Introdução
Este procedimento designa os proprietários do sistema/dados do Hudson County Community College (HCCC). Esses indivíduos supervisionam o acesso a sistemas de informação que contêm dados confidenciais, como o Colleague ERP System. A supervisão é necessária para proteger e preservar a confidencialidade, integridade e disponibilidade dos dados do HCCC e para cumprir os padrões e regulamentos de tecnologia da informação aplicáveis ao HCCC.
Os proprietários de sistemas/dados designados para os sistemas de informação do Hudson County Community College que contêm dados confidenciais devem ter autoridade para aprovar o acesso de indivíduos a esses sistemas.
Designação de proprietários de sistemas/dados
Os seguintes membros da equipe executiva são designados como proprietários do sistema/dados para sistemas de informação que contêm dados confidenciais.
Sistema ERP Colega
Módulo Aluno
Vice-presidente de Assuntos Estudantis e Matrículas
Módulo financeiro do aluno
Vice-presidente de Negócios e Finanças/CFO
Financial Aid Módulo
Decano Associado de Financial Aid
Módulo de Recursos Humanos
Vice-presidente de Recursos Humanos
Sistema de imagem de documentos
Serviços de Inscrição, Admissões e Documentos de Orientação
Vice-presidente de Assuntos Estudantis e Matrículas
estudante Financial Aid Documentos
Decano Associado de Financial Aid
Documentos financeiros
Vice-presidente de Negócios e Finanças/CFO
Solicitações de acesso a sistemas de informação contendo dados confidenciais
Os pedidos de acesso a sistemas de informação que contenham dados sensíveis serão concedidos com base em "privilégio mínimo", ou seja, acesso apenas às informações e sistemas necessários ao desempenho das tarefas normais de trabalho do indivíduo.
Os membros da equipe executiva designados como proprietários de sistemas/dados ou gerentes designados em áreas funcionais devem revisar as solicitações de acesso a sistemas de informação que contenham dados confidenciais de membros da equipe sob sua autoridade administrativa. Eles devem validar que os usuários tenham acesso com "privilégio mínimo" apenas aos privilégios necessários para desempenhar suas funções normais de trabalho. Eles devem aprovar as solicitações enviando um formulário de solicitação de acesso ao sistema localizado no portal. Se o acesso não for garantido, a solicitação será negada.
Remoção do acesso a sistemas de informação que contêm dados confidenciais
Os membros da equipe executiva devem garantir que os supervisores notifiquem prontamente os Serviços de Tecnologia da Informação (ITS) quando o acesso do usuário a um sistema de informação não for mais necessário e quando o acesso de um usuário precisar ser modificado devido a uma mudança nas principais funções do funcionário.
O ITS será notificado imediatamente por telefone, seguido de um e-mail para o Chief Information Officer (CIO), no caso de desligamento de um funcionário superusuário ou no caso de desligamento involuntário de um funcionário. Rescisões de rotina, transferências para outro departamento da faculdade ou mudanças de funções devem ser enviadas em até cinco dias úteis usando o formulário de solicitação de acesso ao sistema localizado no portal.
Revisão do Acesso a Sistemas de Informação que Contêm Dados Sensíveis
Uma revisão anual de todas as contas de usuários para sistemas de TI sensíveis deve ser conduzida pelo ITS para avaliar a necessidade contínua das contas e o nível de acesso associado.
Responsabilidades
O CIO terá a responsabilidade geral de desenvolver e manter os procedimentos técnicos consistentes com este procedimento e deverá cumprir os padrões aplicáveis do Hudson County Community College.
O Apêndice A descreve a localização do formulário para solicitação de acesso aos sistemas de informação da faculdade.
Definições
Data - inclui qualquer informação dentro da alçada do HCCC, incluindo dados de registro do aluno, dados pessoais, dados financeiros (orçamento e folha de pagamento), dados de vida do aluno, dados administrativos departamentais, arquivos legais, dados de pesquisa institucional, dados proprietários e todos os outros dados que pertencem ou dão suporte a administração do Colégio.
Sistema de informação - compreende os componentes e operações totais de um processo de manutenção de registros, incluindo informações coletadas ou gerenciadas por meio de redes de computadores e da Internet, automatizadas ou manuais, contendo informações pessoais e o nome, número pessoal ou outras particularidades de identificação de um titular de dados.
Dados sensíveis – inclui qualquer informação que possa afetar adversamente os interesses do Colégio, a condução dos programas da agência ou a privacidade a que os indivíduos têm direito se comprometidos em termos de confidencialidade, integridade ou disponibilidade. Os dados são classificados como confidenciais se o comprometimento desses dados resultar em um efeito adverso relevante e significativo nos interesses do Colégio, na incapacidade da agência afetada de conduzir seus negócios, na violação das expectativas de privacidade ou se for exigido por lei que seja mantido em sigilo.
Superusuário – seja funcionário que tenha painel de inscrição ou acesso privilegiado elevado; por exemplo, um administrador de segurança.
Referências
- Lei de Privacidade e Direitos Educacionais da Família (FERPA) (20 USC § 1232g; 34 CFR Parte 99)
- Lei de Modernização de Serviços Financeiros (Lei Gramm-Leach-Bliley) (15 USC § 6801 e seguintes)
- Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) (Lei Pública 104-191)
Revisar Periodicidade e Responsabilidade
O CIO deve revisar este procedimento anualmente e, se necessário, recomendar revisões.
APÊNDICE "A"
Formulários de solicitação de acesso ao sistema:
Acesso de colegas
https://myhudson.hccc.edu/ellucian
Solicitação de criação de conta ou solicitação de desativação
https://myhudson.hccc.edu/its
Aprovado pelo Gabinete: julho de 2021
Política do Conselho Relacionada: ITS
Voltar para Policies and Procedures