إجراءات خطة أمن المعلومات

 

المُقدّمة

الغرض من تطوير وتنفيذ إجراء خطة أمن المعلومات الشاملة ("الخطة") هو إنشاء ضمانات إدارية وتقنية ومادية فعالة لحماية "المعلومات الشخصية" للطلاب المحتملين والمتقدمين والطلاب والموظفين والخريجين ، وأصدقاء كلية مجتمع مقاطعة هدسون ، والامتثال لالتزاماتنا بموجب لائحة ولاية نيو جيرسي 201 CMR 17.00. تحدد الخطة إجراءاتنا لتقييم أساليبنا الإلكترونية والفيزيائية للوصول إلى "المعلومات الشخصية" الخاصة بمكونات الكلية وجمعها وتخزينها واستخدامها ونقلها وحمايتها.

لأغراض هذه الخطة ، يتم تعريف "المعلومات الشخصية" على أنها الاسم الأول للشخص واسم العائلة ، أو الاسم الأول والأخير الأول ، جنبًا إلى جنب مع أي عنصر أو أكثر من عناصر البيانات التالية التي تتعلق بهذا المقيم: (أ) الاجتماعية رقم سرى؛ (ب) رقم رخصة القيادة أو رقم بطاقة الهوية الصادر من الدولة ؛ أو (ج) رقم الحساب المالي أو رقم بطاقة الائتمان أو الخصم ، مع أو بدون أي رمز أمان مطلوب أو رمز وصول أو رقم تعريف شخصي أو كلمة مرور من شأنها أن تسمح بالوصول إلى الحساب المالي للمقيم حيث تكون كلية مجتمع مقاطعة هدسون هي الوصي على تلك البيانات ؛ شريطة ، مع ذلك ، أن "المعلومات الشخصية" يجب ألا تتضمن المعلومات التي تم الحصول عليها بشكل قانوني من المعلومات المتاحة للجمهور ، أو من السجلات الحكومية الفيدرالية أو الحكومية أو المحلية المتاحة بشكل قانوني لعامة الناس.

الهدف

الغرض من هذه الخطة هو:

    1. ضمان أمن وسرية المعلومات الشخصية ؛
    2. الحماية من أي تهديدات أو مخاطر محتملة لأمن أو سلامة المعلومات الشخصية ؛ و،
    3. الحماية من الوصول غير المصرح به إلى المعلومات الشخصية أو استخدامها بطريقة تخلق خطرًا كبيرًا لسرقة الهوية أو الاحتيال.

مجال

عند صياغة الخطة وتنفيذها ، ستقوم المؤسسة بما يلي: (1) تحديد المخاطر الداخلية والخارجية التي يمكن توقعها بشكل معقول على أمن وسرية وسلامة أي سجلات إلكترونية أو ورقية أو غيرها من السجلات التي تحتوي على معلومات شخصية ؛ (2) تقييم الاحتمالية والأضرار المحتملة لهذه التهديدات ، مع مراعاة حساسية المعلومات الشخصية ؛ (3) تقييم مدى كفاية السياسات والممارسات والإجراءات وأنظمة المعلومات والضمانات الأخرى القائمة للسيطرة على المخاطر ؛ (4) تصميم وتنفيذ خطة تضع الضمانات في مكانها الصحيح لتقليل تلك المخاطر ، بما يتفق مع متطلبات 201 CMR 17.00 ؛ و (5) مراقبة الخطة بانتظام.

منسق أمن البيانات

عينت HCCC كبير مسؤولي المعلومات (CIO) ونائب الرئيس للأعمال والمالية / المدير المالي لتنفيذ الخطة والإشراف عليها وصيانتها. سيكون رئيس قسم المعلومات ونائب الرئيس للأعمال والمالية / المدير المالي مسؤولين عن:

    1. التنفيذ الأولي للخطة ؛
    2. الإشراف على تدريب الموظفين المستمر على عناصر ومتطلبات الخطة لجميع المالكين والمديرين والموظفين والمقاولين المستقلين الذين لديهم إمكانية الوصول إلى المعلومات الشخصية ؛
    3. مراقبة ضمانات الخطة.
    4. تقييم مزودي خدمات الطرف الثالث الذين لديهم إمكانية الوصول إلى المعلومات الشخصية واستضافتها / نقلها / نسخها احتياطيًا / الاحتفاظ بها ، ومطالبة مزودي الخدمة هؤلاء بموجب عقد بتنفيذ هذه الإجراءات الأمنية المناسبة والحفاظ عليها لحماية المعلومات الشخصية ؛
    5. مراجعة نطاق التدابير الأمنية في الخطة سنويًا ، أو كلما كان هناك تغيير جوهري في ممارسات الأعمال الخاصة بـ HCCC والذي قد ينطوي على أمان أو سلامة السجلات التي تحتوي على معلومات شخصية ؛ و،
    6. مراجعة التشريعات والقوانين وتحديث السياسات والإجراءات حسب الحاجة.

المخاطر الداخلية

لمكافحة المخاطر الداخلية على أمن وسرية وسلامة أي سجلات إلكترونية أو ورقية أو غيرها من السجلات التي تحتوي على معلومات شخصية ، ومن أجل تقييم وتحسين ، عند الضرورة ، فعالية الضمانات الحالية للحد من هذه المخاطر ، التدابير التالية إلزامية وفعالة على الفور: 

الإجراءات الإدارية

      1. يجب توزيع نسخة من الخطة على الرئيس ، ومجلس وزراء الرئيس ، وموظفي خدمات تكنولوجيا المعلومات (ITS) ، وغيرهم من الموظفين المعينين الذين يتعاملون مع المعلومات الشخصية. عند استلام الخطة ، يحتاج كل فرد إلى الإقرار كتابيًا بأنه تلقى نسخة من الخطة.
      2. بعد التدريب ، سيُطلب من جميع الموظفين توقيع اتفاقيات السرية التي تصف التعامل مع المعلومات الشخصية. تتطلب اتفاقيات السرية من الموظفين الإبلاغ عن أي استخدام مشبوه أو غير مصرح به "للمعلومات الشخصية" إلى مدير المعلومات أو نائب الرئيس للموارد البشرية.
      3. يجب أن يقتصر مقدار المعلومات الشخصية التي يتم جمعها على ما هو ضروري بشكل معقول لتحقيق أغراض تجارية مشروعة. يتم التعامل مع استخدام المعلومات الشخصية من خلال عمليات التدقيق في مختلف المجالات.
      4. يجب مراجعة جميع تدابير أمن البيانات سنويًا على الأقل ، أو كلما كان هناك تغيير جوهري في ممارسة أعمال HCCC أو تغيير في القانون قد ينطوي بشكل معقول على أمان أو سلامة السجلات التي تحتوي على معلومات شخصية. يكون رئيس قسم المعلومات ونائب الرئيس للأعمال والشؤون المالية / المدير المالي مسؤولين عن هذه المراجعة ويبلغ رؤساء الأقسام بشكل كامل بنتائج تلك المراجعة وأي توصيات لتحسين الأمان تنشأ عن تلك المراجعة.
      5. متى كان هناك حادث يتطلب إخطارًا بموجب قانون نيوجيرسي. § 56: 8-163 ، قانون الإبلاغ عن خرق البيانات الشخصية لنيوجيرسي ، يجب أن تكون هناك مراجعة إلزامية فورية بعد الحادث للأحداث والإجراءات المتخذة ، إن وجدت ، لتحديد ما إذا كانت أي تغييرات في الممارسات الأمنية الخاصة بـ HCCC مطلوبة من أجل تحسين أمن المعلومات الشخصية بموجب الخطة.
      6. يجب على كل قسم تطوير قواعد (مع الأخذ في الاعتبار احتياجات العمل لهذا القسم) التي تضمن وجود قيود معقولة على الوصول المادي للمعلومات الشخصية ، بما في ذلك إجراء مكتوب يوضح كيفية تقييد الوصول المادي للسجل. يجب على كل قسم تخزين هذه السجلات والبيانات في منشآت مقفلة أو مناطق تخزين آمنة أو خزانات مقفلة.
      7. باستثناء حسابات إدارة النظام ، يجب أن يقتصر الوصول إلى المعلومات الشخصية المخزنة إلكترونيًا إلكترونيًا على هؤلاء الموظفين الذين لديهم معرف تسجيل دخول فريد ، مع وصول مناسب. لن يتم منح حق الوصول للموظفين الذين يقرر رئيس قسم المعلومات أنهم لا يحتاجون إلى الوصول إلى المعلومات الشخصية المخزنة إلكترونيًا.
      8. عندما لا تكون اتفاقية السرية سارية ، يجب الاتفاق كتابةً على وصول الزائر أو المقاول إلى البيانات الحساسة ، بما في ذلك على سبيل المثال لا الحصر كلمات المرور ومفاتيح التشفير والمواصفات الفنية. يجب أن يقتصر الوصول على الحد الأدنى للمبلغ الضروري. إذا كان تسجيل الدخول عن بُعد مطلوبًا للوصول ، فيجب أيضًا الموافقة على هذا الوصول من خلال قسم ITS التابع لـ HCCC.

تدابير فيزيائية

      1. يجب أن يقتصر الوصول إلى السجلات التي تحتوي على معلومات شخصية على أولئك المطلوب منهم بشكل معقول معرفة هذه المعلومات لتحقيق الغرض التجاري المشروع لـ HCCC. للتخفيف من الإفصاح غير الضروري ، سيتم تنقيح المعلومات الحساسة والشخصية ، وسيتم تخزين السجلات الورقية في منشآت مقفلة ، وسيتم تنفيذ ضوابط أمان البيانات للسجلات الإلكترونية.
      2. في نهاية يوم العمل ، يجب تخزين جميع الملفات غير الإلكترونية والسجلات الأخرى التي تحتوي على معلومات شخصية في غرف أو مكاتب أو خزانات مقفلة.
      3. يجب التخلص من السجلات الورقية التي تحتوي على معلومات شخصية بطريقة تتوافق مع NJ Stat. § 56: 8-163 ، قانون الإبلاغ عن خرق البيانات الشخصية لنيوجيرسي. هذا يعني أنه يجب التخلص من السجلات باستخدام آلة تمزيق مقطوعة ، أو طرق أخرى تجعل المعلومات غير مقروءة.

التدابير الفنية

      1. لا تسمح HCCC للموظفين بتخزين المعلومات الشخصية على الوسائط المحمولة. وهذا يشمل أجهزة الكمبيوتر المحمولة ، و USB ، والأقراص المدمجة ، وما إلى ذلك. عند إنهاء الموظفين الذين لديهم إمكانية الوصول إلى المعلومات الشخصية ، يجب على HCCC إنهاء وصولهم إلى موارد الشبكة والأجهزة المادية التي تحتوي على معلومات شخصية. يتضمن ذلك إنهاء أو تسليم حسابات الشبكة ، وحسابات قاعدة البيانات ، والمفاتيح ، والشارات ، والهواتف ، وأجهزة الكمبيوتر المحمولة أو أجهزة سطح المكتب.
      2. يُطلب من الموظفين تغيير كلمات المرور الخاصة بهم بشكل روتيني للأنظمة التي تحتوي على معلومات شخصية.
      3. يجب أن يقتصر الوصول إلى المعلومات الشخصية على المستخدمين النشطين وحسابات المستخدمين النشطة فقط.
      4. حيثما كان ذلك ممكنًا من الناحية الفنية ، فإن جميع أنظمة HCCC التي تحتفظ بها والتي تخزن المعلومات الشخصية ستستخدم ميزات القفل التلقائي التي تغلق الوصول بعد عدة محاولات تسجيل دخول غير ناجحة.
      5. يجب التخلص من السجلات الإلكترونية (بما في ذلك السجلات المخزنة على محركات الأقراص الثابتة والوسائط الإلكترونية الأخرى) التي تحتوي على معلومات شخصية وفقًا والطريقة التي تتوافق مع NJ Stat. § 56: 8-163 ، قانون الإبلاغ عن خرق البيانات الشخصية لنيوجيرسي. يتطلب هذا إتلاف المعلومات أو محوها بحيث لا يمكن عمليًا قراءة المعلومات الشخصية أو إعادة بنائها.

المخاطر الخارجية

      1. لمكافحة المخاطر الخارجية على أمان وسرية وسلامة أي سجلات إلكترونية أو ورقية أو غيرها من السجلات التي تحتوي على معلومات شخصية ، ومن أجل تقييم أو تحسين فعالية الضمانات الحالية للحد من هذه المخاطر عند الضرورة ، فإن الإجراءات التالية إلزامية وفعال على الفور:

أ) هناك جدار حماية محدث بشكل معقول وتصحيحات أمان لنظام التشغيل مصممة بشكل معقول للحفاظ على سلامة المعلومات الشخصية المثبتة على الأنظمة التي تحتوي على معلومات شخصية.

ب) هناك إصدارات محدثة بشكل معقول من برنامج وكيل أمان النظام والتي تتضمن الحماية من البرامج الضارة ، وتصحيحات محدثة بشكل معقول وتعريفات الفيروسات المثبتة على الأنظمة التي تعالج المعلومات الشخصية.

ج) عند تخزينها على مشاركات شبكة HCCC ، يجب تشفير الملفات التي تحتوي على معلومات شخصية. لا يسمح HCCC بتخزين المعلومات الشخصية على أجهزة الكمبيوتر المحمولة أو أجهزة الكمبيوتر أو أجهزة USB أو الوسائط المحمولة الأخرى. ستقوم HCCC بنشر برنامج تشفير للامتثال لهذا الهدف.

د) يجب إرسال أي معلومات شخصية يتم إرسالها إلكترونيًا إلى البائعين الخارجيين عبر خدمة البائع المشفرة أو من خلال خدمة التشفير المعينة من قبل HCCC لنقلها بشكل آمن. 

ه) سيحتاج جميع مزودي الخدمة الجدد الذين يقومون بتخزين المعلومات الشخصية الخاصة بـ HCCC في شكل إلكتروني إلى إظهار التدابير الأمنية بشكل مناسب من خلال EDUCAUSE HECVAT أو أداة مماثلة. يجب أيضًا اعتماد هؤلاء البائعين من قبل نائب رئيس HCCC للشؤون المالية والأعمال / المدير المالي.

و) يجب على موظفي الموارد البشرية وخدمات تكنولوجيا المعلومات اتباع الإجراءات الموضحة في إجراءات الاستخدام المقبول الخاصة بـ HCCC لأنظمة تكنولوجيا المعلومات المتعلقة بإنشاء أو نقل أو إنهاء الحسابات ، إلى جانب سياسات تخزين كلمات المرور والأمان المستند إلى الدور.

ز) سيتم التخلص من جميع المعلومات الشخصية التالية HCCC Policies and Procedures.

ح) حسب ما تسمح به الموارد والميزانية ، ستقوم HCCC بتنفيذ التكنولوجيا التي ستسمح للكلية بمراقبة قواعد البيانات للاستخدام غير المصرح به أو الوصول إلى المعلومات الشخصية ، واستخدام بروتوكولات المصادقة الآمنة وإجراءات التحكم في الوصول وفقًا لإجراءات HCCC.

وافق عليها مجلس الوزراء: يوليو 2021
سياسة مجلس الإدارة ذات الصلة: ITS

العودة إلى Policies and Procedures