Procedimento do Plano de Segurança da Informação

 

Introdução

O objetivo do desenvolvimento e implementação deste procedimento abrangente de plano de segurança da informação por escrito (“Plano”) é criar salvaguardas administrativas, técnicas e físicas eficazes para a proteção de “informações pessoais” de possíveis alunos, candidatos, alunos, funcionários, ex-alunos , e amigos do Hudson County Community College, e para cumprir nossas obrigações sob o regulamento de Nova Jersey 201 CMR 17.00. O Plano estabelece nossos procedimentos para avaliar nossos métodos eletrônicos e físicos de acesso, coleta, armazenamento, uso, transmissão e proteção de “informações pessoais” dos constituintes do Colégio.

Para os fins deste Plano, “informações pessoais” são definidas como o nome e sobrenome de uma pessoa, ou inicial do nome e sobrenome, em combinação com qualquer um ou mais dos seguintes elementos de dados relacionados a esse residente: (a) Número de segurança; (b) número da carteira de motorista ou número da carteira de identidade emitida pelo estado; ou (c) número da conta financeira ou número do cartão de crédito ou débito, com ou sem qualquer código de segurança exigido, código de acesso, número de identificação pessoal ou senha que permitiria o acesso à conta financeira de um residente onde Hudson County Community College é o guardião desses dados ; desde que, no entanto, “informações pessoais” não incluam informações obtidas legalmente de informações publicamente disponíveis, ou de registros do governo federal, estadual ou local legalmente disponibilizados ao público em geral.

Propósito

O objetivo deste Plano é:

    1. Garantir a segurança e confidencialidade das informações pessoais;
    2. Proteger contra quaisquer ameaças ou perigos potenciais à segurança ou integridade das informações pessoais; e,
    3. Proteja-se contra acesso não autorizado ou uso de informações pessoais de uma maneira que crie um risco substancial de roubo de identidade ou fraude.

Objetivo

Ao formular e implementar o Plano, a instituição deverá: (1) identificar riscos internos e externos razoavelmente previsíveis para a segurança, confidencialidade e integridade de quaisquer registros eletrônicos, em papel ou outros que contenham informações pessoais; (2) avaliar a probabilidade e o dano potencial dessas ameaças, levando em consideração a sensibilidade das informações pessoais; (3) avaliar a suficiência das políticas, práticas, procedimentos, sistemas de informação e outras salvaguardas existentes para controlar os riscos; (4) elaborar e implementar um plano que estabeleça salvaguardas para minimizar esses riscos, de acordo com os requisitos da 201 CMR 17.00; e (5) monitorar regularmente o Plano.

Coordenador de segurança de dados

A HCCC designou o Diretor de Informações (CIO) e o Vice-Presidente de Negócios e Finanças/CFO para implementar, supervisionar e manter o Plano. O CIO e o Vice-Presidente de Negócios e Finanças/CFO serão responsáveis ​​por:

    1. Implementação inicial do Plano;
    2. Supervisão do treinamento contínuo dos funcionários sobre os elementos e requisitos do Plano para todos os proprietários, gerentes, funcionários e contratados independentes que tenham acesso a informações pessoais;
    3. Acompanhamento das salvaguardas do Plano;
    4. Avaliar os provedores de serviços terceirizados que têm acesso e hospedar/transmitir/fazer backup/manter informações pessoais e exigir que esses provedores de serviços por contrato implementem e mantenham tais medidas de segurança apropriadas para proteger as informações pessoais;
    5. Revisar o escopo das medidas de segurança do Plano anualmente, ou sempre que houver uma mudança material nas práticas de negócios da HCCC que possa comprometer a segurança ou integridade dos registros que contenham informações pessoais; e,
    6. Revisar legislação e leis e atualizar políticas e procedimentos conforme necessário.

Riscos Internos

Para combater os riscos internos à segurança, confidencialidade e integridade de quaisquer registros eletrônicos, em papel ou outros que contenham informações pessoais, e para avaliar e melhorar, quando necessário, a eficácia das salvaguardas atuais para limitar esses riscos, as seguintes medidas são obrigatórias e com efeito imediato: 

Medidas Administrativas

      1. Uma cópia do Plano será distribuída ao Presidente, ao Gabinete do Presidente, ao pessoal dos Serviços de Tecnologia da Informação (ITS) e a outros funcionários designados que lidam com informações pessoais. Após o recebimento do Plano, cada indivíduo precisa reconhecer por escrito que recebeu uma cópia do Plano.
      2. Após o treinamento, todos os funcionários serão obrigados a assinar acordos de confidencialidade que descrevem o manuseio de informações pessoais. Os acordos de confidencialidade exigirão que os funcionários relatem qualquer uso suspeito ou não autorizado de “informações pessoais” ao CIO ou ao vice-presidente de recursos humanos.
      3. A quantidade de informações pessoais coletadas deve ser limitada ao que é razoavelmente necessário para atingir fins comerciais legítimos. O uso de informações pessoais é abordado por meio de auditorias em diversas áreas.
      4. Todas as medidas de segurança de dados devem ser revisadas pelo menos anualmente, ou sempre que houver uma mudança material na prática comercial da HCCC ou mudança na lei que possa razoavelmente implicar a segurança ou integridade dos registros que contêm informações pessoais. O CIO e o Vice-Presidente de Negócios e Finanças/CFO serão responsáveis ​​por esta revisão e deverão informar totalmente os chefes de departamento sobre os resultados dessa revisão e quaisquer recomendações para melhorar a segurança decorrentes dessa revisão.
      5. Sempre que houver um incidente que exija notificação sob o NJ Stat. § 56:8-163, lei de comunicação de violação de dados de informações pessoais de Nova Jersey, deve haver uma revisão imediata e obrigatória pós-incidente de eventos e ações tomadas, se houver, para determinar se quaisquer alterações nas práticas de segurança do HCCC são necessárias para melhorar a segurança das informações pessoais sob o Plano.
      6. Cada departamento deve desenvolver regras (tendo em mente as necessidades de negócios desse departamento) que assegurem restrições razoáveis ​​ao acesso físico de informações pessoais, incluindo um procedimento escrito que declare como o acesso físico ao registro é restrito. Cada departamento deve armazenar tais registros e dados em instalações trancadas, áreas de armazenamento seguras ou armários trancados.
      7. Exceto para contas de Administração do Sistema, o acesso a informações pessoais armazenadas eletronicamente deve ser limitado eletronicamente aos funcionários que tenham um ID de login exclusivo, com acesso apropriado. O acesso não será concedido a funcionários que o CIO determinar que não precisam de acesso a informações pessoais armazenadas eletronicamente.
      8. Quando um acordo de confidencialidade não estiver em vigor, o acesso de visitantes ou contratados a dados confidenciais, incluindo, entre outros, senhas, chaves de criptografia e especificações técnicas, quando necessário, deve ser acordado por escrito. O acesso será limitado ao mínimo necessário. Se o login remoto for necessário para o acesso, esse acesso também deverá ser aprovado pelo Departamento de ITS da HCCC.

Medidas físicas

      1. O acesso a registros contendo informações pessoais deve ser limitado àqueles que são razoavelmente obrigados a conhecer tais informações para cumprir o propósito comercial legítimo da HCCC. Para mitigar a divulgação desnecessária, informações confidenciais e pessoais serão editadas, registros em papel serão armazenados em instalações trancadas e controles de segurança de dados para registros eletrônicos serão implementados.
      2. Ao final da jornada de trabalho, todos os arquivos não eletrônicos e outros registros que contenham informações pessoais devem ser armazenados em salas, escritórios ou armários trancados.
      3. Os registros em papel contendo informações pessoais devem ser descartados de acordo com o NJ Stat. § 56:8-163, lei de comunicação de violação de dados de informações pessoais de Nova Jersey. Isso significa que os registros devem ser descartados usando um triturador de corte transversal ou outros métodos que tornem as informações ilegíveis.

Medidas Técnicas

      1. A HCCC não permite que os funcionários armazenem informações pessoais em mídia portátil. Isso inclui laptops, USB, CDs, etc. Quando funcionários que têm acesso a informações pessoais são demitidos, a HCCC deve encerrar seu acesso a recursos de rede e dispositivos físicos que contenham informações pessoais. Isso inclui encerramento ou entrega de contas de rede, contas de banco de dados, chaves, crachás, telefones e laptops ou desktops.
      2. Os funcionários são obrigados a alterar suas senhas rotineiramente para sistemas que contenham informações pessoais.
      3. O acesso a informações pessoais deve ser restrito a usuários ativos e apenas a contas de usuários ativos.
      4. Sempre que tecnicamente possível, todos os sistemas mantidos pelo HCCC que armazenam informações pessoais empregarão recursos de bloqueio automático que bloqueiam o acesso após várias tentativas de login malsucedidas.
      5. Registros eletrônicos (incluindo registros armazenados em discos rígidos e outras mídias eletrônicas) contendo informações pessoais devem ser descartados de acordo com a NJ Stat. § 56:8-163, lei de comunicação de violação de dados de informações pessoais de Nova Jersey. Isso exige que as informações sejam destruídas ou apagadas para que as informações pessoais não possam ser lidas ou reconstruídas.

Riscos Externos

      1. Para combater os riscos externos à segurança, confidencialidade e integridade de quaisquer registros eletrônicos, em papel ou outros que contenham informações pessoais, e para avaliar ou melhorar, quando necessário, a eficácia das atuais salvaguardas para limitar esses riscos, as seguintes medidas são obrigatórias e com efeito imediato:

a.) Há proteção de firewall razoavelmente atualizada e patches de segurança do sistema operacional razoavelmente projetados para manter a integridade das informações pessoais instaladas em sistemas com informações pessoais.

b.) Existem versões razoavelmente atualizadas do software do agente de segurança do sistema que incluem proteção contra malware e patches e definições de vírus razoavelmente atualizados instalados em sistemas que processam informações pessoais.

c.)Quando armazenados em compartilhamentos de rede do HCCC, os arquivos contendo informações pessoais devem ser criptografados. A HCCC não permite que informações pessoais sejam armazenadas em laptops, PCs, dispositivos USB ou outras mídias portáteis. A HCCC implantará software de criptografia para cumprir esse objetivo.

d.) Quaisquer informações pessoais transmitidas eletronicamente a fornecedores terceirizados devem ser enviadas por meio do serviço criptografado do fornecedor ou pelo serviço criptografado designado da HCCC para transmissão segura. 

e.) Todos os novos prestadores de serviços que armazenam informações pessoais do HCCC em formato eletrônico precisarão demonstrar adequadamente as medidas de segurança por meio do EDUCAUSE HECVAT ou instrumento similar. Esses fornecedores também devem ser aprovados pelo Vice-Presidente de Finanças e Negócios/CFO da HCCC.

f.) O pessoal de Recursos Humanos e Serviços de Tecnologia da Informação deve seguir os procedimentos descritos no Procedimento de Uso Aceitável do HCCC para Sistemas de Tecnologia da Informação relacionados à criação, transferência ou encerramento de contas, juntamente com políticas para armazenamento de senha e segurança baseada em função.

g.) Todas as informações pessoais serão descartadas seguindo o HCCC Policies and Procedures.

h.) Conforme os recursos e orçamento permitirem, o HCCC implementará tecnologia que permitirá ao Colégio monitorar bancos de dados para uso ou acesso não autorizado de informações pessoais e empregar protocolos de autenticação seguros e medidas de controle de acesso de acordo com os procedimentos do HCCC.

Aprovado pelo Gabinete: julho de 2021
Política do Conselho Relacionada: ITS

Voltar para Policies and Procedures