书面信息安全程序

亚博电竞官网韦尔斯利学院书面信息安全项目

(注:斜体字表示与最新版本相比的重大变化)

1.0政策声明

卫尔斯理亚博电竞官网学院书面信息安全计划(“WISP”)旨在作为一套全面的指导方针和政策,旨在保护学院保存的所有机密和受限制的数据,并遵守有关保护个人信息的适用法律和法规而且非公开财务信息,这些术语的定义见下文,可在学院拥有的记录和系统中找到。

2.0概述及目的

实施WISP是为了遵守马萨诸塞州联邦颁布的题为“联邦居民个人信息保护标准”的法规[201法典Mass]。海军学校规则。17.00),以及联邦贸易委员会[16 CFR第314部分],以及我们根据联邦《格雷姆-里奇-比利利法案》(“GLB”)[15 USC 6801(b)和6805(b)(2)]的金融客户信息安全条款所承担的义务。

根据这些联邦和州法律法规,韦尔斯利学院必须采取措施保护个人身份信息,亚博电竞官网包括财务信息,并就学院受保护信息的安全漏洞向受影响的个人和适当的州机构发出通知。

亚博电竞官网韦尔斯利学院致力于保护所有敏感数据的机密性,包括在学院工作或学习的个人信息。亚博电竞官网卫尔斯理学院已经实施了一些政策来保护这些信息,WISP应该与这些政策一起阅读,这些政策在本文档的末尾被交叉引用。

本文件的目的是:

  • 根据联邦和州法律法规,为卫尔斯理学院建立全面的信息安全计划,制定政策保护学院维护的敏感数据;亚博电竞官网
  • 根据数据的分类级别,建立员工保护数据的责任;而且
  • 建立行政、技术和实际保障措施,确保敏感数据的安全。

3.0范围

本计划适用于所有卫尔斯理学院的员工,无论是全职还是兼职,亚博电竞官网包括教职员工、行政人员、工会员工、合同工和临时工、雇佣顾问、实习生和学生雇员,以及卫尔斯理学院社区(以下简称“社区”)的所有其他成员。本程序也适用于某些签约的第三方供应商(详见第4.6节)。本程序所涵盖的数据包括在学院或为学院运营而存储、访问或收集的任何信息。WISP不打算取代任何现有的韦尔斯利学院政策,这些政策包含了保护某些类型数据的更具体要求,但个人信息和亚博电竞官网非公开财务信息除外,定义如下。如果这样的策略存在并且与WISP的要求冲突,则另一个策略优先。

3.1定义

数据

在本文件中,数据是指在学院储存、获取或收集的关于学院社区成员的信息。

数据保管

数据保管人负责维护支持数据访问、安全保管、传输和存储数据的技术基础设施,并为数据的使用提供技术支持。数据托管人还负责数据管理员建立的业务规则的实现。

数据管理员

数据管理员负责数据内容和相关业务规则的开发,包括授权对数据的访问。

个人信息

根据马萨诸塞州法律(201 CMR 17.00)的定义,个人信息(“PI”)是指一个人的名和姓,或首字母的首字母和姓,并结合下列任何一个或多个:

  • 社会安全号码;
  • 驾驶证号码或国家颁发的身份证号码;或
  • 金融账户号(例如银行账户)或允许访问个人金融账户的信用卡或借记卡号码,包括或不包括任何所需的安全代码、访问代码、个人识别号码或密码。

就本方案而言,PI还包括护照号码、外国人登记号码或其他政府颁发的身份证明号码。

非公开财务信息

GLB法案(FTC 16 CFR Part 313)要求保护“客户信息”,这适用于任何包含学生或其他与学院有关系的第三方的非公开财务信息(“NFI”)的记录,无论是纸质的、电子的还是其他形式的,由学院或代表学院处理或维护的。为此目的,NFI应包括以下任何信息:

  • 学生或其他第三方为了从学院获得金融产品或服务而提供;
  • 学生或其他第三方因与学院进行任何涉及金融产品或服务的交易而产生的信息;或
  • 通过向学生或其他第三方提供金融产品或服务而获得的其他信息。

NFI的例子包括:

  1. 消费者在申请贷款、信用卡或其他金融产品或服务时向您提供的信息;
  2. 账户余额信息、支付历史、透支历史、信用卡或借记卡购买信息;
  3. 个人是或曾经是贵公司的客户之一或从贵公司获得金融产品或服务的事实;
  4. 关于您的消费者的任何信息,如果其披露方式表明该个人是或曾经是您的消费者;
  5. 消费者向您提供的任何信息,或您或您的代理通过其他方式获得的与收取或服务信用账户有关的任何信息;
  6. 你通过互联网“cookie”(一种来自网络服务器的信息收集设备)收集的任何信息;而且
  7. 来自消费者报告的信息。

3.2数据分类

根据所需的安全级别,本政策涵盖的所有数据将被分为以下三类之一,从最高级别开始。

保密

机密数据是指未经授权的访问、使用、修改或披露可能给韦尔斯利学院或社区带来重大风险的任何数据。亚博电竞官网机密数据应以最高级别的安全措施处理,以确保数据的私密性,并防止任何未经授权的访问、使用、更改或披露。

机密数据包括受下列联邦或州法律或法规保护的数据: 201CMR17.00(群众安全条例),16 CFR 313(消费者金融信息隐私),联邦格雷姆-里奇-比利利法案,1996年健康保险携带和责任法案(HIPAA),以及联邦贸易委员会的红旗规则。受这些法律保护的信息包括但不限于PI、NFI和受保护健康信息(PHI)。

限制

受限制数据是指所有其他个人和机构数据,这些数据的丢失可能损害个人的隐私权,或对卫尔斯理学院的财务、运营或声誉产生负面影响。亚博电竞官网任何未被明确指定为机密的非公开数据应被视为限制数据。

受限制数据包括受《家庭教育权利和隐私法》(FERPA)保护的数据,被称为学生教育记录。这些数据还包括但不限于捐赠者信息、人体研究对象的研究数据、知识产权(专有研究、专利等)、学院财务和投资记录、员工工资信息或与法律或纪律事项相关的信息。

受限制的数据应仅限于被韦尔斯利学院雇用或入学的个人,并有合法理由访问这些数据,亚博电竞官网符合FERPA或其他适用法律或学院政策的规定。应该对这种分类应用合理的安全级别,以确保数据的私密性和完整性。

公共(或限制)

公开数据包括任何不受传播限制的信息,且此类数据的丢失或公开使用不会对卫尔斯理学院或卫尔斯理学院社区成员造成任何伤害。亚博电竞官网任何未被归类为机密或限制的数据都应被视为公共数据。

4.0政策

4.1责任

学院中的所有数据都根据它所代表的选民分配给一个数据管理员。数据管理员负责批准对此类数据的所有访问请求。每个选民组别的数据主管指定如下:

类型的数据 数据管理员*
教师 教务长
工作人员 财务和行政副总裁亚博电竞
学生 由注册主任、招生主任和招生及资助主任共用
女校友 女校友协会执行理事

*数据管理员可指定一名指定人员代替其工作。

图书馆及科技服务处的职员负责保管所有集中储存于书院伺服器及行政系统的资料,并负责这些资料的保安。对于存储在部门服务器上的分布式数据,部门主管或其指定人员作为数据保管人,而LTS和部门则共同承担保护数据的责任。

在切实可行的情况下,人力资源部会在员工离校日期之前,尽快通知学院职员有关员工身份的变更或终止。状态的变化可能包括终止、休假、职位职责的重大变化、转到其他部门或任何其他可能影响员工访问学院数据的变化。有关帐户终止的详细信息,请参阅电子内容管理政策

部门主管将在与非卫尔斯理学院雇员签订合同时通知学院,以终止对其卫尔斯理学院账户的访问。亚博电竞官网

lt保安组负责维护、更新和实施本方案。学院的首席信息官(CIO)对该项目负有全面责任。

共同体所有成员均有责任维持上述所有敏感资料的私隐及完整,并必须保护资料不受未经授权的使用、查阅、披露或更改。共同体所有成员均须查阅、储存及保存载有敏感资料的记录,以符合本计划的规定。

4.2高校信息风险识别与评估

亚博电竞官网韦尔斯利学院认识到,学院信息的隐私和完整性存在内部和外部风险。这些风险包括但不限于:

  • 非机密数据所有者的他人未经授权访问机密数据
  • 由于未经授权的人访问系统,导致系统安全性受损
  • 在传输过程中拦截数据
  • 数据完整性的丧失
  • 灾难中物理数据的丢失
  • 引入系统的错误
  • 数据或系统的损坏
  • 员工未经授权访问机密数据
  • 未经授权请求机密数据
  • 未经授权通过硬拷贝文件或报告进行访问
  • 未经授权通过第三方转移机密数据

亚博电竞官网韦尔斯利学院认识到,这可能不是与保护机密数据相关的完整风险清单。由于技术的增长不是静止的,新的风险会经常产生。因此,LTS将积极参与和监督咨询小组,如Educause安全研究所、Internet2安全工作组和SANS,以识别新的风险。

亚博电竞官网韦尔斯利学院认为学院目前的保障措施是合理的,并且根据LTS目前所做的风险评估,足以为学院维护的机密数据提供安全和机密性。此外,这些保障措施防止当前预期的威胁或危害信息的完整性。

4.3保密数据保护政策

为了保护学院机密资料,我们制定了以下政策和程序存取、储存、运输和销毁记录。有关存储指南的概述,请参阅数据存储指南

访问和存储

  • 只有在正常工作过程中需要访问保密数据的员工或授权第三方才被允许访问该数据,包括物理和电子记录。
  • 在可能的范围内,所有包含机密资料的电子记录只应储存on Vault(学院校园安全网络存储)而不是在本地机器或不安全的服务器上。
  • φ可以通过谷歌应用程序核心套件(包括邮件,驱动器,组,网站,聊天)进行存储或访问,因为这些应用程序经过认证符合HIPAA,只要对PHI的访问受到适当限制。这并不适用于谷歌+、Hangouts等谷歌消费应用。
  • 马萨诸塞州PI和NFI不能存储在任何谷歌应用程序。
  • 保密数据不得存储在学院不支持的云存储解决方案(包括DropBox、Microsoft OneDrive、Apple iCloud等)上。
  • 社会人士强烈建议不要将机密数据存储在笔记本电脑或其他移动设备(例如闪存驱动器、智能手机、外置硬盘驱动器)上。但是,如果需要以电子方式传输机密数据,则必须对包含该数据的移动设备进行加密。
  • 包含机密数据的纸质记录在不使用时必须保存在上锁的文件或其他安全区域。
  • 一旦与卫尔斯理学院的雇佣或关系终止,对包含机密数据的文件、系统或其他网络资源的电子和物理访问将立即终止。亚博电竞官网(见管理电子内容政策为更多的信息。)

传输机密数据

  • 强烈劝阻社区成员将包含机密数据的记录移出校园。在在极少数情况下,如果有必要这样做,用户必须采取所有合理的预防措施来保护数据。在任何情况下,包含机密数据的文件、电子设备或数字媒体都不能留在任何不安全的地方。
  • 当有合法的需要向卫尔斯理学院以外的第三方提供包含机密数据的记录时,电子记录应被密码保护和/或加密,纸质记录应被标记为机密并安全密封。亚博电竞官网

销毁机密资料

  • 包含机密数据的记录在商业用途不再需要时必须销毁,除非州或联邦法规要求在规定的时间内保存这些记录。
  • 包含机密数据的纸质和电子记录必须以阻止数据恢复的方式销毁。马萨诸塞州总法第93条指定包含PI的记录必须销毁的方式。

携带学生个人信息出国旅游

  • 如果国外的酒店或项目要求在旅行前传输学生护照信息,则只提供所要求的相关信息(如姓名、护照号码、有效期和出生日期),而不提供护照图像的完整副本。此信息应首先通过传真传送或透过电子传真安全网站(SSL),条件是安排旅行的卫尔斯理学院部门在实际亚博电竞官网数据之前发送初始确认信息,以确认传真号码的准确性。如果传真不可用,数据可以通过卫尔斯理的电子邮件发送,前提是同样的传输确认发生。
  • 为安排旅行需要保留护照号码的教职员工将把这些数据存储在电子表格中,并保存在学院的安全库服务器上。任何包含学生护照信息的电子表格,当不再需要时,电子表格所有者应定期删除。
  • 与需要学生护照和签证信息的学生一起出国的教师/工作人员将在他们的身上保留一份纸质记录,其中只包含相关信息(如护照和签证号码及其有效期)和学生的姓氏。教职员工不得保留或携带学生护照副本旅行。
  • 在极端情况下,涉及到偏远地区的旅行,在那里使用技术有限,并且将禁止检索丢失的护照,项目主任可以请求豁免该政策,允许他或她在旅行期间保留学生护照的副本。这项请求将提交首席新闻干事批准。如果申请被批准,项目主管将在“携带安全数据旅行的教职员工协议,以确认他们对该计划的理解,以及他们在保护护照方面的责任。如果护照复印件丢失,项目负责人也同意立即通知LTS。

4.4限制数据的保护策略

  • 对受限制数据的访问应仅限于有合法业务需要的社区成员。
  • 受限制数据可以存储在谷歌应用程序,酒井,NTM和Vault。
  • 受限制的数据可以存储在学院不支持的基于云的存储解决方案中,只要这些解决方案符合管理此类数据保护的任何法律的要求(例如,FERPA)。
  • 包含受限制数据的文件不应公开发布。

4.5密码要求

为保护书院资料,书院所有会员必须按下列指引选择唯一密码:

  • 至少有8个字符
  • 至少包含大写字母、小写字母、数字和特殊字符(例如@ $ # !)中的三种字符的组合。
  • 不包含任何语言、俚语、方言、行话等的单词,即使它们用数字或特殊字符分隔(例如,be87gin)
  • 不包含重复字符或键盘字母序列(例如qwerty、12345或yyy99)。
  • 不包含用户名、用户名、生日、社会保险或朋友和家人的任何部分(例如,Jill1030)

社区成员必须保护其密码的隐私。密码不能与他人共享。如果怀疑账户或密码被泄露,所有密码应立即更改,并将事件报告给卫尔斯理学院帮助台。亚博电竞官网

4.6关于保护个人信息的第三方供应商协议

亚博电竞官网卫尔斯理学院在选择有能力为学院向其提供的PI提供适当安全保障的服务提供商时进行了适当的努力。每个部门的主要预算负责人负责确定为学院提供服务的第三方,这些第三方有权使用PI。所有与这些第三方的相关合同都由卫尔斯理学院采购部门审查和批准,以确保合同包含保护PI的必要语言。亚博电竞官网主要预算持有人有责任确认第三方必须按照本项目和马萨诸塞州法律法规的要求采取适当的安全措施来保护PI。

4.7计算机系统保障措施

技术支持服务人员在持续的基础上监测和评估保障措施,以确定何时需要加强。学院已实施以下措施,以应对外部风险,并确保包含机密资料的学院网络和系统的安全:

  • 安全用户身份验证协议:
    • 所有用户帐户都需要唯一的密码;每个雇员都有一个单独的用户帐户。
    • 多次密码尝试失败后,服务器帐户将被锁定。
    • 当员工被解雇时,计算机访问密码将被禁用。
    • 用户密码以加密格式存储;根密码只有系统管理员才能访问。
  • 安全访问控制措施:
    • 对包含机密数据的特定文件或数据库的访问仅限于那些在正常工作过程中需要访问的员工。
  • 技术支持服务人员定期对所有服务器和计算机系统日志进行内部网络安全审计,以在合理可行的范围内发现可能的电子安全漏洞,并监控系统,以防止未经授权的访问或披露、滥用、修改、破坏或其他学院数据的破坏。
  • 定期为所有服务器安装操作系统补丁和安全更新。
  • 所有工作站都安装了防病毒和反恶意软件并保持更新。

4.8员工培训

所有管理人员每年都要完成“确保人的安全”在线安全培训。任何有PI权限的教师、工会、学生或合同雇员也必须完成此项年度培训。我们强烈建议所有员工都接受这种培训。

此外,受到网络钓鱼攻击的用户,无论是否已完成培训,均须在LTS发现问题后的两周内完成本课程。如果用户未能在2周内完成培训,他或她的远程访问学院资源将被禁用。lt安全小组保存所有此类培训的记录。

4.9报告试图或实际违反安全的行为

任何PI可能或实际的未经授权访问或披露、滥用、修改、破坏或其他损害事件,或违反或企图违反本计划下采取的信息保障措施的事件,必须立即报告CIO。CIO将联系数据事件小组主席——风险和合规经理——他将召集该小组。主席负责协调数据事件小组,并决定他们应对违规的适当行动。事件小组将记录所有违规行为和随后采取的响应措施.所有相关文件将存放在财务办公室。

有关事件响应的更多信息,包括响应违规的具体程序,请参见亚博电竞官网韦尔斯利学院数据事件响应计划

5.0执行

任何员工或学生故意访问,披露,滥用,改变,破坏,或以其他方式妥协机密或限制未经授权的数据,或在任何其他方面不遵守本程序的人,将受到纪律处分,其中可能包括员工的解雇和学生的开除。

6.0政策相互参照

以下韦尔斯利学院政策提供与本亚博电竞官网课程相关的建议和指导:

7.0生效日期

本书面信息安全计划于2010年2月1日实施。修订日期:2012年5月,2014年7月,2015年6月。

学院将至少每年对本课程进行一次审查,并保留在其认为情况需要的任何时候自行决定更改、修改或以其他方式更改本课程的权利。