PROPÓSITO
Esta política proporciona las expectativas y pautas del Colegio Comunitario del Condado de Hudson ("Colegio") para todos los que usan y administran los Servicios y recursos de tecnología de la información del Colegio ("Recursos ITS").
La universidad proporciona recursos ITS para avanzar en los objetivos educativos, de servicio, comerciales y de éxito de los estudiantes de la universidad. Cualquier acceso o uso de los Recursos ITS del Colegio que interfiera, interrumpa o entre en conflicto con estos propósitos se considerará una violación de esta política. Estarán sujetos a consecuencias, incluida la revocación del acceso a ITS.
POLÍTICA
Esta política se aplica a todos los miembros de la comunidad universitaria, incluidos los docentes, los estudiantes, los administradores, el personal, los ex alumnos, los invitados autorizados y los contratistas independientes que usan, acceden o emplean de otro modo, local o remotamente, los recursos ITS de la universidad, ya sea que estén controlados individualmente, compartida, independiente o en red.
La Junta delega en el Presidente la responsabilidad de desarrollar procedimientos y lineamientos para la implementación de esta política. La Oficina de Finanzas y Servicios de Tecnologías de la Información será responsable de implementar la política.
Aprobado: junio de 2021
Aprobado por: Patronato
Categoría: Servicios de tecnología de la información
Revisión programada: junio de 2024
Oficina(s) Responsable(s): Oficina de Servicios de Tecnologías de la Información y Finanzas
Procedimientos
Procedimiento de uso aceptable para sistemas de tecnología de la información
Introducción
Este procedimiento tiene como objetivo garantizar que los Sistemas de Tecnología de la Información (ITS) del Colegio se utilicen para promover la misión del Colegio. Este procedimiento se ajusta a la Política de Servicios de Tecnología de la Información de HCCC aprobada por la Junta Directiva de HCCC.
Aplicabilidad
Este procedimiento se aplica a todos los usuarios individuales que acceden y usan recursos informáticos, de redes e información a través de cualquier instalación del Colegio. Estos usuarios incluyen todo el personal, facultad, administradores y otras personas contratadas o contratadas para realizar el trabajo de la Universidad Comunitaria del Condado de Hudson.
Este procedimiento cubre todos los sistemas de tecnología de la información de la universidad, incluidos los recursos informáticos, de redes y otros recursos de tecnología de la información que son propiedad u operados por, adquiridos a través de o contratados por la universidad. Dichos recursos incluyen los sistemas informáticos y de redes del Colegio (incluidos los conectados a la infraestructura de telecomunicaciones del Colegio, las redes troncales de todo el Colegio, las redes de área local e Internet), los sitios de acceso público, los sistemas informáticos compartidos, las computadoras de escritorio, los dispositivos móviles, otros hardware informático, software, bases de datos almacenadas o accesibles a través de la red, instalaciones de ITS/aplicaciones empresariales y sistemas y servicios de comunicaciones.
Responsabilidad
El Director de Información (CIO) y los Directores/Gerentes de ITS/Aplicaciones Empresariales deberán implementar este procedimiento. Los informes de los usuarios sobre sospechas de abuso y otras quejas se dirigirán al CIO. El CIO deberá informar el incidente al Vicepresidente de Negocios y Finanzas/CFO. Los detalles del procedimiento se describen a continuación en "Incumplimiento y sanciones".
Privacidad
El Colegio otorga un gran valor a la privacidad y reconoce su importancia crítica en un entorno académico. En circunstancias limitadas, que incluyen, entre otros, problemas o fallas técnicas, solicitudes de aplicación de la ley o regulaciones gubernamentales, la universidad puede determinar que otros intereses superan el valor de la expectativa de privacidad de un usuario. Solo entonces el Colegio accederá a los Sistemas de TI relevantes sin el consentimiento del usuario. El Colegio se compromete a proteger la privacidad de los usuarios siempre que ello no comprometa los recursos institucionales. Las circunstancias bajo las cuales el Colegio puede necesitar obtener acceso se discuten a continuación. Se han establecido garantías procesales para garantizar que el acceso se obtenga solo cuando sea apropiado.
Condiciones – De conformidad con las leyes estatales y federales, el Colegio puede acceder a todos los aspectos de los Sistemas de TI, sin el consentimiento del usuario, en las siguientes circunstancias:
-
-
- Cuando sea necesario para identificar o diagnosticar sistemas o vulnerabilidades y problemas de seguridad, o de otro modo preservar la integridad de los Sistemas de TI del Colegio;
- Cuando lo exijan las leyes federales, estatales o locales o las normas administrativas;
- Cuando existan motivos razonables para creer que puede haberse producido una infracción de la ley o una infracción significativa de la política o el procedimiento del Colegio, y el acceso, la inspección o el control pueden producir pruebas relacionadas con la mala conducta;
- Cuando dicho acceso a TI/Sistemas de Aplicaciones Empresariales sea necesario para llevar a cabo funciones comerciales esenciales del Colegio; y,
- Cuando sea necesario para preservar la salud y la seguridad públicas.
Bajo la Ley de Registros Públicos Abiertos de Nueva Jersey, el Colegio se reserva el derecho de acceder y divulgar datos. Esta divulgación puede incluir mensajes, datos, archivos y copias de seguridad o archivos de correo electrónico. La divulgación a las autoridades encargadas de hacer cumplir la ley y otros se realizará según lo exija la ley, para responder a procesos legales y para cumplir con sus obligaciones con terceros. Incluso el correo electrónico eliminado está sujeto a descubrimiento legal durante el litigio a través de archivos de mensajes, cintas de respaldo y mensajes de recuperación.
Procesos – El Colegio accederá a los datos sin el consentimiento del usuario solo con la aprobación del CIO y el Vicepresidente de Negocios y Finanzas/CFO. Este proceso se evitará solo cuando el acceso a datos de emergencia sea necesario para preservar la integridad de las instalaciones y preservar la salud y la seguridad públicas. El Colegio, a través del CIO, registrará todas las instancias de acceso sin consentimiento. Un usuario será notificado del acceso del Colegio a los Sistemas de TI relevantes sin consentimiento. Según las circunstancias, dicha notificación se producirá antes, durante o después del acceso a criterio del Colegio.
Principios generales
- El acceso a la tecnología de la información es vital para la misión del Colegio de brindar a sus estudiantes servicios educativos de la más alta calidad.
- El Colegio es propietario de sus sistemas informáticos, de redes y de otras comunicaciones.
- El Colegio también tiene varios derechos relacionados con la licencia del software y la información que reside o se desarrolla en estas computadoras y redes. El Colegio tiene la responsabilidad de la seguridad, integridad, mantenimiento y confidencialidad de sus sistemas de comunicación.
- Los sistemas de TI de la universidad existen para apoyar al personal, la facultad, los administradores, los consultores y los estudiantes mientras llevan a cabo la misión de la universidad. Con estos fines, el Colegio alienta y promueve el uso de estos recursos por parte de la comunidad del Colegio para los fines previstos. El acceso y uso de estos recursos fuera de la misión del Colegio está sujeto a regulación y restricción para garantizar que no interfieran con el trabajo legítimo. Se prohíbe el acceso y uso de recursos y servicios que interfieran con la misión y metas del Colegio.
- Cuando la demanda de recursos de tecnología de la información supera la capacidad disponible, ITS establece prioridades para la asignación de los recursos. ITS da una mayor prioridad a las actividades esenciales para la misión del Colegio. Junto con el Director de Información, los Vicepresidentes recomendarán estas prioridades al Presidente.
- El Colegio tiene la autoridad para controlar o negar el acceso a cualquier persona que viole este procedimiento. Amenazar los derechos de otros usuarios, la disponibilidad e integridad de los sistemas y la información es una violación de este procedimiento. Las consecuencias de la violación del procedimiento incluyen la desactivación de cuentas, códigos de acceso o autorizaciones de seguridad, la detención de procesos, la eliminación de archivos afectados y la inhabilitación del acceso a los recursos de tecnología de la información.
Derechos de los Usuarios
- Privacidad y confidencialidad: Como se describe más detalladamente en la sección IV (arriba), el Colegio generalmente respetará los derechos de privacidad y confidencialidad de los usuarios. Sin embargo, debido a su naturaleza tecnológica, las comunicaciones electrónicas, especialmente el correo electrónico conectado a Internet, pueden no ser seguras frente al acceso, la visualización o la infracción no autorizados. Aunque el Colegio emplea tecnologías para proteger los mensajes electrónicos, no siempre se puede garantizar la confidencialidad del correo electrónico y otros documentos electrónicos. Por lo tanto, el buen juicio dicta la elaboración de documentos electrónicos que puedan hacerse públicos sin vergüenza ni daño.
- Seguridad: El uso por parte de la facultad, el personal o los administradores de la Universidad de los sistemas de TI de la Universidad para transmitir comunicaciones amenazantes, acosadoras u ofensivas (o la exhibición de imágenes o materiales ofensivos) es una violación del procedimiento de la Universidad y puede someter al infractor a una sanción severa. . El personal de la universidad debe informar las comunicaciones amenazantes, acosadoras u ofensivas recibidas a través de la red al CIO lo antes posible.
Responsabilidades de los usuarios
- Las personas con acceso a los recursos informáticos, de redes e información de la universidad son responsables de utilizarlos de manera profesional, ética y legal y de conformidad con todas las políticas aplicables de la universidad. Los usuarios deben tomar las medidas razonables y necesarias para salvaguardar la integridad operativa y la accesibilidad de los sistemas del Colegio. Los usuarios deben mantener un ambiente académico y laboral propicio para el cumplimiento eficiente y productivo de la misión del Colegio. Específicamente, las responsabilidades de los usuarios incluyen:
-
- Respetar los derechos de los demás, incluidos sus derechos de propiedad intelectual, privacidad y libertad frente al acoso;
- Salvaguardar la confidencialidad de la información confidencial del Colegio y la privacidad de la información de los estudiantes siguiendo las políticas y procedimientos de FERPA y del Colegio;
- Usar sistemas y recursos para no interferir o interrumpir las operaciones diarias normales del Colegio;
- Proteger la seguridad y la integridad de la información almacenada en College IT/Sistemas de aplicaciones empresariales;
- Conociendo y obedeciendo Universidad y unidad específica policies and procedures que rigen el acceso y el uso de los sistemas de TI de la universidad y la información sobre esos sistemas.
Proscripciones específicas sobre el uso de la red
- Las personas no pueden compartir contraseñas o ID de inicio de sesión ni dar acceso a otros a ningún sistema del que no sean responsables de los datos o el sistema. Los usuarios son responsables de cualquier actividad realizada con sus cuentas de computadora y la seguridad de su contraseña. Solo las personas autorizadas pueden usar los sistemas de aplicaciones empresariales/TI de la universidad.
- Las personas no pueden usar la cuenta de red de otra persona ni intentar obtener contraseñas o códigos de acceso a la cuenta de red de otra persona para enviar o recibir mensajes.
- Las personas físicas deberán identificarse a sí mismas y a su afiliación de forma precisa y adecuada en las comunicaciones electrónicas. No pueden disfrazar la identidad de la cuenta de red que se les asignó ni presentarse como otra persona.
- Las personas no pueden usar los sistemas del Colegio para acosar, intimidar, amenazar o insultar a otros; interferir con el trabajo o la educación de otra persona; para crear un ambiente de trabajo o aprendizaje intimidatorio, hostil u ofensivo; o para realizar actividades ilegales o poco éticas, incluido el plagio y la invasión de la privacidad.
- Las personas no pueden usar los sistemas del Colegio para obtener o intentar obtener acceso no autorizado a redes o sistemas informáticos remotos.
- Las personas no pueden interrumpir deliberadamente las operaciones normales de las computadoras, estaciones de trabajo, terminales, periféricos o redes del Colegio.
- Las personas no pueden ejecutar ni instalar programas en ningún sistema informático de la Universidad que puedan dañar los datos y sistemas de la Universidad (por ejemplo, virus informáticos, programas personales). Los usuarios no deben utilizar la red del Colegio para interrumpir los sistemas externos. Si un usuario sospecha que un programa que intenta instalar o usar puede causar tal efecto, primero debe consultar con ITS/Aplicaciones Empresariales.
- Las personas no pueden eludir o evitar el uso de sistemas de autenticación, mecanismos de protección de datos u otras medidas de seguridad.
- Las personas no deben violar las leyes y licencias de derechos de autor aplicables, y deben respetar otros derechos de propiedad intelectual. La información y el software accesibles en Internet están sujetos a derechos de autor o protección adicional de derechos de propiedad intelectual. La política, los procedimientos y la ley de la universidad prohíben la copia no autorizada de software que no haya sido colocado en el dominio público y distribuido como "software gratuito". Por lo tanto, nada debe descargarse o copiarse de Internet sin el permiso expreso del propietario del material. Los usuarios deben observar los requisitos o limitaciones del propietario del material. El uso de software en más de la cantidad de computadoras con licencia y la instalación no autorizada de software sin licencia también están prohibidos.
Los usuarios de "Shareware" deben cumplir con los requisitos del acuerdo de shareware.
- Quedan prohibidas las actividades que derrochen o monopolicen injustamente los recursos de cómputo y que no promuevan la misión del Colegio. Ejemplos de tales actividades incluyen correos electrónicos masivos no autorizados; cartas en cadena electrónicas, correo no deseado y otros tipos de mensajes de difusión; múltiples procesos, salida o tráfico innecesarios; exceder las limitaciones de espacio del directorio de red; jugar, "navegar" por Internet con fines recreativos u otras aplicaciones no relacionadas con el trabajo durante el horario comercial; y la impresión excesiva.
- Está prohibido leer, copiar, cambiar o borrar programas o archivos que pertenecen a otra persona o al Colegio sin permiso.
- Las personas no deben utilizar los recursos informáticos de la universidad con fines comerciales o para obtener ganancias financieras personales.
- Está prohibido el uso de los sistemas de TI de la universidad que infrinja las leyes o reglamentos locales, estatales o nacionales o las políticas, normas de conducta o directrices de la universidad.
- Comunicaciones por correo electrónico:
-
- El sistema de correo electrónico de la universidad existe para respaldar el trabajo de la universidad, y el uso del correo electrónico debe estar relacionado con los asuntos de la universidad. Sin embargo, también se permite el uso personal incidental, no comercial, sin costo directo para la universidad que no interfiera con los negocios legítimos de la universidad.
- Quedan prohibidas las comunicaciones electrónicas cuyo significado, transmisión o distribución sea ilegal, poco ética, fraudulenta, difamatoria, acosadora o irresponsable. Los sistemas de correo electrónico de la universidad no deben usarse para comunicar contenido que pueda considerarse inapropiado, ofensivo o irrespetuoso con los demás.
- Las personas deben observar los estándares profesionales apropiados de civilidad y decencia en todas las comunicaciones electrónicas.
- Toda la correspondencia por correo electrónico relacionada con los asuntos de la universidad (incluida la que se envía a los estudiantes y futuros estudiantes) debe enviarse con un fondo blanco y no debe usar papelería decorativa.
- Los correos electrónicos transmitidos a la comunidad universitaria se relacionarán con la política y los procedimientos de la universidad, las noticias de la universidad, un evento patrocinado por la universidad o elementos que afecten a la comunidad universitaria. Están prohibidos los artículos a la venta, las solicitudes de donación y otros asuntos comerciales ajenos a la universidad. Las personas no pueden enviar correos electrónicos solicitando este tipo de información a través de las listas de correo del Colegio.
World Wide Web
- El sitio web del Colegio Comunitario del Condado de Hudson es una publicación oficial del Colegio. Toda la información contenida en las páginas web debe ser precisa y reflejar la política y los procedimientos oficiales del Colegio.
- Las páginas web oficiales de la universidad se ajustan a los mismos estándares que cualquier publicación impresa de la universidad. El CIO, el Director de Mercadeo y Relaciones Universitarias, el Gerente de Servicios Web y el Vicepresidente correspondiente o su designado tendrán la responsabilidad final por el contenido y diseño de cada página.
- El administrador de servicios web y el personal del colegio responsable de cada división o departamento revisarán regularmente la actualidad y la precisión de las páginas web oficiales del colegio comunitario del condado de Hudson. Las áreas individuales son responsables de comunicar las revisiones y actualizaciones, a medida que ocurren, al Gerente de Servicios Web, quien las revisará y coordinará su publicación.
Incumplimiento y Sanciones
El incumplimiento de este procedimiento puede resultar en la denegación o eliminación de los privilegios de acceso a los sistemas electrónicos del Colegio, acción disciplinaria bajo el Colegio aplicable.
policies and procedures, responsabilidad civil y litigio, y enjuiciamiento penal según las leyes estatales, federales y locales correspondientes.
El proceso para una investigación de sospechas de abusos e incumplimiento de este procedimiento es el siguiente:
-
- Reporte sospechas de abuso al CIO.
- Si el Vicepresidente de Negocios y Finanzas/CFO está de acuerdo, el CIO investigará el informe.
- El CIO informará cualquier abuso descubierto al vicepresidente de la división correspondiente, quien determinará las medidas disciplinarias correspondientes.
Procedimientos de cuentas de red, correo electrónico e Internet
Los elegibles para las cuentas son los siguientes:
-
- Todo el personal asalariado de tiempo completo del Colegio Comunitario del Condado de Hudson.
- Todos los profesores adjuntos y otros consultores contratados por el Colegio a través de cartas de acuerdo, memorandos de entendimiento o contrato.
- Todos los miembros del Patronato.
- El personal a tiempo parcial de Hudson County Community College que tenga una necesidad demostrada de recursos informáticos disponibles de ITS/Aplicaciones empresariales (aparte del acceso general a Internet), relacionado con su trabajo en la universidad, es elegible para cuentas temporales.
- Los empleados de instituciones educativas afiliadas que tienen relaciones con el Colegio Comunitario del Condado de Hudson y una necesidad demostrada de recursos informáticos de aplicaciones empresariales/ITS (aparte del acceso general a Internet) son elegibles para cuentas temporales.
- Las organizaciones afiliadas con una misión académica cuyas actividades relacionadas con el Colegio requieran recursos de cómputo que la afiliada no pueda razonablemente suministrar por sí sola son elegibles para cuentas temporales.
ITS elimina cuentas cuando:
-
- El titular de la cuenta ya no cumple con los requisitos de elegibilidad.
- La cuenta es temporal y la fecha de vencimiento pasa sin renovación.
- El titular de la cuenta no ha accedido a la cuenta en 18 meses consecutivos.
contraseñas
-
- Las cuentas se crean con una contraseña preasignada que los titulares de la cuenta deben cambiar al iniciar sesión por primera vez y de conformidad con los procedimientos del Colegio.
- Está estrictamente prohibido compartir o divulgar contraseñas.
Procedimiento de correo electrónico de Hudson County Community College
Las personas con acceso a los sistemas de TI de la universidad son responsables de usarlos de manera profesional, ética y legal, y de seguir las políticas y los procedimientos aplicables de la universidad. Los usuarios deben mantener un ambiente académico y laboral propicio para el cumplimiento eficiente y productivo de la misión del Colegio.
Las comunicaciones electrónicas cuyo significado, transmisión o distribución sean ilegales, poco éticas, fraudulentas, difamatorias, acosadoras, irresponsables o que violen las políticas o procedimientos del Colegio están prohibidas. Las comunicaciones electrónicas no deben contener nada que no pueda publicarse en un tablón de anuncios, ser visto por espectadores no deseados o aparecer en una publicación del Colegio. El material que pueda considerarse inapropiado, ofensivo o irrespetuoso con los demás no debe enviarse ni recibirse como comunicaciones electrónicas utilizando las instalaciones del Colegio. El CIO supervisará la aplicación de este procedimiento.
A. Acciones consideradas Las violaciones de este procedimiento de correo electrónico son las siguientes:
-
-
- Envío de mensajes de correo electrónico masivos no autorizados ("correo basura" o "spam").
- Usar el correo electrónico para el acoso, ya sea por el idioma, la frecuencia, el contenido o el tamaño de los mensajes.
- Reenviar o propagar cartas en cadena y esquemas piramidales, ya sea que el destinatario desee o no recibir dichos correos.
- Correos electrónicos maliciosos, como "bombardeos de correo" o inundar el sitio de un usuario con mensajes de correo electrónico muy grandes o numerosos.
- Falsificación de información del remitente que no sea accountname@hccc.edu u otra dirección de encabezado preaprobada.
- Envío de correo electrónico con fines comerciales o de beneficio económico personal.
El Colegio tiene el derecho de eliminar el acceso a las cuentas que se encuentren en violación de este procedimiento.
B. Reglas y controles de correo electrónico:
-
-
- El Colegio no archiva el correo electrónico.
- El Colegio filtra el correo electrónico en busca de spam y contenido malicioso.
- El Colegio bloquea las cuentas de correo electrónico que envían spam y contenido malicioso.
Aprobado por Gabinete: julio de 2021
Política de la Junta relacionada: Servicios de tecnología de la información
Procedimiento de ciclos de vida de la computadora
Introducción
Este procedimiento tiene como objetivo garantizar el acceso a la tecnología informática actual requerida para promover el éxito de los estudiantes y cumplir con las responsabilidades laborales de los empleados. Este procedimiento proporciona a la Oficina de Servicios de Tecnología de la Información (ITS, por sus siglas en inglés) el reemplazo programado de computadoras para uso de empleados, aulas y laboratorios.
Propósito
El propósito de este procedimiento es establecer los parámetros y el proceso para los reemplazos de computadoras personales. Este procedimiento excluye estaciones de trabajo y terminales de propósito único para usar con Infraestructura de escritorio virtual (VDI).
<b></b><b></b>
Este procedimiento cubre las computadoras personales utilizadas por profesores de tiempo completo, personal de tiempo completo, laboratorios y aulas. computadoras compradas bajo grants o para un uso dedicado deben ser manejados por separado por los parámetros de su grants y propósito Esta política no se aplica a equipos periféricos, teléfonos de oficina, teléfonos celulares, impresoras, escáneres, equipos audiovisuales, servidores u otros equipos relacionados con TI. Dicho equipo es reemplazado por ITS de acuerdo a la necesidad, condición y recursos presupuestarios en base a su análisis, criterio y contratos de soporte.
Plataformas de hardware
Cada año, el Colegio determinará las especificaciones estándar para computadoras de escritorio y portátiles en función de la función del trabajo para contener los costos, el mantenimiento y la eficiencia de soporte. ITS ha desarrollado los estándares de equipo, revisados por el Comité de Tecnología de All College Council y aprobados por el Director de Información y el Vicepresidente de Finanzas y Negocios/Director Financiero. Dado que ITS admite un dispositivo por empleado, a los usuarios se les asignará una computadora portátil y una estación de acoplamiento en lugar de una computadora de escritorio. Las computadoras de escritorio se entregarán en áreas donde su uso será compartido, tales como áreas de recepción, aulas, laboratorios y áreas de trabajo auxiliares o de estudio.
Procedimiento
-
- Las computadoras personales serán mantenidas y respaldadas por ITS durante su período de servicio designado. El período actual de servicio para las computadoras personales HCCC es de cinco años.
- Cada año, ITS reemplazará una parte de las computadoras personales en la lista de inventario. ITS desplegará computadoras personales para la facultad y el personal durante el verano y el otoño. ITS también actualizará parte del salón de clases, el laboratorio y las computadoras de acceso abierto cada año. Los presupuestos de reemplazo estimados se presentarán en las audiencias presupuestarias anuales. ITS reconoce que algunos profesores, personal y estudiantes tienen diferentes necesidades informáticas. Los laboratorios académicos con computadoras especializadas se incluirán en el presupuesto de reemplazo cuando sea posible. Los profesores y el personal que requieran una máquina no estándar que exceda el costo de una computadora personal estándar deberán obtener la aprobación de la Oficina/Escuela. Su Oficina/Escuela financiará la diferencia de precio.
- Los profesores y el personal a tiempo parcial que quieran pedir prestada una computadora portátil completarán un formulario de solicitud que requerirá la aprobación del gerente. Tras la aprobación del gerente, ITS proporcionará una computadora portátil.
- ITS trabajará con el usuario de la computadora para migrar los datos del empleado a la computadora de reemplazo. ITS eliminará la computadora personal más antigua. ITS retendrá el disco duro de la computadora vieja durante dos semanas a 90 días para garantizar que no se pierdan datos durante la implementación.
- A los jubilados se les puede dar la opción de comprar su computadora vieja por un valor justo de mercado determinado por ITS. Estas compras son "tal cual", e ITS eliminará todo el software y los datos de HCCC antes de la transferencia de propiedad. Los empleados escribirán un cheque a nombre de Hudson County Community College, que será depositado en la cuenta del Colegio.
- En algunos casos, las computadoras pueden reutilizarse o trasladarse a otros lugares del campus a discreción de ITS.
- Cuando sea necesario mover las computadoras personales, la Oficina/Escuela debe comunicarse con ITS. ITS es responsable de un inventario preciso. Los usuarios no deben reubicar sus computadoras personales por sí mismos. Las computadoras no deben reasignarse ni redistribuirse sin notificar a ITS y obtener aprobación.
- Cuando un empleado con una computadora personal sale del Colegio, ITS será notificado por la Oficina/Escuela y Recursos Humanos. En la mayoría de los casos, esta computadora se redistribuirá al próximo empleado contratado en ese puesto.
- Si una computadora personal se rompe y no se puede reparar, ITS reemplazará la computadora con una nueva máquina. Esa computadora se convierte entonces en la máquina personal para ese empleado.
Aprobado por Gabinete: Abril 2023
Política de la Junta relacionada: Servicios de tecnología de la información
Procedimiento de Solicitudes de Acceso a Sistemas de Información que Contienen Datos Sensibles
Introducción
Este procedimiento designa a los propietarios de datos/sistemas de Hudson County Community College (HCCC). Estas personas supervisan el acceso a los sistemas de información que contienen datos confidenciales, como el sistema ERP de colegas. La supervisión es necesaria para proteger y preservar la confidencialidad, integridad y disponibilidad de los datos de HCCC y para cumplir con los estándares y regulaciones de tecnología de la información aplicables a HCCC.
Los propietarios de sistemas/datos designados para los sistemas de información de Hudson County Community College que contienen datos confidenciales tendrán la autoridad para aprobar el acceso de las personas a estos sistemas.
Designación de propietarios del sistema/datos
Los siguientes miembros del personal ejecutivo están designados como propietarios del sistema/datos para los sistemas de información que contienen datos confidenciales.
Sistema ERP de colega
Módulo de estudiante
Vicepresidente de Asuntos Estudiantiles e Inscripción
Módulo de Finanzas Estudiantiles
Vicepresidente de Negocios y Finanzas/CFO
Financial Aid Módulo
Decano Asociado de Financial Aid
Módulo de Recursos Humanos
Vicepresidente de Recursos Humanos
Sistema de imágenes de documentos
Servicios de Inscripción, Admisiones y Documentos de Asesoramiento
Vicepresidente de Asuntos Estudiantiles e Inscripción
Estudiante Financial Aid Documentos
Decano Asociado de Financial Aid
Documentos Financieros
Vicepresidente de Negocios y Finanzas/CFO
Solicitudes de Acceso a Sistemas de Información que Contienen Datos Sensibles
Las solicitudes de acceso a los sistemas de información que contengan datos confidenciales se otorgarán sobre la base del "privilegio mínimo", lo que significa acceso solo a dicha información y sistemas necesarios para realizar las tareas laborales habituales de la persona.
Los miembros del personal ejecutivo designados como propietarios del sistema/datos o gerentes designados en áreas funcionales revisarán las solicitudes de acceso a los sistemas de información que contengan datos confidenciales de los miembros del personal bajo su autoridad administrativa. Deben validar que a los usuarios se les otorgue acceso sobre la base de "privilegios mínimos" solo a aquellos privilegios necesarios para realizar sus tareas laborales regulares. Deberán aprobar las solicitudes mediante la presentación de un formulario de solicitud de acceso al sistema ubicado en el portal. Si el acceso no está garantizado, la solicitud será denegada.
Eliminación del Acceso a Sistemas de Información que Contienen Datos Sensibles
Los miembros del personal ejecutivo se asegurarán de que los supervisores notifiquen de inmediato a los Servicios de tecnología de la información (ITS) cuando ya no se requiera el acceso de un usuario a un sistema de información y cuando el acceso de un usuario deba modificarse debido a un cambio en las funciones principales del empleado.
ITS será notificado inmediatamente por llamada telefónica, seguido de un correo electrónico al Director de Información (CIO), sobre el despido de un empleado superusuario o en caso de despido involuntario de un empleado. Las terminaciones de rutina, las transferencias a otro departamento universitario o los cambios en las funciones deben presentarse dentro de los cinco días hábiles mediante el formulario de solicitud de acceso al sistema que se encuentra en el portal.
Revisión del Acceso a Sistemas de Información que Contienen Datos Sensibles
ITS llevará a cabo una revisión anual de todas las cuentas de usuario para sistemas de TI sensibles para evaluar la necesidad continua de las cuentas y el nivel de acceso asociado.
Responsabilidades
El CIO tendrá la responsabilidad general de desarrollar y mantener los procedimientos técnicos consistentes con este procedimiento y deberá cumplir con los estándares aplicables del Colegio Comunitario del Condado de Hudson.
El Apéndice A describe la ubicación del formulario para solicitar acceso a los sistemas de información de la universidad.
Definiciones
Respaldo de – incluye cualquier información dentro del alcance de HCCC, incluidos datos de registros de estudiantes, datos de personal, datos financieros (presupuesto y nómina), datos de vida estudiantil, datos administrativos departamentales, archivos legales, datos de investigación institucional, datos de propiedad y todos los demás datos que pertenecen o respaldan la administración del Colegio.
Sistema de informacion – comprende los componentes y operaciones totales de un proceso de mantenimiento de registros, incluida la información recopilada o administrada mediante redes informáticas e Internet, ya sea de forma automática o manual, que contiene información personal y el nombre, número personal u otros datos de identificación de un sujeto de datos.
Informacion sensible – incluye cualquier información que podría afectar negativamente los intereses de la universidad, la realización de los programas de la agencia o la privacidad a la que tienen derecho las personas si se compromete la confidencialidad, la integridad o la disponibilidad. Los datos se clasifican como confidenciales si el compromiso de esos datos resulta en un efecto adverso material y significativo en los intereses de la universidad, la incapacidad de la agencia afectada para realizar sus negocios, el incumplimiento de las expectativas de privacidad o si la ley exige que se mantengan confidenciales.
superusuario – es un empleado que tiene panel de inscripción o acceso privilegiado elevado; por ejemplo, un administrador de seguridad.
Referencias
- Ley de Privacidad y Derechos Educativos de la Familia (FERPA) (20 USC § 1232g; 34 CFR Parte 99)
- Ley de Modernización de Servicios Financieros (Ley Gramm-Leach-Bliley) (15 USC § 6801 et seq.)
- Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) (Ley Pública 104-191)
Periodicidad y responsabilidad de la revisión
El CIO revisará este procedimiento anualmente y, si es necesario, recomendará revisiones.
APÉNDICE A"
Formularios de solicitud de acceso al sistema:
Acceso de colega
https://myhudson.hccc.edu/ellucian
Solicitud de creación de cuenta o Solicitud de desactivación
https://myhudson.hccc.edu/its
Aprobado por Gabinete: julio de 2021
Política de la Junta relacionada: ITS
Procedimiento del Plan de Seguridad de la Información
Introducción
El propósito del desarrollo y la implementación de este procedimiento integral del plan de seguridad de la información por escrito ("Plan") es crear salvaguardas administrativas, técnicas y físicas efectivas para la protección de la "información personal" de los posibles estudiantes, solicitantes, estudiantes, empleados, ex alumnos. , y amigos de Hudson County Community College, y para cumplir con nuestras obligaciones bajo la regulación de Nueva Jersey 201 CMR 17.00. El Plan establece nuestros procedimientos para evaluar nuestros métodos electrónicos y físicos de acceso, recopilación, almacenamiento, uso, transmisión y protección de la "información personal" de los integrantes del Colegio.
A los efectos de este Plan, "información personal" se define como el nombre y apellido de una persona, o la inicial y el apellido, en combinación con uno o más de los siguientes elementos de datos que se relacionan con dicho residente: (a) Social Numero de seguridad; (b) número de licencia de conducir o número de tarjeta de identificación emitida por el estado; o (c) número de cuenta financiera o número de tarjeta de crédito o débito, con o sin cualquier código de seguridad requerido, código de acceso, número de identificación personal o contraseña que permitiría el acceso a la cuenta financiera de un residente donde Hudson County Community College es el custodio de esos datos ; siempre que, sin embargo, esa “información personal” no incluya información que se obtenga legalmente de información disponible públicamente, o de registros del gobierno federal, estatal o local que estén legalmente disponibles para el público en general.
Propósito
El propósito de este Plan es:
-
- Garantizar la seguridad y confidencialidad de la información personal;
- Proteger contra cualquier amenaza o peligro potencial a la seguridad o integridad de la información personal; y,
- Protéjase contra el acceso no autorizado o el uso de información personal de una manera que cree un riesgo sustancial de robo de identidad o fraude.
<b></b><b></b>
Al formular e implementar el Plan, la institución: (1) identificará los riesgos internos y externos razonablemente previsibles para la seguridad, confidencialidad e integridad de cualquier registro electrónico, en papel o de otro tipo que contenga información personal; (2) evaluar la probabilidad y el daño potencial de estas amenazas, teniendo en cuenta la sensibilidad de la información personal; (3) evaluar la suficiencia de las políticas, prácticas, procedimientos, sistemas de información y otras salvaguardas existentes para controlar los riesgos; (4) diseñar e implementar un plan que establezca salvaguardas para minimizar esos riesgos, de conformidad con los requisitos de 201 CMR 17.00; y (5) monitorear regularmente el Plan.
Coordinador de seguridad de datos
HCCC ha designado al Director de Información (CIO) y al Vicepresidente de Negocios y Finanzas/CFO para implementar, supervisar y mantener el Plan. El CIO y el Vicepresidente de Negocios y Finanzas/CFO serán responsables de:
-
- Implementación inicial del Plan;
- Supervisión de la capacitación continua de los empleados sobre los elementos y requisitos del Plan para todos los propietarios, gerentes, empleados y contratistas independientes que tienen acceso a información personal;
- Seguimiento de las salvaguardas del Plan;
- Evaluar a los proveedores de servicios de terceros que tienen acceso y hospedan/transmiten/hacen copias de seguridad/mantienen información personal, y exigen a esos proveedores de servicios por contrato que implementen y mantengan las medidas de seguridad apropiadas para proteger la información personal;
- Revisar el alcance de las medidas de seguridad en el Plan anualmente, o cada vez que haya un cambio material en las prácticas comerciales de HCCC que pueda afectar la seguridad o integridad de los registros que contienen información personal; y,
- Revisar legislación y leyes y actualizar policies and procedures según sea necesario.
Riesgos internos
Para combatir los riesgos internos a la seguridad, confidencialidad e integridad de cualquier registro electrónico, en papel o de otro tipo que contenga información personal, y con el fin de evaluar y mejorar, cuando sea necesario, la eficacia de las salvaguardas actuales para limitar dichos riesgos, se aplican las siguientes medidas son obligatorios y con efecto inmediato:
Medidas Administrativas
-
-
- Se distribuirá una copia del Plan al Presidente, al Gabinete del Presidente, al personal de Servicios de Tecnología de la Información (ITS) ya otros miembros del personal designados que manejan información personal. Al recibir el Plan, cada individuo debe reconocer por escrito que recibió una copia del Plan.
- Después de la capacitación, todo el personal deberá firmar acuerdos de confidencialidad que describan el manejo de la información personal. Los acuerdos de confidencialidad requerirán que los miembros del personal informen cualquier uso sospechoso o no autorizado de “información personal” al CIO o al Vicepresidente de Recursos Humanos.
- La cantidad de información personal recopilada debe limitarse a lo que sea razonablemente necesario para lograr fines comerciales legítimos. El uso de información personal se aborda a través de auditorías en varias áreas.
- Todas las medidas de seguridad de datos se revisarán al menos una vez al año, o cada vez que haya un cambio material en la práctica comercial de HCCC o un cambio en la ley que pueda afectar razonablemente la seguridad o integridad de los registros que contienen información personal. El CIO y el Vicepresidente de Negocios y Finanzas/CFO serán responsables de esta revisión y deberán informar completamente a los jefes de departamento sobre los resultados de esa revisión y cualquier recomendación para mejorar la seguridad que surja de esa revisión.
- Siempre que haya un incidente que requiera notificación bajo NJ Stat. § 56:8-163, la ley de informes de violación de datos de información personal de Nueva Jersey, se realizará una revisión obligatoria inmediata posterior al incidente de los eventos y las medidas tomadas, si corresponde, para determinar si se requieren cambios en las prácticas de seguridad de HCCC para mejorar la seguridad de la información personal bajo el Plan.
- Cada departamento desarrollará reglas (teniendo en cuenta las necesidades comerciales de ese departamento) que aseguren que existan restricciones razonables sobre el acceso físico a la información personal, incluido un procedimiento escrito que establezca cómo se restringe el acceso físico al registro. Cada departamento debe almacenar dichos registros y datos en instalaciones cerradas, áreas de almacenamiento seguras o gabinetes cerrados.
- A excepción de las cuentas de administración del sistema, el acceso a la información personal almacenada electrónicamente se limitará electrónicamente a aquellos empleados que tengan una identificación de inicio de sesión única, con acceso apropiado. No se otorgará acceso a los empleados que el CIO determine que no necesitan acceso a la información personal almacenada electrónicamente.
- Cuando no existe un acuerdo de confidencialidad, el acceso de visitantes o contratistas a datos confidenciales, incluidos, entre otros, contraseñas, claves de cifrado y especificaciones técnicas, cuando sea necesario, debe acordarse por escrito. El acceso se limitará a la cantidad mínima necesaria. Si se necesita un inicio de sesión remoto para acceder, ese acceso también debe ser aprobado a través del Departamento ITS de HCCC.
Medidas Físicas
-
-
- El acceso a los registros que contengan información personal se limitará a aquellos que estén razonablemente obligados a conocer dicha información para lograr el propósito comercial legítimo de HCCC. Para mitigar la divulgación innecesaria, se redactará la información confidencial y personal, los registros en papel se almacenarán en instalaciones bajo llave y se implementarán controles de seguridad de datos para los registros electrónicos.
- Al final de la jornada laboral, todos los archivos no electrónicos y otros registros que contengan información personal deben almacenarse en habitaciones, oficinas o gabinetes bajo llave.
- Los registros en papel que contengan información personal se desecharán de manera que cumpla con NJ Stat. § 56:8-163, Ley de informes de violación de datos de información personal de Nueva Jersey. Esto significa que los registros deben eliminarse utilizando una trituradora de corte transversal u otros métodos que hagan que la información sea ilegible.
Medidas Técnicas
-
-
- HCCC no permite que los empleados almacenen información personal en medios portátiles. Esto incluye computadoras portátiles, USB, CD, etc. Cuando los empleados que tienen acceso a la información personal son despedidos, HCCC cancelará su acceso a los recursos de la red y los dispositivos físicos que contienen información personal. Esto incluye la terminación o entrega de cuentas de red, cuentas de bases de datos, claves, credenciales, teléfonos y computadoras portátiles o de escritorio.
- Los empleados deben cambiar sus contraseñas de forma rutinaria para los sistemas que contienen información personal.
- El acceso a la información personal estará restringido a usuarios activos y cuentas de usuario activas únicamente.
- Siempre que sea técnicamente posible, todos los sistemas mantenidos por HCCC que almacenan información personal emplearán funciones de bloqueo automático que bloquean el acceso después de varios intentos fallidos de inicio de sesión.
- Los registros electrónicos (incluidos los registros almacenados en discos duros y otros medios electrónicos) que contengan información personal se eliminarán de acuerdo con NJ Stat y de manera que cumpla con ellas. § 56:8-163, Ley de informes de violación de datos de información personal de Nueva Jersey. Esto requiere que la información sea destruida o borrada para que la información personal no pueda ser leída o reconstruida en la práctica.
Riesgos externos
-
-
- Para combatir los riesgos externos a la seguridad, confidencialidad e integridad de cualquier registro electrónico, en papel o de otro tipo que contenga información personal, y con el fin de evaluar o mejorar, cuando sea necesario, la eficacia de las medidas de seguridad actuales para limitar dichos riesgos, son obligatorias las siguientes medidas y con efecto inmediato:
a.) Hay una protección de cortafuegos razonablemente actualizada y parches de seguridad del sistema operativo razonablemente diseñados para mantener la integridad de la información personal instalada en los sistemas con información personal.
b.) Existen versiones razonablemente actualizadas del software del agente de seguridad del sistema que incluyen protección contra malware y parches y definiciones de virus razonablemente actualizados instalados en los sistemas que procesan información personal.
c.) Cuando se almacenan en los recursos compartidos de la red de HCCC, los archivos que contienen información personal deben cifrarse. HCCC no permite que la información personal se almacene en computadoras portátiles, PC, dispositivos USB u otros medios portátiles. HCCC implementará software de encriptación para cumplir con este objetivo.
d.) Cualquier información personal transmitida electrónicamente a proveedores externos debe enviarse a través del servicio cifrado del proveedor o mediante el servicio cifrado designado por HCCC para una transmisión segura.
e.) Todos los nuevos proveedores de servicios que almacenen la información personal de HCCC en forma electrónica deberán demostrar adecuadamente las medidas de seguridad a través de EDUCAUSE HECVAT o un instrumento similar. Estos proveedores también deben ser aprobados por el Vicepresidente de Finanzas y Negocios/CFO de HCCC.
f.) El personal de Recursos Humanos y Servicios de Tecnología de la Información deberá seguir los procedimientos descritos en el Procedimiento de Uso Aceptable de HCCC para Sistemas de Tecnología de la Información relacionados con la creación, transferencia o terminación de cuentas, junto con políticas para el almacenamiento de contraseñas y seguridad basada en funciones.
g.) Toda la información personal se eliminará siguiendo HCCC Policies and Procedures.
h.) Según lo permitan los recursos y el presupuesto, HCCC implementará tecnología que le permitirá a la universidad monitorear las bases de datos para detectar el uso no autorizado o el acceso a información personal y emplear protocolos de autenticación seguros y medidas de control de acceso de conformidad con los procedimientos de HCCC.
Aprobado por Gabinete: julio de 2021
Política de la Junta relacionada: Servicios de tecnología de la información
Procedimiento del plan de respuesta a incidentes de seguridad de la información
Propósito
Este plan guía cómo responder a los incidentes de seguridad de la información en el Hudson County Community College (HCCC). El plan identifica las funciones y responsabilidades del equipo de respuesta a incidentes de HCCC y los pasos a seguir en caso de un incidente. El Plan de respuesta a incidentes de seguridad de la información (ISIRP) tiene como objetivo minimizar el impacto de un incidente, preservar la evidencia para fines de investigación y restaurar las operaciones normales lo más rápido posible.
Definiciones
Incidente: Un evento que resulta en una pérdida de confidencialidad, integridad o disponibilidad de información o sistemas de información.
Respuesta: Las acciones que se toman para mitigar el impacto de un incidente y restaurar los sistemas y datos afectados a su estado normal.
Equipo de Respuesta a Incidentes (IRT): El Equipo de Respuesta a Incidentes (IRT) es responsable de implementar el ISIRP. El IRT está formado por representantes de departamentos relevantes, incluidos, entre otros, Servicios de tecnología de la información (ITS), Finanzas (Gestión de riesgos), Asesoría legal, Recursos humanos y Comunicaciones. El IRT es responsable de coordinar la respuesta a un incidente y garantizar que todos los recursos necesarios estén disponibles.
Roles y Responsabilidades
El IRT es responsable de lo siguiente:
- Responder a los incidentes y mitigar su impacto.
- Investigar incidentes y determinar su causa.
- Restaurar sistemas y datos que han sido afectados por un incidente.
- Comunicarse con las partes interesadas sobre los incidentes.
- Registro y reporte de incidentes.
Informe de incidentes
Todos los incidentes de seguridad de la información sospechosos o confirmados deben informarse a ITS de inmediato. ITS luego evaluará el incidente y determinará si se trata de un incidente de seguridad. ITS escalará el incidente al IRT si se trata de un incidente de seguridad.
Pasos de respuesta
Categorización de incidentes:
El IRT clasificará el incidente según su gravedad e impacto. Las categorías son las siguientes:
Categoría 1: Incidente menor - Sin impacto significativo en la universidad o sus operaciones.
Categoría 2: Incidente moderado: impacto limitado en la universidad o sus operaciones.
Categoría 3: Incidente Mayor - Impacto significativo en el colegio o sus operaciones.
Categoría 4: Incidente Crítico - Impacto severo en la universidad o sus operaciones.
Respuesta a incidentes por categoría:
El IRT seguirá los siguientes pasos para responder a un incidente:
Categoría 1: No se requiere una respuesta formal.
Categoría 2: El IRT investigará el incidente y tomará las medidas adecuadas para contenerlo y mitigarlo.
Categoría 3: El IRT se coordinará con los departamentos pertinentes y los recursos externos, como los expertos en ciberseguridad y aplicación de la ley, para investigar el incidente y tomar las medidas adecuadas para contenerlo y mitigarlo.
Categoría 4: El IRT implementará el Plan de Manejo de Emergencias de HCCC, que describe los pasos a seguir durante una crisis significativa.
Pasos de ISIRP para IRT a seguir
El IRT seguirá estos pasos en caso de incidente:
- Responder al informe del incidente.
- Mitigar el impacto del incidente.
- Clasifique los efectos en la escala anterior.
- Investiga el incidente.
- Determinar la causa del incidente.
- Restaurar sistemas y datos que han sido afectados por el incidente.
- Comunicarse con las partes interesadas sobre el incidente.
- Registrar y reportar el incidente.
Herramientas y recursos
El IRT utilizará las siguientes herramientas y recursos para responder a los incidentes:
- Software de seguridad: Sophos, Crowdstrike
- Sistemas de respaldo y recuperación de datos: Cohesity, Arcserve, OneDrive
- Canales de comunicación: correo electrónico, texto, redes sociales
- Expertos en ciberseguridad de terceros: NJ Edge, CyberSecOp, consultores de seguros de ciberseguridad
Pruebas y Entrenamiento
El IRT probará y capacitará periódicamente sobre los procedimientos y herramientas existentes.
Plan de comunicación
El IRT se comunicará con las siguientes partes interesadas en caso de un incidente:
- Estudiantes
- Facultad
- Personal
- Medios
- Cumplimiento de la ley
- Agencias regulatorias
Métricas e informes
El IRT documentará todos los aspectos del incidente, incluidos, entre otros, el tipo de incidente, la gravedad, el impacto, la respuesta y la resolución. La documentación se almacenará de forma segura y solo será accesible para el personal autorizado.
El IRT recopilará y analizará las siguientes métricas relacionadas con los incidentes:
- Número de incidentes
- Costo de incidentes
- Tiempo para recuperarse de incidentes
El Vicepresidente Asociado de Tecnología y el CIO informarán sobre estas métricas a la Junta Directiva de HCCC.
Revisar y Actualizar
El CIO AVP revisará el ISIRP anualmente y lo actualizará para reflejar el cambiante panorama de seguridad y las necesidades cambiantes de HCCC.
Aprobado por Gabinete: Mayo 2023
Política de la Junta relacionada: Servicios de tecnología de la información
Procedimiento de rendición de cuentas de tecnología portátil
- INTRODUCCIÓN
Este procedimiento tiene como objetivo establecer pautas claras de rendición de cuentas y responsabilidad con respecto a la pérdida o daño de dispositivos de tecnología portátil proporcionados por Hudson County Community College (HCCC) a empleados y estudiantes. Este procedimiento está alineado con la Política de Servicios de Tecnología de la Información de HCCC aprobada por la Junta Directiva de HCCC.
- APLICABILIDAD
Este procedimiento se aplica a todas las personas, incluidos empleados y estudiantes, para quienes HCCC ha emitido dispositivos de tecnología portátiles.
- RESPONSABILIDAD
- Responsabilidad individual
- Todas las personas a las que se les entregan dispositivos de tecnología portátil son personalmente responsables del cuidado y custodia adecuados del equipo.
- Los usuarios deben informar cualquier pérdida o robo del dispositivo de tecnología portátil a la Oficina de Seguridad Pública de inmediato. Cualquier daño al dispositivo debe informarse inmediatamente a la Oficina de Servicios de Tecnología de la Información (ITS).
- Procedimiento de informes
- Las personas que reporten un dispositivo perdido o dañado deben proporcionar información detallada sobre el incidente, incluida la fecha, hora y ubicación.
- Se debe presentar un informe escrito del incidente a la Oficina de Seguridad Pública y Protección dentro de las 24 horas posteriores a la ocurrencia de pérdida o robo.
- Investigación
- La Oficina de Seguridad Pública investigará las circunstancias que rodearon la pérdida del dispositivo de tecnología portátil.
- Es posible que se solicite a las personas involucradas que cooperen plenamente con la investigación, proporcionando cualquier información relevante.
- Medidas de rendición de cuentas
- Si se determina que la pérdida o daño se debe a negligencia o acciones intencionales, la persona puede ser considerada financieramente responsable del costo de reparación o reemplazo del equipo.
- Se notificará a las personas por escrito sobre el resultado de la investigación y cualquier obligación financiera.
- Responsabilidad Financiera
- Las personas responsables de la pérdida o daño deberán reembolsar a HCCC el costo de reparación o reemplazo del dispositivo de tecnología portátil. El costo de reparación o reemplazo del equipo de los empleados podría provenir del presupuesto de la oficina/escuela.
- Se pueden hacer arreglos de pago con la Oficina de Contabilidad, y el incumplimiento de las obligaciones financieras puede tener consecuencias adicionales, incluidas retenciones de registros académicos u otras acciones disciplinarias.
- EXCEPCIONES
Los casos que involucren pérdidas o daños debido a robo u otras actividades delictivas se manejarán siguiendo los procedimientos policiales locales.
- COMUNICACIÓN
Esta política se comunicará a todas las personas que reciban dispositivos de tecnología portátil mediante la distribución de materiales escritos, la inclusión en manuales para empleados/estudiantes y canales de comunicación electrónica.
Aprobado por el Gabinete en marzo de 2024
Política asociada: ITS
Procedimiento del plan de gestión de riesgos de proveedores
Introducción
TEste Plan de Gestión de Riesgos de Proveedores tiene como objetivo establecer un marco para administrar y mitigar de manera efectiva los riesgos asociados con los proveedores externos en el Colegio Comunitario del Condado de Hudson. El procedimiento describe los procesos y procedimientos para la evaluación, selección y monitoreo continuo de proveedores para garantizar la seguridad, el cumplimiento y la confiabilidad de las relaciones con los proveedores. El procedimiento se centra principalmente en recopilar y revisar información sobre la idoneidad y seguridad del proveedor y evaluar los términos y condiciones y el lenguaje del contrato durante la firma y renovación del contrato inicial.
- Proceso de selección de proveedores
- Identificación de proveedores: identifique proveedores potenciales en función de los requisitos y necesidades de la universidad.
- Evaluación inicial del proveedor: evalúe a los proveedores potenciales utilizando los siguientes criterios:
- Cualificaciones y experiencia
- Reputación y referencias
- Estabilidad financiera
- Estándares de seguridad y cumplimiento
- Acuerdos de nivel de servicio
- Solicitud de propuesta (RFP): prepare y emita una RFP, si es necesario, a los proveedores preseleccionados que describa las expectativas, los requisitos y los criterios de evaluación de la universidad.
- Evaluación de proveedores: evalúe las propuestas de los proveedores en función de criterios predefinidos y realice las entrevistas o presentaciones necesarias.
- Selección de proveedores: seleccione los proveedores en función de los resultados de la evaluación, teniendo en cuenta factores como el costo, las capacidades y el perfil de riesgo.
- Recopilación y revisión del kit de herramientas de evaluación de proveedores comunitarios de educación superior (HECVAT)
- Requisito de formulario HECVAT: todos los proveedores potenciales deben enviar su HECVAT completado; Los resultados de la auditoría SOC 2 pueden sustituirse por un HECVAT.
- Revisión inicial: revise el HECVAT para evaluar las prácticas de seguridad de los proveedores, las medidas de protección de datos y el cumplimiento de las reglamentaciones pertinentes.
- Evaluación de riesgos: Realice una evaluación de riesgos basada en la información proporcionada en HECVAT para identificar los riesgos potenciales asociados con la relación con el proveedor.
- Acciones de mitigación: desarrollar acciones de mitigación para abordar los riesgos identificados, como solicitar información adicional, realizar auditorías de seguridad o establecer obligaciones contractuales de seguridad y privacidad.
- Revisión de términos y condiciones
- Revisión del contrato: revise los términos y condiciones del contrato de proveedor propuesto, centrándose en las áreas relacionadas con la privacidad de los datos, la seguridad, el cumplimiento y la propiedad intelectual.
- Revisión legal: contrate asesoría legal, si es necesario, para garantizar que el lenguaje del contrato proteja adecuadamente los intereses de la universidad y se alinee con las leyes y regulaciones aplicables.
- Negociación y enmienda: colabore con el proveedor para negociar y modificar el lenguaje del contrato para abordar cualquier inquietud o brecha identificada.
- Aprobación y firma: obtenga las aprobaciones necesarias para el contrato y firme el acuerdo una vez que todas las partes estén satisfechas con los términos y condiciones.
- Gestión continua de proveedores
- Monitoreo regular: Monitoree continuamente el desempeño del proveedor, las prácticas de seguridad y el cumplimiento durante la duración del contrato.
- Revisión de renovación de contrato: Las renovaciones de contrato están supeditadas a los estatutos de la ley de contratos de colegios comunitarios. Lleve a cabo una revisión exhaustiva de las relaciones con los proveedores, incluida la reevaluación del nuevo HECVAT, los términos y condiciones y el lenguaje del contrato, durante el proceso de renovación del contrato.
- Evaluación del desempeño del proveedor: evalúe periódicamente el desempeño del proveedor frente a los acuerdos y expectativas de nivel de servicio establecidos.
- Respuesta a incidentes: Siga el procedimiento de Respuesta a incidentes para abordar cualquier infracción de seguridad o incidente de datos que involucre a los proveedores de inmediato.
- Desconexión de proveedores: Desarrolle un proceso para garantizar la desvinculación adecuada de proveedores, incluida la devolución de información confidencial y la finalización del acceso al sistema.
- Documentación e informes
- Documentación
- Depósito de contratos: todos los contratos de proveedores, incluidos sus términos y condiciones, enmiendas y documentos relacionados, deben almacenarse en el sistema de gestión de contratos de la universidad. Asegúrese de que el depósito de contratos esté organizado, sea de fácil acceso y se actualice periódicamente.
- Documentación de seguridad y HECVAT completada: mantenga un registro de todas las auditorías de seguridad y HECVAT recibidas de los proveedores, incluida cualquier documentación de respaldo o aclaraciones proporcionadas por los proveedores.
- Evaluaciones de riesgos: Documente los resultados de las evaluaciones de riesgos realizadas en base al HECVAT y cualquier evaluación o auditoría adicional realizada.
- Informes de incidentes: mantenga un registro de cualquier incidente o infracción de seguridad que involucre a los proveedores, junto con las acciones de respuesta a incidentes correspondientes tomadas.
- Informes
- Informes ejecutivos: proporcione informes periódicos a la dirección ejecutiva, incluidos el director de información (CIO) y el gabinete, que resuman el panorama de riesgos del proveedor, los esfuerzos de mitigación y los incidentes o inquietudes notables.
- Informe de renovación del contrato: prepare un informe completo que destaque los hallazgos de la revisión de la renovación del contrato, incluidos los cambios o mejoras recomendados en las relaciones con los proveedores.
- Informes de cumplimiento: genere informes periódicos sobre el cumplimiento de los proveedores con las reglamentaciones aplicables, las obligaciones contractuales y los estándares de seguridad acordados.
- Retención de registros
- Período de retención: la documentación de evaluación de riesgos del proveedor seguirá los cronogramas de retención de registros para la documentación relacionada con el proveedor, lo que garantiza el cumplimiento de los requisitos legales, reglamentarios e internos.
- Privacidad y protección de datos: Cumpla con las normas aplicables de privacidad y protección de datos cuando almacene y manipule documentos relacionados con proveedores, asegurándose de que se implementen las medidas de seguridad adecuadas.
Aprobado por Gabinete: Mayo 2023
Política de la Junta relacionada: Servicios de tecnología de la información
Volver a Policies and Procedures