاء البائعين من قبل نائب رئيس HCCC للشؤون المالية والأعمال / المدير المالي.

و) يجب على موظفي الموارد البشرية وخدمات تكنولوجيا المعلومات اتباع الإجراءات الموضحة في إجراءات الاستخدام المقبول الخاصة بـ HCCC لأنظمة تكنولوجيا المعلومات المتعلقة بإنشاء أو نقل أو إنهاء الحسابات ، إلى جانب سياسات تخزين كلمات المرور والأمان المستند إلى الدور.

ز) سيتم التخلص من جميع المعلومات الشخصية التالية HCCC Policies and Procedures.

ح) حسب ما تسمح به الموارد والميزانية ، ستقوم HCCC بتنفيذ التكنولوجيا التي ستسمح للكلية بمراقبة قواعد البيانات للاستخدام غير المصرح به أو الوصول إلى المعلومات الشخصية ، واستخدام بروتوكولات المصادقة الآمنة وإجراءات التحكم في الوصول وفقًا لإجراءات HCCC.

 

وافق عليها مجلس الوزراء: يوليو 2021
سياسة مجلس الإدارة ذات الصلة: خدمات تقنية المعلومات

 

إجراءات خطة الاستجابة لحوادث أمن المعلومات

الهدف

ترشد هذه الخطة كيفية الاستجابة لحوادث أمن المعلومات في كلية مجتمع مقاطعة هدسون (HCCC). تحدد الخطة أدوار ومسؤوليات فريق الاستجابة لحوادث HCCC والخطوات الواجب اتخاذها في حالة وقوع حادث. تهدف خطة الاستجابة لحوادث أمن المعلومات (ISIRP) إلى تقليل تأثير الحادث ، والحفاظ على الأدلة لأغراض التحقيق ، واستعادة العمليات العادية في أسرع وقت ممكن.

التعريفات

حادث: حدث يؤدي إلى فقدان السرية أو السلامة أو توافر المعلومات أو أنظمة المعلومات.

استجابة: الإجراءات التي يتم اتخاذها للتخفيف من تأثير الحادث واستعادة الأنظمة والبيانات المتأثرة إلى حالتها الطبيعية.

فريق الاستجابة للحوادث (IRT): فريق الاستجابة للحوادث (IRT) هو المسؤول عن تنفيذ ISIRP. يتكون IRT من ممثلين من الإدارات ذات الصلة ، بما في ذلك على سبيل المثال لا الحصر خدمات تكنولوجيا المعلومات (ITS) ، والمالية (إدارة المخاطر) ، والمستشار القانوني ، والموارد البشرية ، والاتصالات. إن IRT مسؤول عن تنسيق الاستجابة لحادث ما والتأكد من توفر جميع الموارد اللازمة.

الأدوار والمسؤوليات

IRT مسؤول عما يلي:

  • الاستجابة للحوادث والتخفيف من أثرها.
  • التحقيق في الوقائع وتحديد أسبابها.
  • استعادة الأنظمة والبيانات التي تأثرت بحادث.
  • التواصل مع أصحاب المصلحة حول الحوادث.
  • التسجيل والإبلاغ عن الحوادث.
الإبلاغ عن الحوادث

يجب إبلاغ أنظمة النقل الذكية على الفور بجميع حوادث أمن المعلومات المشتبه بها أو المؤكدة. ستقوم أنظمة النقل الذكية (ITS) بعد ذلك بتقييم الحادث وتحديد ما إذا كان حادثًا أمنيًا. ستقوم أنظمة النقل الذكية بتصعيد الحادث إلى IRT إذا كان حادثًا أمنيًا.

خطوات الاستجابة
تصنيف الحادثة:

سيصنف IRT الحادث بناءً على شدته وتأثيره. الفئات هي كما يلي:

الفئة 1: حادث بسيط - ليس له تأثير كبير على الكلية أو عملياتها.
الفئة 2: حادث معتدل - تأثير محدود على الكلية أو عملياتها.
الفئة 3: حادث كبير - تأثير كبير على الكلية أو عملياتها.
الفئة 4: حادث خطير - أثر خطير على الكلية أو عملياتها.

الاستجابة للحادث حسب الفئة:

سيتبع IRT الخطوات التالية للرد على أي حادث:
الفئة 1: لا يوجد رد رسمي مطلوب.
الفئة 2: سيحقق فريق IRT في الحادث ويتخذ الإجراء المناسب لاحتواء الحادث والتخفيف منه.
الفئة 3: سيقوم فريق IRT بالتنسيق مع الإدارات ذات الصلة والموارد الخارجية ، مثل خبراء إنفاذ القانون والأمن السيبراني ، للتحقيق في الحادث واتخاذ الإجراءات المناسبة لاحتواء الحادث والتخفيف من حدته.
الفئة 4: سيقوم فريق IRT بتنفيذ خطة إدارة الطوارئ الخاصة بـ HCCC ، والتي تحدد الخطوات التي يجب اتباعها أثناء الأزمات الكبيرة.

خطوات ISIRP ليتبعها IRT

سيتبع IRT هذه الخطوات في حالة وقوع حادث:

  1. الرد على تقرير الحادث.
  2. التخفيف من تأثير الحادث.
  3. صنف التأثيرات على المقياس أعلاه.
  4. التحقيق في الحادث.
  5. تحديد سبب الحادث.
  6. استعادة الأنظمة والبيانات التي تأثرت بالحادث.
  7. التواصل مع أصحاب المصلحة حول الحادث.
  8. تسجيل والإبلاغ عن الحادث.
الأدوات والموارد

سيستخدم فريق IRT الأدوات والموارد التالية للاستجابة للحوادث:

  • برنامج الأمان: Sophos ، Crowdstrike
  • أنظمة النسخ الاحتياطي واستعادة البيانات: Cohesity و Arcserve و OneDrive
  • قنوات الاتصال: البريد الإلكتروني والنصوص ووسائل التواصل الاجتماعي
  • خبراء الأمن السيبراني من الأطراف الثالثة: NJ Edge ، CyberSecOp ، مستشارو تأمين الأمن السيبراني
الاختبار والتدريب

سيختبر فريق IRT الإجراءات والأدوات الموجودة ويتدرب عليها بانتظام.

خطة تواصل

سيتواصل فريق IRT مع أصحاب المصلحة التاليين في حالة وقوع حادث:

  • الطلاب
  • هيئة التدريس
  • فريق العمل
  • الصور
  • إنفاذ القانون
  • الهيئات التنظيمية
المقاييس والتقارير

سوف يقوم فريق IRT بتوثيق جميع جوانب الحادث ، بما في ذلك على سبيل المثال لا الحصر نوع الحادثة وشدتها وتأثيرها والاستجابة لها وحلها. سيتم تخزين الوثائق بشكل آمن ويمكن الوصول إليها فقط للأفراد المصرح لهم.

سيقوم IRT بجمع وتحليل المقاييس التالية المتعلقة بالحوادث:

  • عدد الحوادث
  • تكلفة الحوادث
  • حان الوقت للتعافي من الحوادث

سيقدم نائب الرئيس المساعد للتكنولوجيا ورئيس قسم المعلومات تقريرًا عن هذه المقاييس إلى مجلس أمناء HCCC.

مراجعة وتحديث

سيقوم AVP CIO بمراجعة ISIRP سنويًا وتحديثه ليعكس المشهد الأمني ​​المتغير واحتياجات HCCC المتطورة.

وافق عليها مجلس الوزراء: مايو 2023
سياسة مجلس الإدارة ذات الصلة: خدمات تقنية المعلومات

 

إجراءات المساءلة عن التكنولوجيا المحمولة

  1. مقدمة
    يهدف هذا الإجراء إلى وضع إرشادات واضحة للمساءلة والمسؤولية فيما يتعلق بفقدان أو تلف أجهزة التكنولوجيا المحمولة التي تقدمها كلية مجتمع مقاطعة هدسون (HCCC) للموظفين والطلاب. يتوافق هذا الإجراء مع سياسة خدمات تكنولوجيا المعلومات الخاصة بـ HCCC والتي وافق عليها مجلس أمناء HCCC.
  2. القابلية للتطبيق
    ينطبق هذا الإجراء على جميع الأفراد، بما في ذلك الموظفين والطلاب، الذين قامت HCCC بإصدار أجهزة تكنولوجية محمولة لهم.
  3. المسائلة

    1. المسؤولية الفردية
      1. يتحمل جميع الأفراد الذين حصلوا على أجهزة تكنولوجية محمولة مسئولية شخصية عن العناية المناسبة بالمعدات وحفظها.
      2. يجب على المستخدمين الإبلاغ عن أي فقدان أو سرقة لجهاز التكنولوجيا المحمول إلى مكتب السلامة العامة والأمن على الفور. يجب الإبلاغ عن أي ضرر يلحق بالجهاز إلى مكتب خدمات تكنولوجيا المعلومات (ITS) على الفور.
    2. إجراء تقديم التقارير
      1. يجب على الأفراد الذين يقومون بالإبلاغ عن فقدان أو تلف جهاز تقديم معلومات مفصلة حول الحادث، بما في ذلك التاريخ والوقت والموقع.
      2. يجب تقديم تقرير مكتوب بالحادث إلى مكتب السلامة العامة والأمن خلال 24 ساعة من حدوث الفقدان أو السرقة.
    3. تحقيق
      1. سيقوم مكتب السلامة والأمن العام بالتحقيق في الظروف المحيطة بفقدان جهاز التكنولوجيا المحمول.
      2. قد يُطلب من الأفراد المعنيين التعاون بشكل كامل مع التحقيق، وتقديم أي معلومات ذات صلة.
    4. إجراءات المساءلة
      1. إذا تبين أن الخسارة أو الضرر ناتج عن الإهمال أو الإجراءات المتعمدة، فقد يتحمل الفرد المسؤولية المالية عن تكلفة إصلاح أو استبدال المعدات.
      2. وسيتم إخطار الأفراد كتابيًا بنتيجة التحقيق وأي التزامات مالية.
    5. المسؤوليه الماليه
      1. سيُطلب من الأفراد المسؤولين عن الخسارة أو الضرر تعويض شركة HCCC عن تكلفة إصلاح أو استبدال جهاز التكنولوجيا المحمول. يمكن أن تأتي تكلفة إصلاح أو استبدال معدات الموظفين من ميزانية المكتب/المدرسة.
      2. قد يتم إجراء ترتيبات الدفع مع مكتب المحاسبة، وقد يؤدي عدم الوفاء بالالتزامات المالية إلى عواقب إضافية، بما في ذلك تعليق السجلات الأكاديمية أو الإجراءات التأديبية الأخرى.
  4. الاستثناءات
    سيتم التعامل مع الحالات التي تنطوي على خسارة أو ضرر بسبب السرقة أو الأنشطة الإجرامية الأخرى باتباع إجراءات إنفاذ القانون المحلية.
  5. الاتصالات
    سيتم إرسال هذه السياسة إلى جميع الأفراد الذين يتلقون أجهزة تكنولوجية محمولة من خلال توزيع المواد المكتوبة، وإدراجها في كتيبات الموظفين/الطلاب، وقنوات الاتصال الإلكترونية.

وافق عليه مجلس الوزراء في مارس 2024
السياسة المرتبطة: أنظمة النقل الذكية

 

إجراءات خطة إدارة مخاطر البائع

المُقدّمة

Tتهدف خطة إدارة مخاطر البائعين الخاصة به إلى إنشاء إطار عمل لإدارة وتخفيف المخاطر المرتبطة بباعة الجهات الخارجية في كلية مجتمع مقاطعة هدسون. يحدد الإجراء العمليات والإجراءات لتقييم البائعين والاختيار والمراقبة المستمرة لضمان أمان علاقات البائعين وامتثالها وموثوقيتها. يركز الإجراء بشكل أساسي على جمع ومراجعة المعلومات حول ملاءمة البائع وأمانه وتقييم الشروط والأحكام ولغة العقد أثناء توقيع العقد الأولي وتجديده.

  1. عملية اختيار البائعين
    1. تحديد البائعين: تحديد البائعين المحتملين بناءً على متطلبات الكلية واحتياجاتها.
    2. التقييم المبدئي للبائع: قم بتقييم البائعين المحتملين باستخدام المعايير التالية:
      1. المؤهلات والخبرة
      2. السمعة والمراجع
      3. الاستقرار المالي
      4. معايير الأمان والامتثال
      5. اتفاقيات مستوى الخدمة
    3. طلب تقديم العروض (RFP): قم بإعداد وإصدار RFP ، إذا لزم الأمر ، للموردين المختارين مع تحديد توقعات الكلية ومتطلباتها ومعايير التقييم.
    4. تقييم البائع: تقييم عروض البائعين بناءً على معايير محددة مسبقًا وإجراء أي مقابلات أو عروض تقديمية ضرورية.
    5. اختيار البائع: حدد البائع (البائعين) بناءً على نتائج التقييم ، مع مراعاة عوامل مثل التكلفة والقدرات وملف تعريف المخاطر.
  1. مجموعة أدوات تقييم مجتمع التعليم العالي (HECVAT) ومراجعتها
    1. متطلبات نموذج HECVAT: يجب على جميع البائعين المحتملين تقديم HECVAT المكتملة ؛ قد يتم استبدال نتائج تدقيق SOC 2 بـ HECVAT.
    2. المراجعة الأولية: مراجعة HECVAT لتقييم ممارسات أمان البائعين ، وإجراءات حماية البيانات ، والامتثال للوائح ذات الصلة.
    3. تقييم المخاطر: قم بإجراء تقييم للمخاطر بناءً على المعلومات الواردة في HECVAT لتحديد المخاطر المحتملة المرتبطة بعلاقة البائع.
    4. إجراءات التخفيف: تطوير إجراءات التخفيف لمعالجة المخاطر المحددة ، مثل طلب معلومات إضافية ، أو إجراء عمليات تدقيق الأمان ، أو إنشاء التزامات تعاقدية للأمان والخصوصية.
  2. مراجعة الشروط والأحكام
    1. مراجعة العقد: راجع شروط وأحكام عقد البائع المقترح ، مع التركيز على المجالات المتعلقة بخصوصية البيانات والأمان والامتثال والملكية الفكرية.
    2. المراجعة القانونية: الاستعانة بمستشار قانوني ، إذا لزم الأمر ، للتأكد من أن لغة العقد تحمي بشكل كاف مصالح الكلية وتتوافق مع القوانين واللوائح المعمول بها.
    3. التفاوض والتعديل: تعاون مع البائع للتفاوض وتعديل لغة العقد لمعالجة أي مخاوف أو ثغرات محددة.
    4. الموافقة والتوقيع: الحصول على الموافقات اللازمة للعقد وتوقيع الاتفاقية بمجرد رضا جميع الأطراف عن الشروط والأحكام.
  3. إدارة البائعين الجارية
    1. المراقبة المنتظمة: راقب باستمرار أداء البائع والممارسات الأمنية والامتثال طوال مدة العقد.
    2. مراجعة تجديد العقد: تجديد العقد مشروط بقوانين قانون العقود الخاصة بكلية المجتمع. قم بإجراء مراجعة شاملة لعلاقات الموردين ، بما في ذلك إعادة تقييم HECVAT الجديدة ، والشروط والأحكام ، ولغة العقد ، أثناء عملية تجديد العقد.
    3. تقييم أداء البائع: تقييم أداء البائع بشكل دوري مقابل اتفاقيات وتوقعات مستوى الخدمة المعمول بها.
    4. الاستجابة للحوادث: اتبع إجراءات الاستجابة للحوادث لمعالجة أي انتهاكات أمنية أو حوادث البيانات التي تنطوي على البائعين على الفور.
    5. إعادة تعيين البائعين: قم بتطوير عملية لضمان إخراج البائعين بشكل مناسب ، بما في ذلك إعادة المعلومات الحساسة وإنهاء الوصول إلى النظام.
  4. التوثيق والتقرير
    1. توثيق
      1. مستودع العقود: يجب تخزين جميع عقود الموردين ، بما في ذلك الشروط والأحكام والتعديلات والوثائق ذات الصلة ، في نظام إدارة العقود بالكلية. تأكد من أن مستودع العقود منظم ، ويسهل الوصول إليه ، ويتم تحديثه بانتظام.
      2. استكمال وثائق HECVAT والأمن: احتفظ بسجل لجميع HECVATs وعمليات تدقيق الأمان الواردة من البائعين ، بما في ذلك أي وثائق داعمة أو توضيحات مقدمة من البائعين.
      3. تقييمات المخاطر: توثيق نتائج تقييمات المخاطر التي تم إجراؤها على أساس HECVAT وأي تقييمات أو عمليات تدقيق إضافية يتم إجراؤها.
      4. تقارير الحوادث: احتفظ بسجل لأي حوادث أو انتهاكات أمنية تشمل البائعين ، جنبًا إلى جنب مع إجراءات الاستجابة للحوادث المتخذة.
    2. التقارير
      1. التقارير التنفيذية: تقديم تقارير منتظمة إلى الإدارة التنفيذية ، بما في ذلك رئيس قسم المعلومات (CIO) ومجلس الوزراء ، وتلخيص مشهد مخاطر البائعين ، وجهود التخفيف ، والحوادث أو المخاوف البارزة.
      2. تقرير تجديد العقد: قم بإعداد تقرير شامل يسلط الضوء على النتائج من مراجعة تجديد العقد ، بما في ذلك أي تغييرات أو تحسينات موصى بها لعلاقات الموردين.
      3. تقارير الامتثال: قم بإنشاء تقارير دورية عن امتثال البائعين للوائح المعمول بها والالتزامات التعاقدية ومعايير الأمان المتفق عليها.
    3. الاحتفاظ بالسجلات
      1. فترة الاحتفاظ: ستتبع وثائق تقييم مخاطر البائع جداول الاحتفاظ بالسجلات للوثائق المتعلقة بالبائع ، مما يضمن الامتثال للمتطلبات القانونية والتنظيمية والداخلية.
      2. خصوصية البيانات وحمايتها: التزم بخصوصية البيانات ولوائح الحماية المعمول بها عند تخزين المستندات المتعلقة بالبائعين ومعالجتها ، مما يضمن وجود الضمانات المناسبة.

وافق عليها مجلس الوزراء: مايو 2023
سياسة مجلس الإدارة ذات الصلة: خدمات تقنية المعلومات

العودة إلى Policies and Procedures