Procedimiento del Plan de Seguridad de la Información

 

Introducción

El propósito del desarrollo y la implementación de este procedimiento integral del plan de seguridad de la información por escrito ("Plan") es crear salvaguardas administrativas, técnicas y físicas efectivas para la protección de la "información personal" de los posibles estudiantes, solicitantes, estudiantes, empleados, ex alumnos. , y amigos de Hudson County Community College, y para cumplir con nuestras obligaciones bajo la regulación de Nueva Jersey 201 CMR 17.00. El Plan establece nuestros procedimientos para evaluar nuestros métodos electrónicos y físicos de acceso, recopilación, almacenamiento, uso, transmisión y protección de la "información personal" de los integrantes del Colegio.

A los efectos de este Plan, "información personal" se define como el nombre y apellido de una persona, o la inicial y el apellido, en combinación con uno o más de los siguientes elementos de datos que se relacionan con dicho residente: (a) Social Numero de seguridad; (b) número de licencia de conducir o número de tarjeta de identificación emitida por el estado; o (c) número de cuenta financiera o número de tarjeta de crédito o débito, con o sin cualquier código de seguridad requerido, código de acceso, número de identificación personal o contraseña que permitiría el acceso a la cuenta financiera de un residente donde Hudson County Community College es el custodio de esos datos ; siempre que, sin embargo, esa “información personal” no incluya información que se obtenga legalmente de información disponible públicamente, o de registros del gobierno federal, estatal o local que estén legalmente disponibles para el público en general.

Propósito

El propósito de este Plan es:

    1. Garantizar la seguridad y confidencialidad de la información personal;
    2. Proteger contra cualquier amenaza o peligro potencial a la seguridad o integridad de la información personal; y,
    3. Protéjase contra el acceso no autorizado o el uso de información personal de una manera que cree un riesgo sustancial de robo de identidad o fraude.

<b></b><b></b>

Al formular e implementar el Plan, la institución: (1) identificará los riesgos internos y externos razonablemente previsibles para la seguridad, confidencialidad e integridad de cualquier registro electrónico, en papel o de otro tipo que contenga información personal; (2) evaluar la probabilidad y el daño potencial de estas amenazas, teniendo en cuenta la sensibilidad de la información personal; (3) evaluar la suficiencia de las políticas, prácticas, procedimientos, sistemas de información y otras salvaguardas existentes para controlar los riesgos; (4) diseñar e implementar un plan que establezca salvaguardas para minimizar esos riesgos, de conformidad con los requisitos de 201 CMR 17.00; y (5) monitorear regularmente el Plan.

Coordinador de seguridad de datos

HCCC ha designado al Director de Información (CIO) y al Vicepresidente de Negocios y Finanzas/CFO para implementar, supervisar y mantener el Plan. El CIO y el Vicepresidente de Negocios y Finanzas/CFO serán responsables de:

    1. Implementación inicial del Plan;
    2. Supervisión de la capacitación continua de los empleados sobre los elementos y requisitos del Plan para todos los propietarios, gerentes, empleados y contratistas independientes que tienen acceso a información personal;
    3. Seguimiento de las salvaguardas del Plan;
    4. Evaluar a los proveedores de servicios de terceros que tienen acceso y hospedan/transmiten/hacen copias de seguridad/mantienen información personal, y exigen a esos proveedores de servicios por contrato que implementen y mantengan las medidas de seguridad apropiadas para proteger la información personal;
    5. Revisar el alcance de las medidas de seguridad en el Plan anualmente, o cada vez que haya un cambio material en las prácticas comerciales de HCCC que pueda afectar la seguridad o integridad de los registros que contienen información personal; y,
    6. Revisar la legislación y las leyes y actualizar las políticas y procedimientos según sea necesario.

Riesgos internos

Para combatir los riesgos internos a la seguridad, confidencialidad e integridad de cualquier registro electrónico, en papel o de otro tipo que contenga información personal, y con el fin de evaluar y mejorar, cuando sea necesario, la eficacia de las salvaguardas actuales para limitar dichos riesgos, se aplican las siguientes medidas son obligatorios y con efecto inmediato: 

Medidas Administrativas

      1. Se distribuirá una copia del Plan al Presidente, al Gabinete del Presidente, al personal de Servicios de Tecnología de la Información (ITS) ya otros miembros del personal designados que manejan información personal. Al recibir el Plan, cada individuo debe reconocer por escrito que recibió una copia del Plan.
      2. Después de la capacitación, todo el personal deberá firmar acuerdos de confidencialidad que describan el manejo de la información personal. Los acuerdos de confidencialidad requerirán que los miembros del personal informen cualquier uso sospechoso o no autorizado de “información personal” al CIO o al Vicepresidente de Recursos Humanos.
      3. La cantidad de información personal recopilada debe limitarse a lo que sea razonablemente necesario para lograr fines comerciales legítimos. El uso de información personal se aborda a través de auditorías en varias áreas.
      4. Todas las medidas de seguridad de datos se revisarán al menos una vez al año, o cada vez que haya un cambio material en la práctica comercial de HCCC o un cambio en la ley que pueda afectar razonablemente la seguridad o integridad de los registros que contienen información personal. El CIO y el Vicepresidente de Negocios y Finanzas/CFO serán responsables de esta revisión y deberán informar completamente a los jefes de departamento sobre los resultados de esa revisión y cualquier recomendación para mejorar la seguridad que surja de esa revisión.
      5. Siempre que haya un incidente que requiera notificación bajo NJ Stat. § 56:8-163, la ley de informes de violación de datos de información personal de Nueva Jersey, se realizará una revisión obligatoria inmediata posterior al incidente de los eventos y las medidas tomadas, si corresponde, para determinar si se requieren cambios en las prácticas de seguridad de HCCC para mejorar la seguridad de la información personal bajo el Plan.
      6. Cada departamento desarrollará reglas (teniendo en cuenta las necesidades comerciales de ese departamento) que aseguren que existan restricciones razonables sobre el acceso físico a la información personal, incluido un procedimiento escrito que establezca cómo se restringe el acceso físico al registro. Cada departamento debe almacenar dichos registros y datos en instalaciones cerradas, áreas de almacenamiento seguras o gabinetes cerrados.
      7. A excepción de las cuentas de administración del sistema, el acceso a la información personal almacenada electrónicamente se limitará electrónicamente a aquellos empleados que tengan una identificación de inicio de sesión única, con acceso apropiado. No se otorgará acceso a los empleados que el CIO determine que no necesitan acceso a la información personal almacenada electrónicamente.
      8. Cuando no existe un acuerdo de confidencialidad, el acceso de visitantes o contratistas a datos confidenciales, incluidos, entre otros, contraseñas, claves de cifrado y especificaciones técnicas, cuando sea necesario, debe acordarse por escrito. El acceso se limitará a la cantidad mínima necesaria. Si se necesita un inicio de sesión remoto para acceder, ese acceso también debe ser aprobado a través del Departamento ITS de HCCC.

Medidas Físicas

      1. El acceso a los registros que contengan información personal se limitará a aquellos que estén razonablemente obligados a conocer dicha información para lograr el propósito comercial legítimo de HCCC. Para mitigar la divulgación innecesaria, se redactará la información confidencial y personal, los registros en papel se almacenarán en instalaciones bajo llave y se implementarán controles de seguridad de datos para los registros electrónicos.
      2. Al final de la jornada laboral, todos los archivos no electrónicos y otros registros que contengan información personal deben almacenarse en habitaciones, oficinas o gabinetes bajo llave.
      3. Los registros en papel que contengan información personal se desecharán de manera que cumpla con NJ Stat. § 56:8-163, Ley de informes de violación de datos de información personal de Nueva Jersey. Esto significa que los registros deben eliminarse utilizando una trituradora de corte transversal u otros métodos que hagan que la información sea ilegible.

Medidas Técnicas

      1. HCCC no permite que los empleados almacenen información personal en medios portátiles. Esto incluye computadoras portátiles, USB, CD, etc. Cuando los empleados que tienen acceso a la información personal son despedidos, HCCC cancelará su acceso a los recursos de la red y los dispositivos físicos que contienen información personal. Esto incluye la terminación o entrega de cuentas de red, cuentas de bases de datos, claves, credenciales, teléfonos y computadoras portátiles o de escritorio.
      2. Los empleados deben cambiar sus contraseñas de forma rutinaria para los sistemas que contienen información personal.
      3. El acceso a la información personal estará restringido a usuarios activos y cuentas de usuario activas únicamente.
      4. Siempre que sea técnicamente posible, todos los sistemas mantenidos por HCCC que almacenan información personal emplearán funciones de bloqueo automático que bloquean el acceso después de varios intentos fallidos de inicio de sesión.
      5. Los registros electrónicos (incluidos los registros almacenados en discos duros y otros medios electrónicos) que contengan información personal se eliminarán de acuerdo con NJ Stat y de manera que cumpla con ellas. § 56:8-163, Ley de informes de violación de datos de información personal de Nueva Jersey. Esto requiere que la información sea destruida o borrada para que la información personal no pueda ser leída o reconstruida en la práctica.

Riesgos externos

      1. Para combatir los riesgos externos a la seguridad, confidencialidad e integridad de cualquier registro electrónico, en papel o de otro tipo que contenga información personal, y con el fin de evaluar o mejorar, cuando sea necesario, la eficacia de las medidas de seguridad actuales para limitar dichos riesgos, son obligatorias las siguientes medidas y con efecto inmediato:

a.) Hay una protección de cortafuegos razonablemente actualizada y parches de seguridad del sistema operativo razonablemente diseñados para mantener la integridad de la información personal instalada en los sistemas con información personal.

b.) Existen versiones razonablemente actualizadas del software del agente de seguridad del sistema que incluyen protección contra malware y parches y definiciones de virus razonablemente actualizados instalados en los sistemas que procesan información personal.

c.) Cuando se almacenan en los recursos compartidos de la red de HCCC, los archivos que contienen información personal deben cifrarse. HCCC no permite que la información personal se almacene en computadoras portátiles, PC, dispositivos USB u otros medios portátiles. HCCC implementará software de encriptación para cumplir con este objetivo.

d.) Cualquier información personal transmitida electrónicamente a proveedores externos debe enviarse a través del servicio cifrado del proveedor o mediante el servicio cifrado designado por HCCC para una transmisión segura. 

e.) Todos los nuevos proveedores de servicios que almacenen la información personal de HCCC en forma electrónica deberán demostrar adecuadamente las medidas de seguridad a través de EDUCAUSE HECVAT o un instrumento similar. Estos proveedores también deben ser aprobados por el Vicepresidente de Finanzas y Negocios/CFO de HCCC.

f.) El personal de Recursos Humanos y Servicios de Tecnología de la Información deberá seguir los procedimientos descritos en el Procedimiento de Uso Aceptable de HCCC para Sistemas de Tecnología de la Información relacionados con la creación, transferencia o terminación de cuentas, junto con políticas para el almacenamiento de contraseñas y seguridad basada en funciones.

g.) Toda la información personal se eliminará siguiendo HCCC Policies and Procedures.

h.) Según lo permitan los recursos y el presupuesto, HCCC implementará tecnología que le permitirá a la universidad monitorear las bases de datos para detectar el uso no autorizado o el acceso a información personal y emplear protocolos de autenticación seguros y medidas de control de acceso de conformidad con los procedimientos de HCCC.

Aprobado por Gabinete: julio de 2021
Política de la Junta relacionada: ITS

Volver a Policies and Procedures