I. 概述
本信息安全计划(“计划”)描述了彩票365官方网站的安全措施 保护个人机密信息.
机密的个人身份信息 (“CPII”),就本计划而言,包括以下类别的资料:
- 客户信息在《彩票365官方网站》(GLBA)中被定义为包括学院在提供金融产品或服务的过程中从客户那里获得的任何非公开个人信息. 提供金融产品或服务包括向学生提供学生贷款, 在提供经济援助计划时,从学生的父母或监护人那里收到所得税信息, 并提供其他金融服务. 非公开的个人信息包括但不限于银行和信用卡账号以及收入和信用记录, 无论是纸质的还是电子的.
- 个人信息是在新泽西州定义的, to include the person’s plus one or more of the following: Social Security Number; Driver license or state identification number; Account number or credit or debit card number in combination and security code, 存取码或密码, 等. permitting access to the person’s account; Dissociated data that, 如果链接, 会变成个人身份信息,还是允许访问该个人身份信息的手段
提供这些保障是为了:
- 保护CPII的安全和机密性
- 防范对CPII的安全性或完整性的威胁或危害
- 防止未经授权访问或使用可能对任何人造成伤害或不便的CPII.
该计划还规定了以下机制:
- 识别和评估彩票365官方网站维护的CPII风险
- 制定政策和程序来管理和控制这些风险
- 实施和审查计划
- 调整计划以反映技术的变化, CPII的敏感性和内部或外部对信息安全的威胁.
II. CPII风险管理
彩票365官方网站认识到CPII安全存在内部和外部风险. 这些风险包括但不限于:
- 非拥有人未经授权访问CPII
- 由于未经授权的人员访问系统而危及系统安全性
- 在传输过程中截取数据
- 数据完整性丢失
- 数据在灾难或其他情况下的物理丢失
- 引入系统的错误
- 数据或系统的损坏
- 员工未经授权访问CPII
- 未经授权的CPII请求
- 通过硬拷贝文件或报告进行未经授权的访问
- 未经授权通过第三方转移个人资料
彩票365官方网站认识到,这可能不是与CPII保护相关的风险的完整列表. 由于技术不是静态的,新的风险会定期产生. 相应的, 信息技术部将积极参与并监督教育安全研究所等咨询小组的工作, 第二代互联网安全工作组和SANS,以识别新的风险.
A. 信息安全计划协调员
首席信息官(CIO)和首席财务官(CFO)作为本计划的协调人. 他们负责评估与维护和传输CPII相关的风险,并实施程序以尽量减少对彩票365官方网站的风险.
B. 保障计划的设计与实施
- 员工管理与培训
在学院工作过程中使用或可以访问CPII的部门的员工接受有关CPII保密重要性的培训, 包括对FERPA等法律要求的审查, HIPAA, GLBA, 以及新泽西州的法律. 员工们接受了如何避免笔记本电脑被盗等风险的培训, 无线监听, 钓鱼式攻击, 病毒感染, 和间谍软件. 员工也接受了保护密码安全重要性的培训. 日常处理个人身份信息的部门有责任对员工进行控制和程序方面的培训,以防止员工向未经授权的个人提供机密信息. 员工还接受了如何正确处理包含CPII的文档的培训. 每个负责维护CPII的部门都被指示采取措施保护CPII免受破坏, 环境危害造成的损失或损坏, 例如火灾和水损坏或技术故障. 这些培训工作应有助于将风险降至最低,并保障CPII安全. - 物理安全
Atlantic Cape通过限制只有那些有业务理由知道这些信息的员工才能访问这些信息来解决CPII的物理安全性问题. CPII仅提供给有适当业务需要的Atlantic Cape员工.
包含CPII的纸质文件保存在办公室文件柜或每晚上锁的房间里. 只有经过授权的员工才能进入这些空间. 存放包含CPII的纸质文件的存储区域始终保持安全. 未经部门经理批准,不得将含有CPII的纸质文件带出校园. 包含CPII的纸质文件在处理时被切碎或安全销毁. - 信息系统
通过学院的计算机信息系统访问CPII仅限于那些有商业理由知道这些信息的员工. 每个员工分配一个用户名和密码. 包含CPII的数据库, 包括但不限于账户, 余额和事务信息, 只适用于在适当部门和职位的员工.
彩票365官方网站采取合理和适当的步骤,以符合当前的技术发展,以确保所有电子形式的CPII是安全的,并在存储和传输过程中保护记录的完整性. ITS运行威胁检测软件来识别被破坏和/或感染的系统,以便他们采取适当的措施来降低风险. 中央软件系统的密码需要遵守复杂度规则,并需要定期修改. 在技术可行的情况下,采用加密技术进行CPII的传输. 存储在笔记本电脑或其他便携式设备上的所有CPII都必须加密. 当个人电脑被重新部署, 所有内存组件完全重新格式化或擦除任何新的使用. - 响应系统故障
彩票365官方网站维护系统来防止, 检测, 并对攻击做出反应, 入侵, 以及其他系统故障. ITS定期审查网络访问和安全政策和程序, 以及响应网络攻击和入侵的协议. 任何安全漏洞或其他系统故障必须立即报告给首席信息官(CIO)。. 学院维护事件响应计划(IRP)和灾难恢复(DR)基础设施,以响应事件和恢复场景. 信息安全计划协调员应负责记录响应措施, 作为IRP的一部分, 指与任何涉及违反安全的事件有关, 以及对事件和所采取行动的强制性事后审查, 如果有任何, 改变有关保护个人资料的商业惯例.
C. 服务提供商监督
每当学院保留一个服务提供商,将维护, 处理或访问CPII, 学院将确保供应商有足够的信息安全计划来保护CPII. 学院将在与有权访问CPII的服务提供商签订的合同中包括一项条款,要求提供商采取符合新泽西州法律及其法规要求的安全措施,并确保此类CPII仅用于合同中规定的目的.
D. 计算机系统保安基础设施
彩票365官方网站维护一个计算机安全系统,至少在技术上可行的范围内提供:
- 安全用户认证协议包括:
- 控制用户id和其他标识符
- 一种相当安全的分配、选择和轮换密码的方法
- 控制资料保安密码,以确保该等密码所保存的位置及/或格式不会损害其所保护资料的安全性
- 仅限制对活跃用户和活跃用户帐户的访问
- 在多次不成功的访问尝试后阻止对用户标识的访问,或者限制对特定系统的访问
- 确保访问控制措施:
- 将包含CPII的记录和文件的访问权限限制在需要这些信息以执行其工作职责的人员
- 分配唯一的标识和密码, 哪些不是供应商提供的默认密码, 给每一个能使用电脑的人, 合理设计以保持访问控制的机密性和完整性的安全性
- 对所有包含CPII的传输记录和文件进行加密,这些记录和文件将通过公共网络传输, 并对所有包含CPII的数据进行加密,以无线传输
- 合理监控系统和日志,防止未经授权使用或访问CPII
- 加密存储在笔记本电脑或其他便携式设备上的所有CPII
- 对于连接到Internet的系统上包含CPII的文件, 必须有最新的防火墙保护和操作系统安全补丁, 合理设计以维持CPII的完整性
- 对关键数据使用网络分段,并对关键数据进行额外的安全控制
- 最新版本的系统安全代理软件,必须包括恶意软件保护和最新的补丁和病毒定义, 或者这类软件的某个版本仍然可以得到最新补丁和病毒定义的支持, 并将定期接收最新的安全更新
- 教育及培训雇员正确使用电脑保安系统,以及资讯基建保安的重要性.
- 电子邮件安全控制,如MFA,反垃圾邮件和网络钓鱼技术
- 正式的数据存储设备销毁和处置程序
- 定期对内部和外部的渗透和漏洞进行扫描
- 通过正式的变更管理流程和政策实施影响CPII的所有系统/应用程序变更
信息安全计划协调员与学院相关部门合作,确保安全系统基础设施得到适当维护.
E. CPII的保留
CPII将仅在学院合理的商业目的所需的时间内保留, 包括为了遵守任何州或联邦法律. 每个存储CPII的部门将每年审查其保留的CPII,以确定哪些信息可能被清除.
F. 违反本政策的行为
任何违反本政策的员工将根据学院的行为准则或其他相关纪律政策受到纪律处分.
G. 终止访问CPII
一旦有权访问CPII的雇员结束其雇佣关系, 不管是自愿还是非自愿的, 该员工对CPII的访问将被终止.
H. 持续评估与调整
本计划将定期审查和调整. 由于技术的变化,调整可能是必要的或可取的, 本计划所涵盖的信息的敏感性增加或减少, 以及对所涵盖信息的安全性和完整性的内部或外部威胁的评估, 除其他原因外. 继续管理开发, 本计划的实施和维护将由信息安全计划协调员负责, 谁可以为实施和管理分配适当的具体责任.