Política de Serviços de Tecnologia da Informação

 

PROPÓSITO

Esta política fornece as expectativas e diretrizes da Faculdade Comunitária do Condado de Hudson (“Faculdade”) para todos que usam e gerenciam os Serviços e Recursos de Tecnologia da Informação da Faculdade (“Recursos ITS”).

A Faculdade fornece recursos de ITS para promover os objetivos educacionais, de serviço, de negócios e de sucesso dos alunos da faculdade. Qualquer acesso ou uso dos recursos de ITS do Colégio que interfira, interrompa ou entre em conflito com esses propósitos será considerado uma violação desta política. Eles estarão sujeitos a consequências, incluindo a revogação do acesso ao ITS.

POLÍTICA

Esta política se aplica a todos os membros da comunidade da faculdade, incluindo professores, alunos, administradores, funcionários, ex-alunos, convidados autorizados e contratados independentes que usam, acessam ou empregam, local ou remotamente, os recursos de ITS da faculdade, sejam controlados individualmente, compartilhados, autônomos ou em rede.

O Conselho delega ao Presidente a responsabilidade de desenvolver procedimentos e diretrizes para a implementação desta política. O Escritório de Serviços de Tecnologia da Informação e Finanças será responsável pela implementação da política.

Aprovado: junho de 2021
Aprovado por: Conselho de Curadores
Categoria: Serviços de Tecnologia da Informação
Programado para revisão: junho de 2024
Escritório(s) Responsável(is): Escritório(s) de Serviços de Tecnologia da Informação e Finanças

 

Procedimentos

Procedimento de Uso Aceitável para Sistemas de Tecnologia da Informação

Introdução

Este procedimento visa garantir que os Sistemas de Tecnologia da Informação (ITS) do Colégio sejam usados ​​para promover a missão do Colégio. Este procedimento está em conformidade com a Política de Serviços de Tecnologia da Informação da HCCC aprovada pelo Conselho de Administração da HCCC.

Aplicabilidade

Este procedimento se aplica a todos os usuários individuais que acessam e usam recursos de computação, rede e informação através de qualquer instalação da Faculdade. Esses usuários incluem todos os funcionários do Hudson County Community College, professores, administradores e outras pessoas contratadas ou contratadas para realizar o trabalho do College.

Este procedimento abrange todos os Sistemas de Tecnologia da Informação do Colégio, incluindo computação, rede e outros recursos de tecnologia da informação de propriedade ou operados, adquiridos ou contratados pelo Colégio. Esses recursos incluem os sistemas de computação e rede do Colégio (incluindo aqueles conectados à infra-estrutura de telecomunicações do Colégio, os backbones do Colégio, as redes locais e a Internet), sites de acesso público, sistemas de computador compartilhados, computadores de mesa, dispositivos móveis, outros hardware de computador, software, bancos de dados armazenados ou acessíveis através da rede, instalações de ITS/Aplicativos Empresariais e sistemas e serviços de comunicação.

Responsabilidade

O Chief Information Officer (CIO) e os Diretores/Gerentes de ITS/Aplicativos Empresariais devem implementar este procedimento. As denúncias de usuários sobre suspeitas de abuso e outras reclamações devem ser direcionadas ao CIO. O CIO deve relatar o incidente ao Vice-Presidente de Negócios e Finanças/CFO. Os detalhes do procedimento estão descritos abaixo em "Não conformidade e sanções".

Privacidade

A Faculdade valoriza muito a privacidade e reconhece sua importância crítica em um ambiente acadêmico. Em circunstâncias limitadas, incluindo, mas não se limitando a problemas técnicos ou falhas, solicitações de aplicação da lei ou regulamentos governamentais, o Colégio pode determinar que outros interesses superem o valor da expectativa de privacidade de um usuário. Somente então o Colégio acessará os Sistemas de TI relevantes sem o consentimento do usuário. O Colégio tem o compromisso de proteger a privacidade do usuário, desde que isso não comprometa os recursos institucionais. As circunstâncias em que o Colégio pode precisar ter acesso são discutidas abaixo. Salvaguardas processuais foram estabelecidas para garantir que o acesso seja obtido somente quando apropriado.

Condições – De acordo com a legislação estadual e federal, o Colégio poderá acessar todos os aspectos dos Sistemas de TI, sem o consentimento do usuário, nas seguintes circunstâncias:

      1. Quando necessário para identificar ou diagnosticar sistemas ou vulnerabilidades e problemas de segurança, ou de outra forma preservar a integridade dos Sistemas de TI do Colégio;
      2. Quando exigido por leis federais, estaduais ou locais ou normas administrativas; 
      3. Quando houver motivos razoáveis ​​para acreditar que uma violação da lei ou uma violação significativa da política ou procedimento do Colégio possa ter ocorrido, e o acesso e a inspeção ou monitoramento possam produzir evidências relacionadas à má conduta;
      4. Quando tal acesso a Sistemas de Aplicativos de TI/Empresa for necessário para realizar funções essenciais de negócios do Colégio; e,
      5. Quando necessário para preservar a saúde e a segurança pública.

De acordo com a Lei de Registros Públicos Abertos de Nova Jersey, o Colégio se reserva o direito de acessar e divulgar dados. Essa divulgação pode incluir mensagens, dados, arquivos e backup ou arquivos de e-mail. A divulgação às autoridades de aplicação da lei e outros deve ser feita conforme exigido por lei, para responder a processos legais e cumprir suas obrigações com terceiros. Mesmo o e-mail excluído está sujeito a descoberta legal durante o litígio por meio de arquivos de mensagens, fitas de backup e remoções de mensagens.

Extração – O Colégio acessará os dados sem o consentimento do usuário somente com a aprovação do CIO e do Vice-Presidente de Negócios e Finanças/CFO. Esse processo será contornado apenas quando o acesso de dados de emergência for necessário para preservar a integridade das instalações e preservar a saúde e a segurança pública. A Faculdade, por meio do CIO, registrará todas as instâncias de acesso sem consentimento. Um usuário será notificado do acesso da Faculdade aos sistemas de TI relevantes sem consentimento. Dependendo das circunstâncias, tal notificação ocorrerá antes, durante ou após o acesso a critério do Colégio.

Princípios gerais

  1. O acesso à tecnologia da informação é vital para a missão do Colégio de fornecer aos seus alunos serviços educacionais da mais alta qualidade.
  2. A faculdade é proprietária de seus sistemas de computação, rede e outros sistemas de comunicação.
  3. O Colégio também possui vários direitos relacionados à licença do software e das informações que residem ou são desenvolvidos nesses computadores e redes. O Colégio é responsável pela segurança, integridade, manutenção e confidencialidade de seus sistemas de comunicação.
  4. Os sistemas de TI da faculdade existem para dar suporte a funcionários, professores, administradores, consultores e alunos enquanto eles realizam a missão da faculdade. Para esses fins, o Colégio incentiva e promove o uso desses recursos pela comunidade do Colégio para os fins pretendidos. O acesso e uso desses recursos fora da missão do Colégio está sujeito a regulamentação e restrição para garantir que eles não interfiram no trabalho legítimo. É proibido o acesso e uso de recursos e serviços que interfiram na missão e nos objetivos do Colégio.
  5. Quando a demanda por recursos de tecnologia da informação excede a capacidade disponível, o ITS estabelece prioridades para alocação dos recursos. O ITS dá maior prioridade às atividades essenciais à missão do Colégio. Em conjunto com o Diretor de Informações, os Vice-Presidentes devem recomendar essas prioridades ao Presidente.
  6. O Colégio tem autoridade para controlar ou recusar o acesso a qualquer pessoa que viole este procedimento. Ameaçar os direitos de outros usuários, a disponibilidade e integridade dos sistemas e informações é uma violação deste procedimento. As consequências da violação do procedimento incluem a desativação de contas, códigos de acesso ou autorizações de segurança, interrupção de processos, exclusão de arquivos afetados e desabilitação do acesso a recursos de tecnologia da informação.

Direitos dos usuários

  1. Privacidade e confidencialidade: Conforme descrito mais detalhadamente na seção IV (acima), o Colégio geralmente respeitará os direitos dos usuários à privacidade e confidencialidade. No entanto, por sua natureza tecnológica, as comunicações eletrônicas, especialmente o e-mail conectado à Internet, podem não estar protegidas contra acesso, visualização ou violação não autorizados. Embora o Colégio empregue tecnologias para proteger as mensagens eletrônicas, a confidencialidade do e-mail e de outros documentos eletrônicos nem sempre pode ser assegurada. Portanto, o bom senso determina a elaboração de documentos eletrônicos que podem se tornar públicos sem constrangimento ou dano.
  2. Segurança: O uso pelo corpo docente, funcionários ou administradores da faculdade dos sistemas de TI da faculdade para transmitir comunicações ameaçadoras, assediadoras ou ofensivas (ou a exibição de imagens ou materiais ofensivos) é uma violação do procedimento da faculdade e pode sujeitar o infrator a sanções severas . O pessoal da faculdade deve relatar ao CIO comunicações ameaçadoras, assediantes ou ofensivas recebidas pela rede ao CIO o mais rápido possível.

Responsabilidades dos usuários

  1. Indivíduos com acesso aos recursos de computação, rede e informações da Faculdade são responsáveis ​​por usá-los profissionalmente, de forma ética, legal e consistente com todas as políticas aplicáveis ​​da Faculdade. Os usuários devem tomar as medidas razoáveis ​​e necessárias para salvaguardar a integridade operacional e a acessibilidade dos sistemas do Colégio. Os usuários devem manter um ambiente acadêmico e de trabalho propício ao cumprimento eficiente e produtivo da missão do Colégio. Especificamente, as responsabilidades dos usuários incluem:
      1. Respeitar os direitos dos outros, incluindo seus direitos à propriedade intelectual, privacidade e liberdade de assédio;
      2. Salvaguardar a confidencialidade das informações confidenciais da Faculdade e a privacidade das informações dos alunos seguindo a política e os procedimentos da FERPA e da Faculdade;
      3. Utilizar sistemas e recursos de forma a não interferir ou atrapalhar o funcionamento normal do Colégio;
      4. Proteger a segurança e a integridade das informações armazenadas nos sistemas de aplicativos de TI/empresas da faculdade;
      5. Conhecer e obedecer às políticas e procedimentos específicos da faculdade e da unidade que regem o acesso e o uso dos sistemas de TI da faculdade e das informações nesses sistemas.

Proscrições Específicas no Uso da Rede

  1. Os indivíduos não podem compartilhar senhas ou IDs de login ou, de outra forma, dar a outras pessoas acesso a qualquer sistema pelo qual não sejam os responsáveis ​​individuais pelos dados ou sistema. Os usuários são responsáveis ​​por qualquer atividade realizada com suas contas de computador e sua segurança de senha. Somente pessoas autorizadas podem usar os Sistemas de Aplicativos de TI/Empresa do Colégio.
  2. Os indivíduos não podem usar a conta de rede de outra pessoa ou tentar obter senhas ou códigos de acesso à conta de rede de outra pessoa para enviar ou receber mensagens.
  3. Os indivíduos devem identificar a si mesmos e sua afiliação de forma precisa e adequada nas comunicações eletrônicas. Eles não podem disfarçar a identidade da conta de rede atribuída a eles ou se apresentar como outra pessoa.
  4. Os indivíduos não podem usar os sistemas do Colégio para assediar, intimidar, ameaçar ou insultar outros; interferir no trabalho ou educação de outra pessoa; criar um ambiente de trabalho ou aprendizado intimidador, hostil ou ofensivo; ou para realizar atividades ilegais ou antiéticas, incluindo plágio e invasão de privacidade.
  5. Os indivíduos não podem usar os sistemas do Colégio para obter ou tentar obter acesso não autorizado a redes remotas ou sistemas de computador.
  6. Os indivíduos não podem interromper deliberadamente as operações normais dos computadores, estações de trabalho, terminais, periféricos ou redes do Colégio.
  7. Os indivíduos não podem executar ou instalar programas em qualquer sistema de computador do Colégio que possam danificar os dados e sistemas do Colégio (por exemplo, vírus de computador, programas pessoais). Os usuários não devem usar a rede do Colégio para interromper sistemas externos. Se um usuário suspeitar que um programa que pretende instalar ou usar pode causar tal efeito, ele deve primeiro consultar o ITS/Aplicativos Corporativos.
  8. Os indivíduos não podem contornar ou evitar o uso de sistemas de autenticação, mecanismos de proteção de dados ou outras proteções de segurança.
  9. Os indivíduos não devem violar quaisquer leis e licenças de direitos autorais aplicáveis ​​e devem respeitar outros direitos de propriedade intelectual. Informações e software acessíveis na Internet estão sujeitos a direitos autorais ou proteção adicional de direitos de propriedade intelectual. A política, os procedimentos e a lei da faculdade proíbem a cópia não autorizada de software que não tenha sido colocado em domínio público e distribuído como “freeware”. Portanto, nada deve ser baixado ou copiado da Internet sem autorização expressa do proprietário do material. Os usuários devem observar os requisitos ou limitações do proprietário do material. O uso de software em mais do que o número licenciado de computadores e a instalação não autorizada de software não licenciado também são proibidos.
    Os usuários de “Shareware” devem cumprir os requisitos do contrato de shareware.
  10. São proibidas atividades que desperdicem ou monopolizem injustamente os recursos computacionais e não promovam a missão do Colégio. Exemplos de tais atividades incluem e-mails em massa não autorizados; correntes eletrônicas, lixo eletrônico e outros tipos de mensagens de difusão; múltiplos processos, saídas ou tráfego desnecessários; exceder as limitações de espaço de diretório de rede; jogar, “navegar” na Internet para fins recreativos ou outros aplicativos não relacionados ao trabalho durante o horário comercial; e impressão excessiva.
  11. É proibido ler, copiar, alterar ou deletar programas ou arquivos que pertençam a outra pessoa ou ao Colégio sem permissão.
  12. Os indivíduos não devem usar os recursos de computação do Colégio para fins comerciais ou ganho financeiro pessoal.
  13. É proibido o uso dos Sistemas de TI da Faculdade que viole as leis ou regulamentos locais, estaduais ou nacionais ou as políticas, padrões de conduta ou diretrizes da Faculdade.
  14. Comunicações por e-mail:
      1. O sistema de e-mail da faculdade existe para apoiar o trabalho da faculdade, e o uso do e-mail deve estar relacionado aos negócios da faculdade. No entanto, o uso pessoal incidental, não comercial, sem custo direto para o Colégio, que não interfira nos negócios legítimos do Colégio, também é permitido.
      2. São proibidas as comunicações eletrônicas cujo significado, transmissão ou distribuição seja ilegal, antiético, fraudulento, difamatório, ofensivo ou irresponsável. Os sistemas de e-mail da faculdade não devem ser usados ​​para comunicar conteúdo que possa ser considerado inapropriado, ofensivo ou desrespeitoso a outras pessoas.
      3. Os indivíduos devem observar padrões profissionais apropriados de civilidade e decência em todas as comunicações eletrônicas.
      4. Todas as correspondências de e-mail relacionadas aos negócios da faculdade (incluindo aquelas enviadas a alunos e futuros alunos) devem ser enviadas com um fundo branco liso e não devem usar nenhum papel de carta decorativo.
      5. A transmissão de e-mails para a Comunidade da Faculdade estará relacionada às normas e procedimentos da Faculdade, notícias da Faculdade, um evento patrocinado pela Faculdade ou itens que afetem a Comunidade da Faculdade. Itens à venda, solicitações de doação e outros assuntos comerciais que não sejam da faculdade são proibidos. Os indivíduos não podem enviar e-mails solicitando esse tipo de informação através das listas de discussão do Colégio.

World Wide Web

  1. O site da Faculdade Comunitária do Condado de Hudson é uma publicação oficial da Faculdade. Todas as informações contidas nas páginas da Web devem ser precisas e refletir a política e os procedimentos oficiais do Colégio.
  2. As páginas oficiais da Web da faculdade estão em conformidade com os mesmos padrões de qualquer publicação impressa da faculdade. O CIO, Diretor de Marketing e Relações Universitárias, Gerente de Serviços Web e o Vice-Presidente pertinente ou seu representante terão a responsabilidade final pelo conteúdo e design de cada página.
  3. O Gerente de Serviços da Web e a equipe da faculdade responsável por cada divisão ou departamento revisarão regularmente a atualidade e a precisão das páginas oficiais da Faculdade Comunitária do Condado de Hudson. As áreas individuais são responsáveis ​​por comunicar as revisões e atualizações, à medida que ocorrem, ao Gerente de Serviços da Web, que as revisará e providenciará sua publicação.

Incumprimento e Sanções

O não cumprimento deste procedimento pode resultar na negação ou remoção de privilégios de acesso aos sistemas eletrônicos da Faculdade, ação disciplinar de acordo com as políticas e procedimentos aplicáveis ​​da Faculdade, responsabilidade civil e litígio, e processo criminal de acordo com as leis estaduais, federais e locais apropriadas.

O processo para uma investigação sobre suspeitas de abusos e descumprimento deste procedimento é o seguinte:

    1. Denuncie suspeitas de abuso ao CIO.
    2. Se houver concordância do Vice-Presidente de Negócios e Finanças/CFO, o CIO deverá investigar o relatório.
    3. O CIO deve relatar qualquer abuso descoberto ao vice-presidente da divisão apropriado, que determinará a ação disciplinar apropriada.

Procedimentos de contas de rede, e-mail e Internet

Elegíveis para contas são os seguintes:

    1. Todos os funcionários assalariados da Faculdade Comunitária do Condado de Hudson.
    2. Todos os professores adjuntos e outros consultores contratados pelo Colégio por meio de cartas de acordo, memorandos de entendimento ou contrato.
    3. Todos os membros do Conselho de Curadores.
    4. Funcionários de meio período do Hudson County Community College que demonstraram necessidade de recursos de computador disponíveis no ITS/Enterprise Applications (além do acesso geral à Internet), relacionados ao seu trabalho no College, são elegíveis para contas temporárias.
    5. Os funcionários de instituições de ensino afiliadas que tenham relacionamento com o Hudson County Community College e uma necessidade comprovada de recursos de computador de ITS/Aplicativos Empresariais (além do acesso geral à Internet) são elegíveis para contas temporárias.
    6. Organizações afiliadas com uma missão acadêmica cujas atividades relacionadas ao Colégio exigem recursos de computação que a afiliada não pode fornecer por conta própria são elegíveis para contas temporárias.

O ITS remove contas quando:

    1.  O titular da conta não atende mais aos requisitos de qualificação.
    2. A conta é temporária e a data de expiração passa sem renovação.
    3. O titular da conta não acessa a conta há 18 meses consecutivos.

senhas

    1. As contas são criadas com uma senha pré-atribuída que os titulares da conta devem alterar ao fazer login pela primeira vez e de acordo com os procedimentos da faculdade.
    2. É estritamente proibido compartilhar ou divulgar senhas.

Procedimento de e-mail da Faculdade Comunitária do Condado de Hudson

Indivíduos com acesso aos sistemas de TI da faculdade são responsáveis ​​por usá-los profissionalmente, eticamente, legalmente e seguir as políticas e procedimentos aplicáveis ​​da faculdade. Os usuários devem manter um ambiente acadêmico e de trabalho propício ao cumprimento eficiente e produtivo da missão do Colégio.

São proibidas as comunicações eletrônicas cujo significado, transmissão ou distribuição sejam ilegais, antiéticos, fraudulentos, difamatórios, ofensivos, irresponsáveis ​​ou que violem as políticas ou procedimentos do Colégio. As comunicações eletrônicas não devem conter nada que não possa ser postado em um quadro de avisos, visto por espectadores não intencionais ou aparecer em uma publicação da faculdade. Material que possa ser considerado inapropriado, ofensivo ou desrespeitoso a terceiros não deve ser enviado ou recebido como comunicação eletrônica usando as instalações do Colégio. O CIO supervisionará a aplicação deste procedimento.

A. Ações Consideradas As violações deste procedimento de e-mail são as seguintes:

      1. Envio de mensagens de e-mail em massa não autorizadas (“lixo eletrônico” ou “spam”).
      2. Usar e-mail para assédio, seja por meio do idioma, frequência, conteúdo ou tamanho das mensagens.
      3. Encaminhamento ou propagação de cartas em cadeia e esquemas de pirâmide, quer o destinatário deseje ou não receber tais correspondências.
      4. E-mails maliciosos, como “mail-bombing” ou inundação de um site de usuário com e-mails muito grandes ou numerosos.
      5. Falsificação de informações do remetente que não sejam nomedaconta@hccc.edu ou outro endereço de cabeçalho pré-aprovado.
      6. Envio de e-mail para fins comerciais ou ganho financeiro pessoal.

O Colégio tem o direito de remover o acesso a contas encontradas em violação deste procedimento.

B. Regras e controles de e-mail:

      1. O Colégio não arquiva e-mails.
      2. O Colégio filtra e-mails para spam e conteúdo malicioso.
      3. O Colégio bloqueia contas de e-mail que enviam spam e conteúdo malicioso.

Aprovado pelo Gabinete: julho de 2021
Política Relacionada do Conselho: Serviços de Tecnologia da Informação

 

Procedimento de ciclos de vida do computador

Introdução

Este procedimento visa garantir o acesso à tecnologia de computação atual necessária para promover o sucesso do aluno e cumprir as responsabilidades do trabalho do funcionário. Este procedimento fornece ao Escritório de Serviços de Tecnologia da Informação (ITS) a substituição programada de computadores para uso de funcionários, salas de aula e laboratórios. 

Propósito

O objetivo deste procedimento é definir os parâmetros e o processo para substituições de computadores pessoais. Este procedimento exclui estações de trabalho e terminais de propósito exclusivo para uso com Virtual Desktop Infrastructure (VDI). 

Objetivo

Este procedimento abrange computadores pessoais usados ​​por professores em tempo integral, funcionários em tempo integral, laboratórios e salas de aula. Computadores adquiridos sob subsídios ou para uso dedicado devem ser tratados separadamente pelos parâmetros de seus subsídios e propósito. Esta política não se aplica a equipamentos periféricos, telefones de escritório, celulares, impressoras, scanners, equipamentos de áudio/vídeo, servidores ou outros equipamentos relacionados a TI. Esse equipamento é substituído pelo ITS de acordo com a necessidade, condição e recursos orçamentários com base em sua análise, julgamento e contratos de suporte. 

Plataformas de hardware 

A cada ano, o Colégio determinará especificações padrão para computadores desktop e laptop com base na função do trabalho para conter custos, manutenção e eficiência de suporte. A ITS desenvolveu os padrões de equipamentos, revisados ​​pelo Comitê de Tecnologia do All College Council e aprovados pelo Diretor de Informações e pelo Vice-presidente de Finanças e Negócios/Diretor Financeiro. Como o ITS oferece suporte a um dispositivo por funcionário, os usuários receberão um laptop e uma docking station em vez de um computador de mesa. Computadores de mesa serão fornecidos em áreas onde seu uso será compartilhado, como áreas de recepção, salas de aula, laboratórios e áreas de trabalho auxiliares ou de estudo.

Procedimento

    1. Os computadores pessoais serão mantidos e suportados pela ITS durante o período de serviço designado. O período atual de serviço para computadores pessoais HCCC é de cinco anos.
    2. A cada ano, o ITS substituirá uma parte dos computadores pessoais na lista de inventário. O ITS implantará computadores pessoais de professores e funcionários durante o verão e o outono. O ITS também atualizará parte da sala de aula, laboratório e computadores de acesso aberto a cada ano. Os orçamentos de substituição estimados serão apresentados nas audiências orçamentárias anuais. O ITS reconhece que alguns professores, funcionários e alunos têm diferentes necessidades de computação. Laboratórios acadêmicos com computadores especializados serão incorporados ao orçamento de reposição quando possível. Professores e funcionários que precisam de uma máquina não padrão que exceda o custo de um computador pessoal padrão deverão obter a aprovação do Escritório/Escola. O seu escritório/escola financiará a diferença de preço.
    3. Os professores e funcionários de meio período que desejarem emprestar um laptop preencherão um formulário de solicitação que exigirá a aprovação do gerente. Após aprovação do gerente, o ITS fornecerá um laptop.
    4. O ITS trabalhará com o usuário do computador para migrar os dados do funcionário para o computador substituto. O ITS removerá o computador pessoal mais antigo. O ITS manterá o disco rígido do computador antigo por duas semanas a 90 dias para garantir que nenhum dado seja perdido durante a implantação.

      1. Os aposentados podem ter a opção de comprar seu computador antigo por um valor justo de mercado determinado pelo ITS. Essas compras são "como estão" e o ITS removerá todos os softwares e dados da HCCC antes da transferência de propriedade. Os funcionários preencherão um cheque para o Hudson County Community College, que será depositado na conta do Colégio.
    5. Em alguns casos, os computadores podem ser reutilizados ou reimplantados em outros locais do campus, a critério do ITS.
    6. Quando os computadores pessoais precisam ser movidos, o Escritório/Escola deve entrar em contato com o ITS. O ITS é responsável por um inventário preciso. Os usuários não devem realocar os próprios computadores pessoais. Os computadores não devem ser reatribuídos ou redistribuídos sem notificar o ITS e obter aprovação.
    7. Quando um funcionário com um computador pessoal sair do Colégio, o ITS será notificado pelo Gabinete/Escola e Recursos Humanos. Na maioria dos casos, esse computador será redistribuído para o próximo funcionário contratado naquele cargo.
    8. Se um computador pessoal quebrar e não puder ser consertado, o ITS substituirá o computador por uma nova máquina. Esse computador se torna a máquina pessoal desse funcionário. 

Aprovado pelo Gabinete: abril de 2023
Política Relacionada do Conselho: Serviços de Tecnologia da Informação

 

Procedimento de Gestão de Eventos

Introdução

Este procedimento visa garantir eventos bem-sucedidos em todo o College que continuem a promover a missão do College. Este procedimento está em conformidade com a HCCC Information Technology Services Policy aprovada pelo Board of Trustees.

Aplicabilidade

Este procedimento é aplicável a todos os professores e funcionários da faculdade que realizam eventos universitários.

Responsabilidade

O vice-presidente associado de serviços de tecnologia da informação e diretor de informações implementará este procedimento em coordenação com o diretor executivo de instalações, operações e engenharia, o diretor executivo de segurança pública e outros líderes da faculdade.

Procedimento

  1. Definição de um evento HCCC

    1. Atividades acadêmicas da faculdade: CAA são atividades ou eventos diretamente relacionados à missão instrucional da faculdade. Exemplos incluem aulas com créditos, atividades programáticas relacionadas a cursos acadêmicos e reuniões de departamentos docentes/administrativos.
    2. Eventos da faculdade: CE são atividades organizadas e executadas por professores, funcionários, escritórios da faculdade e organizações estudantis registradas e aprovadas, planejadas principalmente para membros da comunidade HCCC e o benefício da faculdade. Exemplos incluem atividades de programação estudantil, desenvolvimento de professores e funcionários, formatura, convocação, dias abertos, eventos de recrutamento, palestrantes convidados e outros. Os participantes desses eventos incluem membros da comunidade, professores, funcionários, alunos, convidados e ex-alunos.
    3. Eventos organizados pela faculdade: CHE são programas acadêmicos, conferências, retiros e reuniões que envolvem duas entidades: uma entidade da faculdade (escola, unidade acadêmica ou administrativa, ou organização estudantil registrada e aprovada) e uma organização externa (como uma associação profissional na qual a faculdade é membro ou mantém um relacionamento que beneficia diretamente a comunidade da faculdade ou a organização comunitária).
    4. Eventos não universitários/externos: NC/EE são definidos como programas e atividades organizados por indivíduos, grupos, empresas ou organizações não incluídas na estrutura organizacional da Faculdade. Exemplos são recepções, eventos de caridade, reuniões e eventos corporativos, acampamentos para jovens, conferências, atividades sociais, exposições, etc. Eventos não universitários/externos exigem um acordo contratual e comprovação adequada de seguro com a Faculdade.
  2. Escritórios que dão suporte a eventos e o que eles oferecem

    1. Serviços de Tecnologia da Informação
      1. Equipamentos tecnológicos
      2. Teste apresentações e mídia antes do evento
      3. Links de reunião e suporte híbrido para reuniões/eventos
      4. WiFi para convidados
      5. Suporte tecnológico durante o evento
    2. Instalações
      1. Montagem e desmontagem de móveis
      2. Desmontando móveis
      3. Limpeza
      4. Monitoramento de HVAC
    3. Segurança
      1. Suporte de segurança durante eventos
      2. Aberturas e fechamentos de edifícios
      3. Apoio ao estacionamento e transporte
    4. Flik
      1. Comida e bebida
      2. Servidores e outros suportes
      3. Coordenação com grupos externos
  3. Processo de Gestão de Eventos

    1. As solicitações on-line devem ser inseridas por meio do sistema Coursedog da faculdade.
    2. Será necessária aprovação para espaços e tipos de eventos especiais; por exemplo, Sala de Reuniões do Presidente, Átrio, Galeria.
    3. É necessário aviso prévio para todos os eventos.
    4. Será dada prioridade a eventos de alto nível em toda a faculdade.
  4. Guia de Tipos de Eventos

    Tipo de evento

    Descrição

    Laboratório de Informática Acadêmica Serviços de laboratório de informática, incluindo o suporte de um Assistente de Laboratório, exigem aviso prévio de três dias. Essas solicitações podem ser inseridas com 180 dias de antecedência.
    Serviços administrativos As reuniões exigem aviso prévio de um dia.
    Educação Continuada (EC) Eventos e aulas de Educação Continuada e Desenvolvimento da Força de Trabalho exigem aviso prévio de um dia. Essas solicitações podem ser inseridas com 180 dias de antecedência.
    Serviços de Matrícula / Admissões Os eventos de Serviços de Matrícula e Admissões exigem aviso prévio de três dias. Essas solicitações podem ser inseridas com 90 dias de antecedência.
    Serviços de Hotelaria e Restauração Prioridade 1 Eventos de Prioridade 1 incluem eventos em todo o campus, participantes externos, eventos anunciados e eventos em nível de gabinete. Essas solicitações exigem aviso prévio de 30 dias e podem ser inseridas com 180 dias de antecedência.
    Serviços de Hotelaria e Restauração Prioridade 2 Eventos de Prioridade 2 incluem eventos de nível de departamento com mais de 50 participantes e que estão sendo gravados, exigem aviso prévio de 14 dias. Essas solicitações podem ser inseridas com 180 dias de antecedência.
    Serviços de Hotelaria e Restauração Prioridade 3 Os eventos de Prioridade 3 são pequenos e mais informais e exigem aviso prévio de três dias. Essas solicitações podem ser inseridas com 180 dias de antecedência.
    Evento do Campus North Hudson Programas e eventos hospedados no North Hudson Campus exigem aviso prévio de três dias. Essas solicitações podem ser inseridas com 180 dias de antecedência.
    Espaço de escritório em North Hudson Reuniões no North Hudson Campus exigem aviso prévio de um dia.
    Escritório do registrador Programas e eventos em salas de aula de Assuntos Acadêmicos no Journal Square exigem aviso prévio de um dia. Essas solicitações podem ser inseridas com 180 dias de antecedência.
    Escola de Enfermagem Testes / Palestrante Convidado Programas e eventos no F129 Computer Lab exigem aviso prévio de um dia. Essas solicitações podem ser inseridas com 180 dias de antecedência.
    Vida de estudante Todos os eventos da vida estudantil exigem dois dias de aviso prévio. Essas solicitações podem ser inseridas com 180 dias de antecedência.
    Deslize para mais
  5. Responsabilidades

    1. Os organizadores fornecerão todas as informações disponíveis na solicitação, incluindo contatos para o evento, e-mail e números de telefone, etc.
    2. Os organizadores comunicarão quaisquer alterações em tempo hábil e por escrito.
    3. Os organizadores incluirão a Declaração de Acessibilidade da Faculdade em todas as comunicações sobre o evento.
    4. Os organizadores participarão de orientações e sessões práticas conforme exigido pelo tipo de evento.
    5. Os escritórios da faculdade que prestam serviços se comunicarão em tempo hábil com os organizadores.
    6. Links de eventos híbridos serão criados exclusivamente pelos Serviços de Tecnologia da Informação para eventos do HCCC.
    7. Os organizadores notificarão os escritórios da faculdade com antecedência quando houver um cancelamento para liberar o espaço do evento.
    8. Os escritórios do HCCC notificarão os organizadores sobre quaisquer problemas assim que forem descobertos.

Aprovado pelo Gabinete: Dezembro de 2024
Política Relacionada do Conselho: Serviços de Tecnologia da Informação

 

Procedimento de Solicitações de Acesso a Sistemas de Informação contendo Dados Sensíveis

Introdução

 Este procedimento designa os proprietários do sistema/dados do Hudson County Community College (HCCC). Esses indivíduos supervisionam o acesso a sistemas de informação que contêm dados confidenciais, como o Colleague ERP System. A supervisão é necessária para proteger e preservar a confidencialidade, integridade e disponibilidade dos dados do HCCC e para cumprir os padrões e regulamentos de tecnologia da informação aplicáveis ​​ao HCCC.

Os proprietários de sistemas/dados designados para os sistemas de informação do Hudson County Community College que contêm dados confidenciais devem ter autoridade para aprovar o acesso de indivíduos a esses sistemas.

Designação de proprietários de sistemas/dados

 Os seguintes membros da equipe executiva são designados como proprietários do sistema/dados para sistemas de informação que contêm dados confidenciais.

 Sistema ERP Colega

Módulo Aluno

Vice-presidente de Assuntos Estudantis e Matrículas

Módulo financeiro do aluno

Vice-presidente de Negócios e Finanças/CFO

Financial Aid Módulo

Decano Associado de Financial Aid

Módulo de Recursos Humanos

Vice-presidente de Recursos Humanos

 Sistema de imagem de documentos

Serviços de Inscrição, Admissões e Documentos de Orientação

Vice-presidente de Assuntos Estudantis e Matrículas

estudante Financial Aid Documentos

Decano Associado de Financial Aid

Documentos financeiros

Vice-presidente de Negócios e Finanças/CFO

Solicitações de acesso a sistemas de informação contendo dados confidenciais

Os pedidos de acesso a sistemas de informação que contenham dados sensíveis serão concedidos com base em "privilégio mínimo", ou seja, acesso apenas às informações e sistemas necessários ao desempenho das tarefas normais de trabalho do indivíduo.

Os membros da equipe executiva designados como proprietários de sistemas/dados ou gerentes designados em áreas funcionais devem revisar as solicitações de acesso a sistemas de informação que contenham dados confidenciais de membros da equipe sob sua autoridade administrativa. Eles devem validar que os usuários tenham acesso com "privilégio mínimo" apenas aos privilégios necessários para desempenhar suas funções normais de trabalho. Eles devem aprovar as solicitações enviando um formulário de solicitação de acesso ao sistema localizado no portal. Se o acesso não for garantido, a solicitação será negada.

Remoção do acesso a sistemas de informação que contêm dados confidenciais

Os membros da equipe executiva devem garantir que os supervisores notifiquem prontamente os Serviços de Tecnologia da Informação (ITS) quando o acesso do usuário a um sistema de informação não for mais necessário e quando o acesso de um usuário precisar ser modificado devido a uma mudança nas principais funções do funcionário.

O ITS será notificado imediatamente por telefone, seguido de um e-mail para o Chief Information Officer (CIO), no caso de desligamento de um funcionário superusuário ou no caso de desligamento involuntário de um funcionário. Rescisões de rotina, transferências para outro departamento da faculdade ou mudanças de funções devem ser enviadas em até cinco dias úteis usando o formulário de solicitação de acesso ao sistema localizado no portal.

Revisão do Acesso a Sistemas de Informação que Contêm Dados Sensíveis

Uma revisão anual de todas as contas de usuários para sistemas de TI sensíveis deve ser conduzida pelo ITS para avaliar a necessidade contínua das contas e o nível de acesso associado.

Responsabilidades

O CIO terá a responsabilidade geral de desenvolver e manter os procedimentos técnicos consistentes com este procedimento e deverá cumprir os padrões aplicáveis ​​do Hudson County Community College.

O Apêndice A descreve a localização do formulário para solicitação de acesso aos sistemas de informação da faculdade.

Definições

 Data - inclui qualquer informação dentro da alçada do HCCC, incluindo dados de registro do aluno, dados pessoais, dados financeiros (orçamento e folha de pagamento), dados de vida do aluno, dados administrativos departamentais, arquivos legais, dados de pesquisa institucional, dados proprietários e todos os outros dados que pertencem ou dão suporte a administração do Colégio.

Sistema de informação - compreende os componentes e operações totais de um processo de manutenção de registros, incluindo informações coletadas ou gerenciadas por meio de redes de computadores e da Internet, automatizadas ou manuais, contendo informações pessoais e o nome, número pessoal ou outras particularidades de identificação de um titular de dados.

Dados sensíveis – inclui qualquer informação que possa afetar adversamente os interesses do Colégio, a condução dos programas da agência ou a privacidade a que os indivíduos têm direito se comprometidos em termos de confidencialidade, integridade ou disponibilidade. Os dados são classificados como confidenciais se o comprometimento desses dados resultar em um efeito adverso relevante e significativo nos interesses do Colégio, na incapacidade da agência afetada de conduzir seus negócios, na violação das expectativas de privacidade ou se for exigido por lei que seja mantido em sigilo.

Superusuário – seja funcionário que tenha painel de inscrição ou acesso privilegiado elevado; por exemplo, um administrador de segurança.

 Referências

  • Lei de Privacidade e Direitos Educacionais da Família (FERPA) (20 USC § 1232g; 34 CFR Parte 99)
  • Lei de Modernização de Serviços Financeiros (Lei Gramm-Leach-Bliley) (15 USC § 6801 e seguintes)
  • Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) (Lei Pública 104-191)

Revisar Periodicidade e Responsabilidade

 O CIO deve revisar este procedimento anualmente e, se necessário, recomendar revisões.

APÊNDICE "A"

Formulários de solicitação de acesso ao sistema:

Acesso de colegas

https://myhudson.hccc.edu/ellucian

Solicitação de criação de conta ou solicitação de desativação

https://myhudson.hccc.edu/its

Aprovado pelo Gabinete: julho de 2021
Política do Conselho Relacionada: ITS

 

Procedimento do Plano de Segurança da Informação

Introdução

O objetivo do desenvolvimento e implementação deste procedimento abrangente de plano de segurança da informação por escrito (“Plano”) é criar salvaguardas administrativas, técnicas e físicas eficazes para a proteção de “informações pessoais” de possíveis alunos, candidatos, alunos, funcionários, ex-alunos , e amigos do Hudson County Community College, e para cumprir nossas obrigações sob o regulamento de Nova Jersey 201 CMR 17.00. O Plano estabelece nossos procedimentos para avaliar nossos métodos eletrônicos e físicos de acesso, coleta, armazenamento, uso, transmissão e proteção de “informações pessoais” dos constituintes do Colégio.

Para os fins deste Plano, “informações pessoais” são definidas como o nome e sobrenome de uma pessoa, ou inicial do nome e sobrenome, em combinação com qualquer um ou mais dos seguintes elementos de dados relacionados a esse residente: (a) Número de segurança; (b) número da carteira de motorista ou número da carteira de identidade emitida pelo estado; ou (c) número da conta financeira ou número do cartão de crédito ou débito, com ou sem qualquer código de segurança exigido, código de acesso, número de identificação pessoal ou senha que permitiria o acesso à conta financeira de um residente onde Hudson County Community College é o guardião desses dados ; desde que, no entanto, “informações pessoais” não incluam informações obtidas legalmente de informações publicamente disponíveis, ou de registros do governo federal, estadual ou local legalmente disponibilizados ao público em geral.

Propósito

O objetivo deste Plano é:

    1. Garantir a segurança e confidencialidade das informações pessoais;
    2. Proteger contra quaisquer ameaças ou perigos potenciais à segurança ou integridade das informações pessoais; e,
    3. Proteja-se contra acesso não autorizado ou uso de informações pessoais de uma maneira que crie um risco substancial de roubo de identidade ou fraude.

Objetivo

Ao formular e implementar o Plano, a instituição deverá: (1) identificar riscos internos e externos razoavelmente previsíveis para a segurança, confidencialidade e integridade de quaisquer registros eletrônicos, em papel ou outros que contenham informações pessoais; (2) avaliar a probabilidade e o dano potencial dessas ameaças, levando em consideração a sensibilidade das informações pessoais; (3) avaliar a suficiência das políticas, práticas, procedimentos, sistemas de informação e outras salvaguardas existentes para controlar os riscos; (4) elaborar e implementar um plano que estabeleça salvaguardas para minimizar esses riscos, de acordo com os requisitos da 201 CMR 17.00; e (5) monitorar regularmente o Plano.

Coordenador de segurança de dados

A HCCC designou o Diretor de Informações (CIO) e o Vice-Presidente de Negócios e Finanças/CFO para implementar, supervisionar e manter o Plano. O CIO e o Vice-Presidente de Negócios e Finanças/CFO serão responsáveis ​​por:

    1. Implementação inicial do Plano;
    2. Supervisão do treinamento contínuo dos funcionários sobre os elementos e requisitos do Plano para todos os proprietários, gerentes, funcionários e contratados independentes que tenham acesso a informações pessoais;
    3. Acompanhamento das salvaguardas do Plano;
    4. Avaliar os provedores de serviços terceirizados que têm acesso e hospedar/transmitir/fazer backup/manter informações pessoais e exigir que esses provedores de serviços por contrato implementem e mantenham tais medidas de segurança apropriadas para proteger as informações pessoais;
    5. Revisar o escopo das medidas de segurança do Plano anualmente, ou sempre que houver uma mudança material nas práticas de negócios da HCCC que possa comprometer a segurança ou integridade dos registros que contenham informações pessoais; e,
    6. Revisar legislação e leis e atualizar políticas e procedimentos conforme necessário.

Riscos Internos

Para combater os riscos internos à segurança, confidencialidade e integridade de quaisquer registros eletrônicos, em papel ou outros que contenham informações pessoais, e para avaliar e melhorar, quando necessário, a eficácia das salvaguardas atuais para limitar esses riscos, as seguintes medidas são obrigatórias e com efeito imediato: 

Medidas Administrativas

      1. Uma cópia do Plano será distribuída ao Presidente, ao Gabinete do Presidente, ao pessoal dos Serviços de Tecnologia da Informação (ITS) e a outros funcionários designados que lidam com informações pessoais. Após o recebimento do Plano, cada indivíduo precisa reconhecer por escrito que recebeu uma cópia do Plano.
      2. Após o treinamento, todos os funcionários serão obrigados a assinar acordos de confidencialidade que descrevem o manuseio de informações pessoais. Os acordos de confidencialidade exigirão que os funcionários relatem qualquer uso suspeito ou não autorizado de “informações pessoais” ao CIO ou ao vice-presidente de recursos humanos.
      3. A quantidade de informações pessoais coletadas deve ser limitada ao que é razoavelmente necessário para atingir fins comerciais legítimos. O uso de informações pessoais é abordado por meio de auditorias em diversas áreas.
      4. Todas as medidas de segurança de dados devem ser revisadas pelo menos anualmente, ou sempre que houver uma mudança material na prática comercial da HCCC ou mudança na lei que possa razoavelmente implicar a segurança ou integridade dos registros que contêm informações pessoais. O CIO e o Vice-Presidente de Negócios e Finanças/CFO serão responsáveis ​​por esta revisão e deverão informar totalmente os chefes de departamento sobre os resultados dessa revisão e quaisquer recomendações para melhorar a segurança decorrentes dessa revisão.
      5. Sempre que houver um incidente que exija notificação sob o NJ Stat. § 56:8-163, lei de comunicação de violação de dados de informações pessoais de Nova Jersey, deve haver uma revisão imediata e obrigatória pós-incidente de eventos e ações tomadas, se houver, para determinar se quaisquer alterações nas práticas de segurança do HCCC são necessárias para melhorar a segurança das informações pessoais sob o Plano.
      6. Cada departamento deve desenvolver regras (tendo em mente as necessidades de negócios desse departamento) que assegurem restrições razoáveis ​​ao acesso físico de informações pessoais, incluindo um procedimento escrito que declare como o acesso físico ao registro é restrito. Cada departamento deve armazenar tais registros e dados em instalações trancadas, áreas de armazenamento seguras ou armários trancados.
      7. Exceto para contas de Administração do Sistema, o acesso a informações pessoais armazenadas eletronicamente deve ser limitado eletronicamente aos funcionários que tenham um ID de login exclusivo, com acesso apropriado. O acesso não será concedido a funcionários que o CIO determinar que não precisam de acesso a informações pessoais armazenadas eletronicamente.
      8. Quando um acordo de confidencialidade não estiver em vigor, o acesso de visitantes ou contratados a dados confidenciais, incluindo, entre outros, senhas, chaves de criptografia e especificações técnicas, quando necessário, deve ser acordado por escrito. O acesso será limitado ao mínimo necessário. Se o login remoto for necessário para o acesso, esse acesso também deverá ser aprovado pelo Departamento de ITS da HCCC.

Medidas físicas

      1. O acesso a registros contendo informações pessoais deve ser limitado àqueles que são razoavelmente obrigados a conhecer tais informações para cumprir o propósito comercial legítimo da HCCC. Para mitigar a divulgação desnecessária, informações confidenciais e pessoais serão editadas, registros em papel serão armazenados em instalações trancadas e controles de segurança de dados para registros eletrônicos serão implementados.
      2. Ao final da jornada de trabalho, todos os arquivos não eletrônicos e outros registros que contenham informações pessoais devem ser armazenados em salas, escritórios ou armários trancados.
      3. Os registros em papel contendo informações pessoais devem ser descartados de acordo com o NJ Stat. § 56:8-163, lei de comunicação de violação de dados de informações pessoais de Nova Jersey. Isso significa que os registros devem ser descartados usando um triturador de corte transversal ou outros métodos que tornem as informações ilegíveis.

Medidas Técnicas

      1. A HCCC não permite que os funcionários armazenem informações pessoais em mídia portátil. Isso inclui laptops, USB, CDs, etc. Quando funcionários que têm acesso a informações pessoais são demitidos, a HCCC deve encerrar seu acesso a recursos de rede e dispositivos físicos que contenham informações pessoais. Isso inclui encerramento ou entrega de contas de rede, contas de banco de dados, chaves, crachás, telefones e laptops ou desktops.
      2. Os funcionários são obrigados a alterar suas senhas rotineiramente para sistemas que contenham informações pessoais.
      3. O acesso a informações pessoais deve ser restrito a usuários ativos e apenas a contas de usuários ativos.
      4. Sempre que tecnicamente possível, todos os sistemas mantidos pelo HCCC que armazenam informações pessoais empregarão recursos de bloqueio automático que bloqueiam o acesso após várias tentativas de login malsucedidas.
      5. Registros eletrônicos (incluindo registros armazenados em discos rígidos e outras mídias eletrônicas) contendo informações pessoais devem ser descartados de acordo com a NJ Stat. § 56:8-163, lei de comunicação de violação de dados de informações pessoais de Nova Jersey. Isso exige que as informações sejam destruídas ou apagadas para que as informações pessoais não possam ser lidas ou reconstruídas.

Riscos Externos

      1. Para combater os riscos externos à segurança, confidencialidade e integridade de quaisquer registros eletrônicos, em papel ou outros que contenham informações pessoais, e para avaliar ou melhorar, quando necessário, a eficácia das atuais salvaguardas para limitar esses riscos, as seguintes medidas são obrigatórias e com efeito imediato:

a.) Há proteção de firewall razoavelmente atualizada e patches de segurança do sistema operacional razoavelmente projetados para manter a integridade das informações pessoais instaladas em sistemas com informações pessoais.

b.) Existem versões razoavelmente atualizadas do software do agente de segurança do sistema que incluem proteção contra malware e patches e definições de vírus razoavelmente atualizados instalados em sistemas que processam informações pessoais.

c.)Quando armazenados em compartilhamentos de rede do HCCC, os arquivos contendo informações pessoais devem ser criptografados. A HCCC não permite que informações pessoais sejam armazenadas em laptops, PCs, dispositivos USB ou outras mídias portáteis. A HCCC implantará software de criptografia para cumprir esse objetivo.

d.) Quaisquer informações pessoais transmitidas eletronicamente a fornecedores terceirizados devem ser enviadas por meio do serviço criptografado do fornecedor ou pelo serviço criptografado designado da HCCC para transmissão segura. 

e.) Todos os novos prestadores de serviços que armazenam informações pessoais do HCCC em formato eletrônico precisarão demonstrar adequadamente as medidas de segurança por meio do EDUCAUSE HECVAT ou instrumento similar. Esses fornecedores também devem ser aprovados pelo Vice-Presidente de Finanças e Negócios/CFO da HCCC.

f.) O pessoal de Recursos Humanos e Serviços de Tecnologia da Informação deve seguir os procedimentos descritos no Procedimento de Uso Aceitável do HCCC para Sistemas de Tecnologia da Informação relacionados à criação, transferência ou encerramento de contas, juntamente com políticas para armazenamento de senha e segurança baseada em função.

g.) Todas as informações pessoais serão descartadas seguindo o HCCC Policies and Procedures.

h.) Conforme os recursos e orçamento permitirem, o HCCC implementará tecnologia que permitirá ao Colégio monitorar bancos de dados para uso ou acesso não autorizado de informações pessoais e empregar protocolos de autenticação seguros e medidas de controle de acesso de acordo com os procedimentos do HCCC.

 

Aprovado pelo Gabinete: julho de 2021
Política Relacionada do Conselho: Serviços de Tecnologia da Informação

 

Procedimento do Plano de Resposta a Incidentes de Segurança da Informação

Propósito

Este plano orienta como responder a incidentes de segurança da informação no Hudson County Community College (HCCC). O plano identifica as funções e responsabilidades da equipe de resposta a incidentes HCCC e as etapas a serem tomadas em caso de incidente. O Plano de Resposta a Incidentes de Segurança da Informação (ISIRP) visa minimizar o impacto de um incidente, preservar evidências para fins de investigação e restaurar as operações normais o mais rápido possível.

Definições

Incidente: Um evento que resulta em perda de confidencialidade, integridade ou disponibilidade de informações ou sistemas de informação.

Resposta: as ações que são tomadas para mitigar o impacto de um incidente e restaurar os sistemas e dados afetados ao seu estado normal.

Equipe de Resposta a Incidentes (IRT): A Equipe de Resposta a Incidentes (IRT) é responsável pela implementação do ISIRP. O IRT é composto por representantes de departamentos relevantes, incluindo, entre outros, Serviços de Tecnologia da Informação (ITS), Finanças (Gerenciamento de Risco), Assessoria Jurídica, RH e Comunicações. O IRT é responsável por coordenar a resposta a um incidente e garantir que todos os recursos necessários estejam disponíveis.

Papéis e Responsabilidades

Compete ao IRT:

  • Responder a incidentes e mitigar o seu impacto.
  • Investigar incidentes e determinar sua causa.
  • Restaurar sistemas e dados que foram afetados por um incidente.
  • Comunicação com as partes interessadas sobre incidentes.
  • Registrar e relatar incidentes.
Relatórios de incidentes

Todos os incidentes de segurança da informação suspeitos ou confirmados devem ser relatados ao ITS imediatamente. O ITS avaliará o incidente e determinará se é um incidente de segurança. O ITS escalará o incidente para o IRT se for um incidente de segurança.

Etapas de resposta
Categorização do Incidente:

O IRT categorizará o incidente com base em sua gravidade e impacto. As categorias são as seguintes:

Categoria 1: Incidente menor - Sem impacto significativo na faculdade ou em suas operações.
Categoria 2: Incidente moderado - Impacto limitado na faculdade ou em suas operações.
Categoria 3: Incidente Grave - Impacto significativo na faculdade ou em suas operações.
Categoria 4: Incidente Crítico - Impacto severo na faculdade ou em suas operações.

Resposta a Incidentes por Categoria:

O IRT seguirá as etapas abaixo para responder a um incidente:
Categoria 1: Nenhuma resposta formal é necessária.
Categoria 2: O IRT investigará o incidente e tomará as medidas cabíveis para conter e mitigar o incidente.
Categoria 3: O IRT coordenará com departamentos relevantes e recursos externos, como autoridades policiais e especialistas em segurança cibernética, para investigar o incidente e tomar as medidas apropriadas para conter e mitigar o incidente.
Categoria 4: O IRT implementará o Plano de Gestão de Emergências do HCCC, que define os passos a seguir durante uma crise significativa.

Etapas do ISIRP para o IRT seguir

A IRT seguirá os seguintes passos em caso de incidente:

  1. Responder ao relatório do incidente.
  2. Mitigar o impacto do incidente.
  3. Categorize os efeitos na escala acima.
  4. Investigue o incidente.
  5. Determinar a causa do incidente.
  6. Restaurar sistemas e dados que foram afetados pelo incidente.
  7. Comunique-se com as partes interessadas sobre o incidente.
  8. Registre e relate o incidente.
Ferramentas e Recursos

O IRT usará as seguintes ferramentas e recursos para responder a incidentes:

  • Software de segurança: Sophos, Crowdstrike
  • Sistemas de backup e recuperação de dados: Cohesity, Arcserve, OneDrive
  • Canais de comunicação: E-mail, Texto, Redes Sociais
  • Especialistas terceirizados em segurança cibernética: NJ Edge, CyberSecOp, consultores de seguros de segurança cibernética
Teste e treinamento

O IRT testará e treinará regularmente sobre os procedimentos e ferramentas existentes.

Plano de comunicação

A IRT comunicará com as seguintes partes interessadas em caso de incidente:

  • Estudantes
  • Faculdade
  • Staff
  • Mídia
  • A aplicação da lei
  • Agências reguladoras
Métricas e relatórios

O IRT documentará todos os aspectos do incidente, incluindo, entre outros, o tipo de incidente, gravidade, impacto, resposta e resolução. A documentação será armazenada de forma segura e acessível apenas ao pessoal autorizado.

O IRT coletará e analisará as seguintes métricas relacionadas a incidentes:

  • Número de incidentes
  • Custo de incidentes
  • Tempo para se recuperar de incidentes

O vice-presidente associado de tecnologia e CIO apresentará relatórios sobre essas métricas ao conselho de administração da HCCC.

Rever e atualizar

O AVP CIO revisará o ISIRP anualmente e o atualizará para refletir o cenário de segurança em constante mudança e as crescentes necessidades do HCCC.

Aprovado pelo Gabinete: maio de 2023
Política Relacionada do Conselho: Serviços de Tecnologia da Informação

 

Procedimento de responsabilidade de tecnologia portátil

  1. INTRODUÇÃO
    Este procedimento visa estabelecer diretrizes claras para prestação de contas e responsabilidade em relação à perda ou dano de dispositivos de tecnologia portáteis fornecidos pelo Hudson County Community College (HCCC) a funcionários e estudantes. Este procedimento está alinhado com a Política de Serviços de Tecnologia da Informação do HCCC aprovada pelo Conselho de Curadores do HCCC.
  2. APLICABILIDADE
    Este procedimento se aplica a todos os indivíduos, incluindo funcionários e estudantes, para os quais a HCCC emitiu dispositivos de tecnologia portátil.
  3. PRESTAÇÃO DE CONTAS

    1. Responsabilidade Individual
      1. Todos os indivíduos que recebem dispositivos de tecnologia portátil são pessoalmente responsáveis ​​pelo cuidado adequado e pela segurança do equipamento.
      2. Os usuários devem relatar imediatamente qualquer perda ou roubo do dispositivo de tecnologia portátil ao Escritório de Segurança e Proteção Pública. Qualquer dano ao dispositivo deve ser comunicado imediatamente ao Escritório de Serviços de Tecnologia da Informação (ITS).
    2. Procedimento de Relatório
      1. Indivíduos que relatam um dispositivo perdido ou danificado devem fornecer informações detalhadas sobre o incidente, incluindo data, hora e local.
      2. Um relatório de incidente por escrito deve ser enviado ao Escritório de Segurança Pública e Proteção dentro de 24 horas após a ocorrência de perda ou roubo.
    3. Investigação
      1. O Escritório de Segurança Pública investigará as circunstâncias que envolveram a perda do dispositivo de tecnologia portátil.
      2. Os indivíduos envolvidos poderão ser obrigados a cooperar plenamente com a investigação, fornecendo quaisquer informações relevantes.
    4. Medidas de responsabilidade
      1. Se a perda ou dano for devido a negligência ou ações intencionais, o indivíduo poderá ser responsabilizado financeiramente pelo custo de reparo ou substituição do equipamento.
      2. Os indivíduos serão notificados por escrito do resultado da investigação e de quaisquer obrigações financeiras.
    5. Responsabilidade financeira
      1. Os indivíduos considerados responsáveis ​​pela perda ou dano serão obrigados a reembolsar a HCCC pelo custo de reparo ou substituição do dispositivo de tecnologia portátil. O custo de reparo ou substituição do equipamento dos funcionários pode vir do orçamento do escritório/escola.
      2. Os acordos de pagamento podem ser feitos com o Escritório de Contabilidade, e o não cumprimento das obrigações financeiras pode resultar em consequências adicionais, incluindo retenção de registros acadêmicos ou outras ações disciplinares.
  4. EXCEÇÕES
    Casos envolvendo perdas ou danos devido a roubo ou outras atividades criminosas serão tratados de acordo com os procedimentos locais de aplicação da lei.
  5. COMUNICAÇÃO
    Esta política será comunicada a todos os indivíduos que recebam dispositivos tecnológicos portáteis através da distribuição de materiais escritos, inclusão em manuais de funcionários/alunos e canais de comunicação eletrônica.

Aprovado pelo Gabinete em março de 2024
Política Associada: ITS

 

Procedimento do plano de gerenciamento de riscos do fornecedor

Introdução

Tseu Plano de gerenciamento de riscos de fornecedores visa estabelecer uma estrutura para gerenciar e mitigar com eficácia os riscos associados a fornecedores terceirizados no Hudson County Community College. O procedimento descreve os processos e procedimentos para avaliação, seleção e monitoramento contínuo do fornecedor para garantir a segurança, conformidade e confiabilidade do relacionamento com o fornecedor. O procedimento se concentra principalmente na coleta e revisão de informações sobre a adequação e segurança do fornecedor e na avaliação dos termos e condições e linguagem do contrato durante a assinatura e renovação inicial do contrato.

  1. Processo de Seleção de Fornecedores
    1. Identificação do fornecedor: identifique fornecedores em potencial com base nos requisitos e necessidades da faculdade.
    2. Avaliação inicial do fornecedor: Avalie os fornecedores em potencial usando os seguintes critérios:
      1. Qualificações e conhecimentos
      2. Reputação e referências
      3. Estabilidade financeira
      4. Padrões de segurança e conformidade
      5. Acordos de Nível de Serviço
    3. Solicitação de Proposta (RFP): Prepare e emita uma RFP, se necessário, para os fornecedores pré-selecionados descrevendo as expectativas, requisitos e critérios de avaliação da faculdade.
    4. Avaliação do fornecedor: avalie as propostas do fornecedor com base em critérios predefinidos e conduza as entrevistas ou apresentações necessárias.
    5. Seleção do fornecedor: selecione o(s) fornecedor(es) com base nos resultados da avaliação, considerando fatores como custo, recursos e perfil de risco.
  1. Coleta e Revisão do Conjunto de Ferramentas de Avaliação de Fornecedores Comunitários de Ensino Superior (HECVAT)
    1. Requisito do Formulário HECVAT: Todos os fornecedores em potencial devem enviar seus HECVAT preenchidos; Os resultados da auditoria SOC 2 podem ser substituídos por um HECVAT.
    2. Revisão inicial: revise o HECVAT para avaliar as práticas de segurança dos fornecedores, as medidas de proteção de dados e a conformidade com os regulamentos relevantes.
    3. Avaliação de risco: realize uma avaliação de risco com base nas informações fornecidas no HECVAT para identificar riscos potenciais associados ao relacionamento com o fornecedor.
    4. Ações de Mitigação: Desenvolver ações de mitigação para lidar com os riscos identificados, como solicitação de informações adicionais, realização de auditorias de segurança ou estabelecimento de obrigações contratuais de segurança e privacidade.
  2. Revisão dos Termos e Condições
    1. Revisão do contrato: revise os termos e condições do contrato do fornecedor proposto, concentrando-se nas áreas relacionadas à privacidade de dados, segurança, conformidade e propriedade intelectual.
    2. Revisão legal: Contrate um advogado, se necessário, para garantir que a linguagem contratual proteja adequadamente os interesses da faculdade e se alinhe com as leis e regulamentos aplicáveis.
    3. Negociação e alteração: colabore com o fornecedor para negociar e alterar a linguagem do contrato para abordar quaisquer preocupações ou lacunas identificadas.
    4. Aprovação e Assinatura: Obtenha as aprovações necessárias para o contrato e assine o acordo assim que todas as partes estiverem satisfeitas com os termos e condições.
  3. Gestão Contínua de Fornecedores
    1. Monitoramento regular: monitore continuamente o desempenho do fornecedor, as práticas de segurança e a conformidade durante toda a duração do contrato.
    2. Revisão de renovação de contrato: As renovações de contrato dependem dos Estatutos da Lei de Contratos do Community College. Realize uma revisão completa dos relacionamentos com fornecedores, incluindo a reavaliação do novo HECVAT, termos e condições e linguagem do contrato, durante o processo de renovação do contrato.
    3. Avaliação de Desempenho do Fornecedor: Avalie periodicamente o desempenho do fornecedor em relação aos acordos e expectativas de nível de serviço estabelecidos.
    4. Resposta a Incidentes: Siga o procedimento de Resposta a Incidentes para lidar imediatamente com quaisquer violações de segurança ou incidentes de dados envolvendo fornecedores.
    5. Desativação de fornecedores: Desenvolva um processo para garantir a desativação adequada de fornecedores, incluindo o retorno de informações confidenciais e o encerramento do acesso ao sistema.
  4. Documentação e relatórios
    1. Documentação
      1. Repositório de Contratos: Todos os contratos de fornecedores, incluindo seus termos e condições, emendas e documentos relacionados, devem ser armazenados no sistema de gerenciamento de contratos da faculdade. Certifique-se de que o repositório de contratos esteja organizado, facilmente acessível e atualizado regularmente.
      2. HECVAT concluído e documentação de segurança: mantenha um registro de todos os HECVATs e auditorias de segurança recebidas de fornecedores, incluindo qualquer documentação de suporte ou esclarecimentos fornecidos pelos fornecedores.
      3. Avaliações de risco: documente os resultados das avaliações de risco realizadas com base no HECVAT e quaisquer avaliações ou auditorias adicionais realizadas.
      4. Relatórios de incidentes: mantenha um registro de quaisquer incidentes ou violações de segurança envolvendo fornecedores, juntamente com as ações de resposta a incidentes correspondentes tomadas.
    2. Relatórios
      1. Relatório Executivo: Forneça relatórios regulares à gerência executiva, incluindo o Chief Information Officer (CIO) e Gabinete, resumindo o cenário de risco do fornecedor, esforços de mitigação e incidentes ou preocupações notáveis.
      2. Relatório de renovação do contrato: prepare um relatório abrangente destacando as descobertas da revisão da renovação do contrato, incluindo quaisquer alterações ou aprimoramentos recomendados nas relações com fornecedores.
      3. Relatórios de conformidade: gere relatórios periódicos sobre a conformidade dos fornecedores com os regulamentos aplicáveis, obrigações contratuais e padrões de segurança acordados.
    3. Retenção de registro
      1. Período de Retenção: A documentação da Avaliação de Risco do Fornecedor seguirá os cronogramas de retenção de registros para a documentação relacionada ao fornecedor, garantindo a conformidade com os requisitos legais, regulamentares e internos.
      2. Privacidade e proteção de dados: obedeça aos regulamentos aplicáveis ​​de privacidade e proteção de dados ao armazenar e manusear documentos relacionados ao fornecedor, garantindo que as proteções adequadas estejam em vigor.

Aprovado pelo Gabinete: maio de 2023
Política Relacionada do Conselho: Serviços de Tecnologia da Informação

Voltar para Policies and Procedures