信息安全

1. 目的和背景
2. 《金融服务现代化法案》和事实行为要求
3. 指定安全项目官员
4. 客户信息
5. 隐私条款
6. 安全规定
7. 物理安全措施
8. 技术保障措施
9. 员工管理和培训
10. 外部服务提供者
11. 重新评估计划
12. 附录A:斯沃斯莫尔-事实最佳线上娱乐行为“红旗”计划
    1. 定义
    2. 识别相关的红旗
    3. 检测的红旗
    4. 响应
13. 附录B:斯沃斯莫尔-信息最佳线上娱乐技术服务安全程序
    1. 背景
    2. 其做法/政策
    3. 政务信息的定义
    4. 员工信息
    5. 家庭教育权利和隐私法案》(FERPA)
    6. 学生“目录信息”,由FERPA定义的
    7. 中央的安全过程管理数据库(旗帜)
    8. 责任的机构办公室

1。目的和背景

为了保护机密信息和数据,并遵守联邦法律,本文总结了学院的全面的书面信息安全和身份盗窃预防计划。2000年的《金融服务现代化法案》(GLB)规定,金融机构必须采取措施保护客户信息的安全性和保密性。联邦贸易委员会(FTC)裁定,GLB适用于高等教育机构。遵守GLB涉及遵循1 /隐私条款的法案和2 /规定的维护客户信息。公平和准确的信用交易法案(事实Act)要求金融机构建立一个计划,帮助检测、预防和降低身份盗窃的“覆盖帐户”。联邦贸易委员会说,大学被认为符合GLB的隐私规定是否符合家庭教育权利和隐私法案(FERPA)。关于第二点,GLB事实上为学院指定新的要求采取行动维护非公有制客户信息和某些覆盖账户,如家庭财务信息和社会保障和身份证号码,通过机构的安全计划和安全计划在特定学院的办公室,处理这些信息。

2。《金融服务现代化法案》和事实行为的需求

GLB要求大学指定信息安全项目代表协调信息安全项目,进行风险评估可能的安全和隐私风险,研究院所有员工的培训计划访问客户信息,监督服务提供者和相关合同,并定期评估和调整这个程序。事实行为类似的要求包括,要求学校有一个程序来识别、检测和适当的回应有关“红旗”,这是进一步详细的在附录a。

3所示。指定安全项目官员

斯沃斯莫尔学院指定GLB安全基金会的项目官员格雷格•布朗(Greg Brown,金融和财务副总裁和最佳线上娱乐乔尔·库珀,急速地。斯沃斯莫尔学院所有的信件和询问信息安全和身份盗窃预防计划应该指向其中的一个军官。最佳线上娱乐

4所示。客户信息

为了FERPA GLB,大学认为学生、员工、校友和其他任何第三方从事金融交易与斯沃斯莫尔学院“客户”。最佳线上娱乐必须维护的客户信息是“任何记录包含非公开个人信息客户,无论是在纸,电子,或其他形式。“它包括财务信息、学费和贷款账户,学术和就业信息,和其他私人纸和电子记录。

5。隐私条款

关于隐私规定GLB法案,斯沃斯莫尔学院符合FERPA。最佳线上娱乐目录信息(例如,姓名,地址,注册在大学和学位信息),每年出版的列表在学生手册中,被认为是公共的(除非另有书面要求学生)。目录信息是限制或机密,GLB所说的“非公开”。Under FERPA, restricted information (for example, academic or financial records) is released outside the college only with the student's written consent. Designated school officials, including faculty, key employees and occasionally outside service providers, have access to restricted, “non-public” information on a need-to-know basis only. Confidential information (for example, a faculty member's or dean's private notes) is even more protected than restricted information, and released only in certain unusual circumstances as outlined in FERPA. Although FERPA if narrowly construed only applies to enrolled students and past students, in compliance with GLB and long standing good practice, the College extends FERPA privacy protections to all customers of the college.

注册处将提供指导在遵守所有FERPA隐私法规。此外,学院还符合HIPAA(1996年健康保险携带和责任法案)与健康中心和人力资源提供指导。每个部门负责确保客户信息按照所有的隐私准则。

6。安全规定

GLB关于维护规定行为,斯沃斯莫尔学院GLB信息安全计划在此的目的是确保安全、完整性和机密性的非公开客户信息、保护它不受预期的威最佳线上娱乐胁,并保卫它对未经授权的访问或使用。覆盖在计划管理、技术和物理安全措施用于收集、分发、处理、保护、存储、使用、传输、处理,或处理的非公开客户信息。该计划涵盖了操作员工的大学和外部服务提供商。

政策包含在本文档适用于所有大学的部门。此外,如果单个部门可能有额外的安全规定,他们会保持这些的书面文件,将使它们可以安全项目官员。例如,信息技术部门将维护和提供政策和程序,防止任何预期的安全威胁或电子客户信息的完整性,防止未经授权使用这些信息。

大学对部门安全策略包括以下部分描述的元素。

7所示。物理安全措施

学院使用个人直接控制或直接监督控制访问和处理的所有非公开客户信息办公室是开着的。是否信息存储在纸质表单或任何电子访问格式,维护部门的非公开信息,存储,传输和处理授权员工的个人直接控制下的大学。

部门的非公开信息收集、加工、传播、分布式和最终处理持续的关注其隐私和安全。私下谈话关于举行非公开信息。论文通过官方校园与非公开信息寄出邮件,我们的邮件,或私人邮件运营商。鼓励部门密码保护电子文件传输电子的非公开信息。当最佳实践允许非公开信息的处理,它被摧毁;论文包含这些信息经常碎或销毁。

机密材料的安全性。大多数办公室把窗户锁锁着的门和限制访问。对于那些不这样做,材料保存在文件柜锁或其他存储区域。当办公室开放,从游客机密信息保存在看不见的地方,和电脑屏幕对游客是不可见的。办公室和/或计算机被锁定时,办公室将空了一个扩展的时间长度。

键访问仅限于授权大学员工只有在大学管理的分配键的键控制。大学公共安全办公室下班后进一步确保安全。

部门离线存储和信息处理一般符合现场存储相同的做法,和维护规定以外的服务提供商,如下所述。

8。技术保障措施

大学依靠信息技术服务部门提供网络安全与管理软件密码访问安全根据行业标准为了保护非公有制电子访问客户信息,但存储之外的一个部门。

部门的台式电脑和其他电子设备存储非公开客户信息保护的物理安全措施。

信息技术服务部门维护自己的书面安全政策与整个大学合并的政策。这是包含在附录B中。

9。员工管理和培训

所有大学的员工,包括兼职和临时员工,和志愿者给出具体培训的管理人员对安全问题的敏感和机密材料用于各自的办公室。员工负责知道虽然他们获得的非公开信息以履行职责的大学,他们不允许访问未经批准的目的或泄露给未经授权的人。员工训练有素的发现,而不是应对“借口”或电子邮件发生“网络钓鱼”,当有人试图获取机密信息通过未经授权的电话或电子方式提交身份盗窃。员工手册,这是提供给所有员工,指出违反安全策略可能导致终止就业或法律行动,或两者兼而有之。

10。外部服务提供者

每个区域将确保第三方服务提供商必须保持适当的保障他们获得的非公开信息。合同服务提供者,他们在斯沃斯莫尔学院获得非公开客户信息、合同应当包括下列规定适当的:最佳线上娱乐

明确承认合同允许合同伙伴访问机密信息;

具体的定义提供的机密信息;

规定的机密信息将严格保密和访问只对合同的明确的商业目的;

保证合同的合作伙伴,它将确保符合合同中列出的保护条件;

保证合同的合作伙伴,它将保护机密信息访问商业上可接受的标准和严格不比它保护自己的客户的机密信息;

条款允许退货或销毁所有机密信息收到合同的合同伙伴完成;

规定允许入境的禁令救济没有发布债券为了防止或补救措施违反合同的保密义务;

规定,任何违反合同的保护条件达到实质性违反合同,使斯沃斯莫尔学院有权立即解除合同而不受惩罚;最佳线上娱乐

合同规定允许审计合伙人的合规与合同保障需求;

合同条款确保的防护要求终止协议继续有效。

10。重新评估计划

这个计划和其他各个部门的政策至少每年审查并根据需要调整。GLB安全计划人员流通这一政策评估每个部门和请求。年度评论包括内部和外部风险的识别和评估的安全、完整性和机密性的非公开客户信息和账户,包括审查外部承包商和他们的合同,以确保适当的保护措施。

11。附录A
最佳线上娱乐斯沃斯莫尔,事实行为“红旗”计划

一个定义。

身份盗窃:一个欺诈提交或蓄意在未经授权的情况下使用他人的身份信息。

红旗:模式、实践和具体活动信号可能存在的身份盗窃。覆盖账户:客户账户涉及多个付款或交易。斯沃斯莫最佳线上娱乐尔,其中包括学生学费账户付款计划,帕金斯/斯沃斯莫尔贷款,和员工的抵押贷款。

b。识别相关的红旗

应该考虑以下相关红旗:

1. 收到警报、通知或其他警告消费者报告机构,服务提供商,和欺诈检测服务。
2. 表示可疑文件,如照片的身份证不似乎是真实的或不匹配的外观呈现。
3. 表示怀疑的个人识别信息,包括地址不符之处。
4. 不寻常的使用,或其他可疑活动相关账户。
5. 通知客户,身份盗窃的受害者,执法人员或其他有关可能的身份盗窃与覆盖账户。

c。检测的红旗

大学的员工应当意识到这些红旗和采取预防措施等情况下保证开个覆盖帐户验证客户身份的;和客户进行身份验证,监控交易,并验证相关数据覆盖现有的账户。

d。反应

大学应当适当的合并和审查现有的政策和程序,防止和减轻合理身份盗窃的风险。例如,大学可能需要一个照片的身份证前批准退款从覆盖账户和邮件退款到学生的邮箱或者学生的父母的地址记录。

身份盗窃或欺诈被怀疑时,大学应提供适当的反应,如联系客户,需要额外的信息,修改密码或其他安全码,拒绝访问或关闭了账户,联系学校的公共安全部并通知执法。大学也可以确定没有反应在特定情况下是必要的。

12。附录B
最佳线上娱乐斯沃斯莫尔——信息技术服务安全程序

一。背景

保护客户信息之间分担责任机构办公室和信息技术服务人员。机构办公室政策和过程在每一个相关领域客户信息风险是显而易见的。这些机构包括:校友和发展,注册处,财政援助办公室、招生办公室、人力资源、和学生应收账款的办公室,健康中心,居住生活。

信息技术服务(它)将维护和提供政策和程序,防止任何预期的安全威胁或电子客户信息的完整性,防止未经授权使用这些信息。本文档大纲的实践,保护电子信息。

b。其做法/政策

网络安全,包括防火墙技术,实施保护管理服务器和部门通过互联网工作站从未经授权的访问。员工在行政和教师办公室连接了校园计算机网络。校外访问此子网通过提供一个安全的虚拟专用网(VPN)完成加密和一个额外的一层密码安全。

台式电脑在行政办公室提供最脆弱点的访问管理系统。台式电脑身体锁定桌面,在防火墙后面。

夜间备份重要文件和文件保护信息的损失。

打印报告包含机密和敏感数据安全在办公室或在中央电脑房间里锁着的门。不再需要的报告,包含机密和/或敏感数据,是碎碎或存储安全,直到他们。

除了网络和物理安全、逻辑安全计划的基本层的保护。这些计划是保护行政的关键信息和描述的程序系统特权授予、密码维护、安全监控和沟通问题。

系统权限授权的部门主管或指定部门安全管理器和集中分配的系统管理员在数据库服务集团。部门主管包括招生办公室主任、注册,控制器,为人力资源副总裁,主管金融援助,等等。

教职员工授权访问机构数据可能这样做只有大学开展业务。在这方面,员工必须:

• 尊重个人的保密性和隐私信息的访问
• 遵守道德的限制,适用于他们的数据访问
• 遵守适用的法律或政策对访问、使用或披露的信息

员工不得:

• 披露的数据,他们的工作职责要求的除外
• 使用数据为自己的个人利益,也为他人的收益或利润
• 访问数据来满足个人的好奇心

员工和学生违反这项政策受到大学的调查和纪律程序。院长办公室的学生处理学生投诉。教务长处理投诉能力。投诉处理人员和管理员通过主管或人力资源。

c。政务信息的定义

政务信息学院的任何数据相关的业务,包括但不限于财务、人员、学生、校友和物理资源。它包括数据维护部门和办公室级别以及集中,无论他们居住的媒体。行政信息不包括图书馆控股或教学笔记,除非它们包含的信息与业务功能有关。行政学院认识到信息作为大学资源需要适当的管理为了允许有效的规划和决策,及时、有效地开展业务。员工负责维护完整性、准确性和机密性信息的一部分的就业条件。

授予访问管理系统根据员工的需要使用特定的数据,所定义的工作职责,并接受适当的批准。因此,这种访问不能共享,转让或委托。未能保护这些资源可能导致对员工的纪律措施,包括终止。

请求发布政务信息被称为办公室负责维护这些数据。学院保留所有权的行政员工创建或修改的信息作为其工作的一部分功能。行政信息分为三个层次:

机密信息需要一个高水平的保护由于风险和大小可能导致的损失或损害披露,改变或破坏数据。这包括信息的不当使用或披露可能影响大学生的能力来完成它的使命,以及记录对个人要求保护家庭教育权利和隐私法案1974 (FERPA)。

机密信息包括,例如,学生资助信息,工资和福利信息,校友礼物和学生成绩。

敏感信息需要一定程度的保护,因为其未经授权的披露,改变或破坏可能导致损害大学。假设所有行政管理输出数据库分为敏感,除非另有指示。

敏感的信息包括,例如,类列表,合同数据,和供应商数据信息。

公共信息通常可以在学院内外都可用。应该明白,任何校园社区内广泛传播的信息可能是向公众开放。

例如,公共信息包括电话目录信息。

d。员工信息

人事记录是机密的所有方面。目录信息为教职员工在斯沃斯莫尔学院的电话目录是公开发表。最佳线上娱乐目录信息可能包括下列部分或全部:姓名、家庭电话、配偶/伴侣的姓名,部门,职务名称、地址、校园电话和电子邮件地址。所有数据保存在公布的电话目录从校外位置也可以在线。教职员工可以请求这些数据被列为机密。其他所有员工相关数据,特别是提供给用户的外部人力资源如社会安全号码和出生日期,必须警惕地维护和视为机密。

e。家庭教育权利和隐私法案(FERPA)

家庭教育权利和隐私法案1974 (FERPA)管理所有学生的信息,由斯沃斯莫尔学院,现任和前任。最佳线上娱乐FERPA通常要求,斯沃斯莫尔学院学生的书面许可发布任何信息最佳线上娱乐从他们的记录,除了某些类型的目录信息。

f。学生”目录信息”,由FERPA定义的

某些信息,归类为“目录信息”,可用于公共消费,除非学生专门指导保留它。学生可以直接院长办公室的学生不披露这些信息。学生可能接触前校友关系。公共目录信息定义的行为包括:学生的名字,地址,电话号码,出生日期和地点、主要的研究领域,参与正式组织的活动和运动,日期出席,程度和所获奖项,前教育机构参加了最近的。

g。中央的安全过程管理数据库(旗帜)

分配权限

部门数据管理(部门主管或其指定人)负责授权系统访问旗帜。在管理信息系统的系统管理员将分配访问。

类似的过程存在授权访问课程管理系统,电子邮件和共享文件存储。

安全横幅访问申请表必须由部门经理授权,完成修改或删除用户权限。

修改和终止

它应立即通知一旦员工终止。系统管理员将禁用所有账户访问员工。

密码

管理信息是通过警惕使用用户定义的密码保护。

至少,密码必须:

• 改变了用户在线每一百八十天
• 由两个字母和数字组成
• 8个字符长,最少
• 显著不同于之前的密码

旗帜用户,系统管理员和那些大学处理敏感数据可能受到更严格的密码要求。

个人预计将保护密码等信息披露的传播密码通过电子邮件,即时消息,等等。每个人都必须有一个独特的用户登录。

h。责任机构办公室

部门安全管理器

每个办公室的部门主管必须分配一个部门安全管理器,另一种是谁负责授权和监控访问管理系统。

安全申请表必须完成为每个人提供访问管理系统。这个表单必须完成修改或删除访问。同样重要的是删除访问管理系统,因为它是授权访问管理系统。

按季度,安全管理器将被要求审查所有部门的安全授权。制作并发行的一份报告将由系统管理员。

新员工的沟通

部门主管或安全经理负责与每个员工讨论这一政策特权制度。有效、持续的沟通这个安全策略与教学有关的办公室程序是每个部门主管的责任。