Procedimento de Solicitações de Acesso a Sistemas de Informação contendo Dados Sensíveis

 

Introdução

Este procedimento designa os proprietários do sistema/dados do Hudson County Community College (HCCC). Esses indivíduos supervisionam o acesso a sistemas de informação que contêm dados confidenciais, como o Colleague ERP System. A supervisão é necessária para proteger e preservar a confidencialidade, integridade e disponibilidade dos dados do HCCC e para cumprir os padrões e regulamentos de tecnologia da informação aplicáveis ​​ao HCCC.

Os proprietários de sistemas/dados designados para os sistemas de informação do Hudson County Community College que contêm dados confidenciais devem ter autoridade para aprovar o acesso de indivíduos a esses sistemas.

Designação de proprietários de sistemas/dados

Os seguintes membros da equipe executiva são designados como proprietários do sistema/dados para sistemas de informação que contêm dados confidenciais.

Sistema ERP Colega

Módulo Aluno

Vice-presidente de Assuntos Estudantis e Matrículas

Módulo financeiro do aluno

Vice-presidente de Negócios e Finanças/CFO

Financial Aid Módulo

Decano Associado de Financial Aid

Módulo de Recursos Humanos

Vice-presidente de Recursos Humanos

Sistema de imagem de documentos

Serviços de Inscrição, Admissões e Documentos de Orientação

Vice-presidente de Assuntos Estudantis e Matrículas

estudante Financial Aid Documentos

Decano Associado de Financial Aid

Documentos financeiros

Vice-presidente de Negócios e Finanças/CFO

Solicitações de acesso a sistemas de informação contendo dados confidenciais

Os pedidos de acesso a sistemas de informação que contenham dados sensíveis serão concedidos com base em "privilégio mínimo", ou seja, acesso apenas às informações e sistemas necessários ao desempenho das tarefas normais de trabalho do indivíduo.

Os membros da equipe executiva designados como proprietários de sistemas/dados ou gerentes designados em áreas funcionais devem revisar as solicitações de acesso a sistemas de informação que contenham dados confidenciais de membros da equipe sob sua autoridade administrativa. Eles devem validar que os usuários tenham acesso com "privilégio mínimo" apenas aos privilégios necessários para desempenhar suas funções normais de trabalho. Eles devem aprovar as solicitações enviando um formulário de solicitação de acesso ao sistema localizado no portal. Se o acesso não for garantido, a solicitação será negada.

Remoção do acesso a sistemas de informação que contêm dados confidenciais

Os membros da equipe executiva devem garantir que os supervisores notifiquem prontamente os Serviços de Tecnologia da Informação (ITS) quando o acesso do usuário a um sistema de informação não for mais necessário e quando o acesso de um usuário precisar ser modificado devido a uma mudança nas principais funções do funcionário.

O ITS será notificado imediatamente por telefone, seguido de um e-mail para o Chief Information Officer (CIO), no caso de desligamento de um funcionário superusuário ou no caso de desligamento involuntário de um funcionário. Rescisões de rotina, transferências para outro departamento da faculdade ou mudanças de funções devem ser enviadas em até cinco dias úteis usando o formulário de solicitação de acesso ao sistema localizado no portal.

Revisão do Acesso a Sistemas de Informação que Contêm Dados Sensíveis

Uma revisão anual de todas as contas de usuários para sistemas de TI sensíveis deve ser conduzida pelo ITS para avaliar a necessidade contínua das contas e o nível de acesso associado.

Responsabilidades

O CIO terá a responsabilidade geral de desenvolver e manter os procedimentos técnicos consistentes com este procedimento e deverá cumprir os padrões aplicáveis ​​do Hudson County Community College.

O Apêndice A descreve a localização do formulário para solicitação de acesso aos sistemas de informação da faculdade.

Definições

Data - inclui qualquer informação dentro da alçada do HCCC, incluindo dados de registro do aluno, dados pessoais, dados financeiros (orçamento e folha de pagamento), dados de vida do aluno, dados administrativos departamentais, arquivos legais, dados de pesquisa institucional, dados proprietários e todos os outros dados que pertencem ou dão suporte a administração do Colégio.

Sistema de informação - compreende os componentes e operações totais de um processo de manutenção de registros, incluindo informações coletadas ou gerenciadas por meio de redes de computadores e da Internet, automatizadas ou manuais, contendo informações pessoais e o nome, número pessoal ou outras particularidades de identificação de um titular de dados.

Dados sensíveis – inclui qualquer informação que possa afetar adversamente os interesses do Colégio, a condução dos programas da agência ou a privacidade a que os indivíduos têm direito se comprometidos em termos de confidencialidade, integridade ou disponibilidade. Os dados são classificados como confidenciais se o comprometimento desses dados resultar em um efeito adverso relevante e significativo nos interesses do Colégio, na incapacidade da agência afetada de conduzir seus negócios, na violação das expectativas de privacidade ou se for exigido por lei que seja mantido em sigilo.

Superusuário – seja funcionário que tenha painel de inscrição ou acesso privilegiado elevado; por exemplo, um administrador de segurança.

 Referências

  • Lei de Privacidade e Direitos Educacionais da Família (FERPA) (20 USC § 1232g; 34 CFR Parte 99)
  • Lei de Modernização de Serviços Financeiros (Lei Gramm-Leach-Bliley) (15 USC § 6801 e seguintes)
  • Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) (Lei Pública 104-191)

Revisar Periodicidade e Responsabilidade

O CIO deve revisar este procedimento anualmente e, se necessário, recomendar revisões.

APÊNDICE "A"

Formulários de solicitação de acesso ao sistema:

Acesso de colegas

https://myhudson.hccc.edu/ellucian

Solicitação de criação de conta ou solicitação de desativação

https://myhudson.hccc.edu/its

 

Aprovado pelo Gabinete: julho de 2021
Política do Conselho Relacionada: ITS

Voltar para Policies and Procedures