缕——书面信息安全项目

亚博永久官网韦尔斯利学院书面信息安全项目

(注:斜体文本表示最近修订的重大变化)

1.0政策声明

韦尔斯利亚博永久官网学院的书面信息安全计划(“缕”)是一组全面的旨在维护所有机密工作的方针、政策和限制学院数据维护,并遵守适用的法律法规的保护个人信息非公开财务信息如下这些术语的定义,发现在记录和系统所拥有的大学。

2.0概述&目的

缕实施遵守规定发行的马萨诸塞州联邦题为“保护个人信息标准的居民英联邦”[201代码质量。海军学校规则。17.00),和美国联邦贸易委员会(Federal Trade Commission) [16 CFR 314]部分,和我们的义务的金融客户信息安全规定联邦《金融服务现代化法案》法案(GLB)[15南加州大学6801 (b)和6805 (b) (2)]。

依照这些联邦和州法律法规,韦尔斯利学院需要采取措施保护个人身份信息,亚博永久官网包括财务信息,并提供学院注意到保护信息的安全漏洞影响个人和适当的政府机构。

亚博永久官网韦尔斯利学院致力于保护所有敏感数据的机密性维护,包括个人信息学院工作或学习的人。亚博永久官网韦尔斯利学院实施了一系列的政策来保护这些信息,和一缕应该读结合这些政策相互参照本文的最后。

本文档的目的是:

  • 建立一个综合信息安全方案在韦尔斯利学院政策旨在保护敏感数据维护的大学,在遵守联邦和州法律法规;亚博永久官网
  • 建立员工职责为维护数据根据其分类水平;和
  • 建立行政、技术和物理安全措施以确保敏感数据的安全。

3.0范围

这个程序适用于所有韦尔斯利学院员工,全职或兼职,包括教师亚博永久官网、行政人员、工会员工、合同工和临时工,聘请顾问,实习生,员工和学生,以及所有其他成员的韦尔斯利学院社区(以下称为“社区”)。这个程序也适用于某些合同第三方供应商(更多信息参见4.6节)。这个项目覆盖的数据包括任何信息存储、访问或收集操作的大学或学院。缕并不打算取代任何现有的韦尔斯利学院政策包含更具体的要求,维护某些类型的数据,除了个人信息和非公开财务亚博永久官网信息,如下定义。如果存在这样的政策和缕的要求相冲突,其他政策的优先考虑。

3.1定义

数据

对于本文档,收集的数据是指信息存储、访问或在大学学院社区的成员。

数据保管

数据保管负责维护的技术基础设施,支持对数据的访问,安全保管、运输和存储的数据并为其使用提供技术支持。数据保管还负责实施业务规则建立的数据管家。

数据管理员

数据管理员负责的数据内容和发展相关的业务规则,包括授权访问数据。

个人信息

个人信息(“π”),由马萨诸塞州法律定义17.00 CMR(201),名和姓还是最初的和姓的人结合下列任何一个或多个:

  • 社会安全号码;
  • 驾照号码或出示身份证号码;或
  • 金融账户号码(如银行账户)或信用卡或借记卡号码,将允许访问一个人的金融账户,有或没有任何必要的安全代码,访问代码、个人识别号码或密码。

对于本项目,π还包括护照号码,外星人注册号或其他政府颁发的身份证号码。

非公开财务信息

GLB法案(FTC 16 CFR 313部分)需要保护的“客户信息”,适用于任何记录包含非公开财务信息(“目的”)一个学生或其他第三方与大学的关系,无论是在纸质、电子或其他形式,处理或由或代表的大学。为这些目的,NFI应包括任何信息:

  • 一个学生或其他第三方提供为了获得大学的金融产品或服务;
  • 关于一个学生或其他第三方造成任何事务学院涉及金融产品或服务;或
  • 否则获得关于一个学生或其他第三方的提供一个金融产品或服务的人。

NFI的例子包括:

  1. 信息消费者提供您在应用程序获得贷款,信用卡,或其他金融产品或服务;
  2. 账户余额信息,付款历史,透支的历史,和信用卡或借记卡购买信息;
  3. 个体是一直是你的顾客之一或取得金融产品或服务从你;
  4. 关于你的任何信息消费者如果披露的方式表明,个人或你的消费者;
  5. 任何一个消费者的信息提供给你,否则你或你的代理人获取与收集,或维修,一个信用帐户;
  6. 你收集的任何信息通过互联网“饼干”(一个信息收集设备从web服务器);和
  7. 来自消费者的信息报告。

3.2数据分类

所有数据由这一政策将会分为三种类别下面,根据每个所需的安全级别,从最高水平。

保密

机密数据指的是任何数据未经授权的访问、使用、变更或披露这些数据可能存在重大的风险水平韦尔斯利学院或社区。亚博永久官网机密数据应该接受最高的安全级别,以确保数据的隐私和防止未经授权的访问、使用、变更或披露。

保护机密数据包括数据下面的联邦或州法律或法规:201 cmr17.00(质量安全规则),16 CFR 313(消费者金融信息的隐私),联邦《金融服务现代化法案》法案,1996年健康保险携带和责任法案(HIPAA)和联邦贸易委员会的红旗规则。这些法律保护的信息包括,但不限于,π,NFI和保护健康信息(φ)。

限制

限制数据指的是所有其他个人和机构数据,这些数据的损失可能会损害个人的隐私权或负面影响财务状况,操作或韦尔斯利学院的声誉。亚博永久官网任何非公开的数据,没有显式地指定为机密应被视为限制数据。

限制数据包括家庭教育权利和隐私法案保护的数据(FERPA),称为学生教育记录。这个数据还包括,但不限于,捐赠信息,研究人类被试的数据,知识产权(专利研究、专利等),大学金融和投资记录,员工的工资信息,或信息相关法律或纪律方面的问题。

限制数据应限于访问的人是受雇于或在韦尔斯利学院录取,谁有合法理由访问这些数据,亚博永久官网由FERPA,大学或其他适用法律或政策。一个合理的安全级别应该应用于这种分类,以确保这些数据的隐私和完整性。

公共(或限制)

公共数据包括任何信息没有限制其分布,和损失或者公共使用的数据不会出现任何伤害韦尔斯利学院或韦尔斯利学院社区的成员。亚博永久官网任何数据不归类为机密或限制应考虑公共数据。

4.0政策

4.1责任

学院所有的数据都被分配一个数据管理员根据它所代表的选区。数据管理员负责批准所有请求的访问这些数据。每个选区的数据管理员组指定如下:

类型的数据 数据管理员*
教师 教务长
工作人员 财务副总裁和管理亚博vip首页
学生 主任之间共享注册入学,入学院长和金融援助
女校友 女校友协会的执行董事

*数据管理员可能会任命一位被任命者在自己的地方。

图书馆和技术服务(LTS)员工作为托管人对所有数据集中存储在大学的服务器和管理系统,并负责这些数据的安全。分布式数据存储在服务器部门,部门主管或其被指派者作为数据托管人,LTS和部门分享共同责任来保护数据。

人力资源将告知LTS员工员工状态的更改或终止之前只要是可行的,但从大学员工的离职日期。状态变化可能包括终端、休假显著变化的位置职责,转移到另一个部门,或其他任何变化可能会影响员工对学院的数据的访问。关于帐户终止妊娠的详细信息,请参阅电子内容管理政策

部门主管将在合同的结论警报LTS个人不认为韦尔斯利学院员工为了终止他们的韦尔斯利学院账户的访问权限。亚博永久官网

LTS安全团队负责维护、更新和实施这个项目。学院的首席信息官(CIO)全面负责这个项目。

社区的所有成员负责维护所有敏感数据的隐私和完整性定义,而且必须保护数据免受未经授权的使用、访问、披露或变更。社区的所有成员需要访问、存储和维护记录包含敏感数据符合这个项目。

4.2风险的识别和评估大学的信息

亚博永久官网韦尔斯利学院承认它有内部和外部风险大学信息的隐私和完整性。这些风险包括,但不限于:

  • 他人未经授权的访问的机密数据这些数据的所有者
  • 危及系统安全的系统由未经授权的人访问
  • 拦截的数据在传输过程中
  • 损失数据的完整性
  • 物理数据灾难的损失
  • 引入系统错误
  • 数据或系统的腐败
  • 未经授权的访问机密数据的员工
  • 未经授权的机密数据的请求
  • 未经授权的访问通过硬拷贝文件或报告
  • 通过第三方未经授权的机密数据转移

亚博永久官网韦尔斯利学院认识到这可能不是一个完整的列表的风险保护机密数据。因为技术增长并不是静态的,定期创建新的风险。因此,LTS将积极参与和监控等咨询集团Educause安全研究所的Internet2安全工作组和无识别新的风险。

亚博永久官网韦尔斯利学院认为,学院目前的保护措施是合理的,根据当前的风险评估由LTS,足以提供安全和保密机密数据维护的大学。此外,这些保护措施防止目前预期的威胁或危害这些信息的完整性。

4.3政策保护机密数据

保护大学列为机密数据,以下相关的政策和程序开发访问、存储、运输和销毁记录。存储原则的概述,请参阅数据存储指南

访问和存储

  • 只有那些雇员或授权第三方需要访问机密数据的常规课程职责授予访问这些数据,包括物理和电子记录。
  • 在某种程度上,所有的电子记录应该只包含机密数据被存储在库(学院的校园安全的网络存储)而不是在本地机器或无担保的服务器上。
  • φ通过Google Apps可以存储或访问核心套件(包括邮件、开车、组、网站、聊天),这些应用程序认证HIPAA兼容,只要访问φ是适当限制。这并不适用于谷歌Google +等消费应用程序,视频群聊等。
  • 马萨诸塞州π和NFI不能存储在任何Google app。
  • 机密数据不能存储在云存储解决方案所不支持的大学(包括DropBox、微软OneDrive苹果iCloud,等等)。
  • 社区的成员强烈劝阻存储机密数据在笔记本电脑或其他移动设备(例如,闪存,智能手机、外部硬盘驱动器)。然而,如果它是必要的以电子方式传输机密数据,包含数据的移动设备必须加密。
  • 纸质记录包含机密数据必须保存在锁定文件或其他安全领域不使用的时候。
  • 韦尔斯利学院就业或关系终止后,电子和物理访问文档、系统或其他网络资源包含机密数据立即终止。亚博永久官网(见电子内容的管理政策为更多的信息。)

传输机密数据

  • 社区成员强烈劝阻包含机密数据校外删除记录。在罕见的情况下这样做是必要的,用户必须采取一切合理的预防措施来保护数据。在任何情况下都是文档、电子设备、或包含机密数据的数字媒体离开无人值守在任何不安全的位置。
  • 当有一个合法的需要提供记录包含机密数据给第三方在韦尔斯利学院之外,电子记录应当有密码保护和/或加密,和纸记录,应当标明机密和安全密封。亚博永久官网

销毁机密数据

  • 包含机密数据的记录必须被摧毁一旦不再需要为业务目的,除非州或联邦法规要求规定的时间内保持这些记录。
  • 纸和电子记录包含机密数据必须被摧毁的方式防止数据的恢复。马萨诸塞州93年我的一般规律指定的方式记录含有π必须被摧毁。

出国旅行与学生的个人信息

  • 如果学生需要护照信息传播的酒店或提前计划在国外旅行,只请求的相关信息(如:姓名、护照号码、日期到期,和出生日期)将提供,不完整的副本的护照照片。这个信息应该首先通过传真传送或者通过我安全网站(SSL)韦尔斯利学院部门,安排旅行确认传真号码的亚博永久官网准确性通过发送一个初始确认消息之前实际的数据。如果无法传真,提供的数据可能会通过韦尔斯利的邮件,发送相同的传输确认发生。
  • 教师/员工需要保留这些护照号码安排旅行将这些数据存储在电子表格,保存在学校的安全库服务器。任何电子表格包含学生的护照信息时应该定期删除表格的主人不再需要。
  • 教员/员工与学生出国旅游酒店入住,需要学生的护照和签证信息将记录在他们的一篇论文,包含相关的信息(如护照和签证号码和有效期),最后一个学生的名字。教师/员工不得保留与学生护照的副本或旅行。
  • 在极端情况下涉及到远程访问技术将是有限的,禁止检索丢失护照,项目负责人可以请求豁免这一政策允许他或她保持旅行期间学生护照的副本。该请求将首席信息官批准。如果请求被批准后,项目负责人将签署“教员/员工协议旅行安全的数据“承认他们对缕的理解和他们的责任在保护护照。项目负责人也同意警报LTS立即如果护照丢失的副本。

4.4维护政策限制数据

  • 访问限制数据应限于社区的成员有一个合法的业务需要的数据。
  • 限制数据可以存储在Google Apps,酒井法子,特种加工和穹窿。
  • 限制数据可能存储在云存储解决方案所不支持的大学,只要他们符合要求的任何法律保护这些数据(例如,FERPA)。
  • 文档包含限制数据不应该被公开张贴。

4.5密码要求

为了保护大学的数据,社区的所有成员必须选择独特的密码遵循这些指导方针:

  • 至少有8个字符
  • 包含至少三四个字符的组合类型:大写和小写字母,数字和特殊字符(例如,@ $ # !)
  • 不包含在任何语言中,俚语、方言、行话、等等,即使他们由数字或特殊字符(如be87gin)
  • 不包含重复字符或一系列键盘字母(例如,标准,12345年,或yyy99)
  • 不包含任何的一部分用户的姓名、用户名、生日、社会保障或朋友和家人的(例如,Jill1030)

社区成员必须保护他们的隐私密码。密码不能与他人分享。如果一个帐户或密码被怀疑是妥协,所有密码都应该立即改变,韦尔斯利学院帮助台的事件报告。亚博永久官网

4.6第三方供应商协议关于保护个人信息

亚博永久官网韦尔斯利学院练习适当勤奋在选择服务提供者能够维持合适的π大学提供的安全保障。基本预算持有人各部门负责识别这些第三方提供服务的大学获得π。与这些第三方所有相关合同进行审核和批准的韦尔斯利学院采购部门,确保合同包含必要的语言对于维护π。亚博永久官网是基本预算持有人的责任确认第三方必须保持适当的安全措施来保护π与这个程序和马萨诸塞州法律法规保持一致。

4.7计算机系统安全措施

技术支持服务人员监控和评估保障在一个正在进行的基础上确定何时需要增强。学院实现了以下应对外部风险和安全的大学网络和系统包含机密数据:

  • 安全的用户身份验证协议:
    • 独特的密码是需要所有用户帐户;每个员工收到一个单独的用户帐户。
    • 多个口令尝试失败后服务器账户被锁定。
    • 电脑密码是残疾雇员的终止。
    • 用户密码存储在一个加密的格式;根密码只能由系统管理员进行访问。
  • 安全访问控制措施:
    • 访问特定文件或数据库包含机密数据仅限于那些员工需要访问在正常的职责。
  • 技术支持服务人员执行定期的内部网络安全审计所有服务器和计算机系统日志发现在一定程度上合理可行的可能的电子安全漏洞,并监控系统可能的未经授权的访问或披露、滥用、变更、破坏,或其他大学数据的妥协。
  • 安装操作系统补丁和安全更新所有服务器定期。
  • 反病毒和反恶意软件的软件是所有工作站安装并保持更新。

4.8员工培训

所有行政员工都必须完成网络安全培训每年“保护人类”。任何员工、工会、学生或合同员工访问π也需要完成本年度培训。培训也是强烈推荐给所有员工。

此外,网络钓鱼攻击的受害者的用户将被要求完成本课程后2周内LTS标识问题,不管他们是否已经完成了培训。如果用户未能完成培训2周内,他或她的远程访问大学资源将被禁用。LTS安全团队维护所有此类培训的记录。

4.9报告企图或实际违反安全

任何事件的可能或实际未授权访问或披露、滥用、变更、破坏,或其他妥协的π,或违反或企图违反信息安全保障政策的采用在这个程序中,必须立即报告给CIO。CIO会联系数据事件团队的主席——风险和合规经理——谁将召集团队。数据事件的椅子是负责协调团队和确定适当的措施应对违反。事件团队将记录所有违反和随后的响应行动。所有相关文件将存储在财务办公室。

对事件反应的更多信息,包括应对违反特定的过程,看到的亚博永久官网韦尔斯利学院数据事件响应计划

5.0执行

任何员工或学生故意访问,透露,误用,改变,破坏或妥协机密或限制数据未经授权或不遵守这个程序在其他方面,将受到纪律处分,包括终止的员工和驱逐的学生。

6.0政策相互参照

以下韦尔斯利学院政策提供建议亚博永久官网和指导,与这个程序:

7.0生效日期

这写信息安全项目实施2月1日,2010年。修正:2012年5月,2014年7月,2015年6月。

学院将回顾这个项目至少每年有权改变,修改或改变这个程序在它的唯一的谨慎和在任何时间视环境保证。