Política de serveis de tecnologia de la informació

 

PROPÒSIT

Aquesta política proporciona les expectatives i les directrius del Col·legi comunitari del comtat d'Hudson ("College") a tots els que utilitzen i gestionen els serveis i recursos de tecnologia de la informació del Col·legi ("Recursos ITS").

El Col·legi ofereix recursos ITS per avançar en els objectius educatius, de serveis, empresarials i d'èxit dels estudiants del Col·legi. Qualsevol accés o ús dels Recursos ITS del Col·legi que interfereixi, interrompi o entre en conflicte amb aquestes finalitats es considerarà una violació d'aquesta política. Estaran subjectes a conseqüències, inclosa la revocació de l'accés als ITS.

POLÍTICA

Aquesta política s'aplica a tots els membres de la comunitat del Col·legi, inclosos professors, estudiants, administradors, personal, antics alumnes, convidats autoritzats i contractistes independents que utilitzen, accedeixen o utilitzen d'una altra manera, de manera local o remota, els Recursos ITS del Col·legi, ja siguin controlats individualment, compartit, autònom o en xarxa.

El Consell delega al President la responsabilitat d'elaborar procediments i directrius per a l'aplicació d'aquesta política. L'Oficina de Serveis de Tecnologia de la Informació i Finances serà l'encarregada d'implementar la política.

Aprovat: juny de 2021
Aprovat per: Patronat
Categoria: Serveis de Tecnologies de la Informació
Revisió prevista: juny de 2024
Oficina(s) responsable(s): Oficina de Serveis de Tecnologia de la Informació i Finances

 

Procediments

Ús acceptable per al procediment de sistemes de tecnologia de la informació

introducció

Aquest procediment té com a objectiu garantir que els Sistemes de Tecnologia de la Informació (ITS) del Col·legi s'utilitzen per promoure la missió del Col·legi. Aquest procediment s'ajusta a la Política de serveis de tecnologia de la informació d'HCCC aprovada pel Patronat de l'HCCC.

Aplicabilitat

Aquest procediment s'aplica a tots els usuaris individuals que accedeixen i utilitzen recursos informàtics, de xarxes i d'informació a través de qualsevol instal·lació del Col·legi. Aquests usuaris inclouen tot el personal, professorat, administradors i altres persones contractades o retingudes per dur a terme el treball de la Universitat d'Hudson County Community College.

Aquest procediment abasta tots els sistemes de tecnologia de la informació del Col·legi, inclosos els recursos informàtics, les xarxes i altres recursos de tecnologia de la informació propietat o gestionats per el Col·legi, adquirits o contractats per aquest. Aquests recursos inclouen els sistemes informàtics i de xarxes del Col·legi (inclosos els connectats a la infraestructura de telecomunicacions del Col·legi, les xarxes troncals de tot el Col·legi, les xarxes d'àrea local i Internet), llocs d'accés públic, sistemes informàtics compartits, ordinadors de sobretaula, dispositius mòbils, etc. maquinari informàtic, programari, bases de dades emmagatzemades o accessibles a través de la xarxa, instal·lacions ITS/aplicacions empresarials i sistemes i serveis de comunicacions.

Responsabilitat

El director d'informació (CIO) i els directors/gestors d'aplicacions d'ITS/empresa han d'implementar aquest procediment. Els informes dels usuaris sobre sospita d'abús i altres queixes s'han de dirigir al CIO. El CIO informarà de l'incident al vicepresident de Negocis i Finances/CFO. Els detalls del procediment es detallen a continuació a "Incompliment i sancions".

Privacitat

El Col·legi dóna un gran valor a la privadesa i reconeix la seva importància crítica en un entorn acadèmic. En circumstàncies limitades, com ara problemes tècnics o fallades, sol·licituds d'aplicació de la llei o regulacions governamentals, el Col·legi pot determinar que altres interessos superen el valor de l'expectativa de privadesa de l'usuari. Només llavors el Col·legi accedirà als sistemes informàtics rellevants sense el consentiment de l'usuari. El Col·legi es compromet a protegir la privadesa dels usuaris sempre que això no comprometi els recursos institucionals. A continuació s'expliquen les circumstàncies en què el Col·legi pot necessitar accedir. S'han establert garanties de procediment per garantir l'accés només quan sigui necessari.

Condicions – D'acord amb la legislació estatal i federal, el Col·legi podrà accedir a tots els aspectes dels Sistemes Informàtics, sense el consentiment de l'usuari, en les circumstàncies següents:

      1. Quan sigui necessari per identificar o diagnosticar sistemes o vulnerabilitats i problemes de seguretat, o d'una altra manera preservar la integritat dels sistemes informàtics del Col·legi;
      2. Quan ho requereixin la llei federal, estatal o local o les normes administratives; 
      3. Quan hi ha motius raonables per creure que s'ha produït una infracció de la llei o una infracció important de la política o el procediment de la Universitat, i l'accés i la inspecció o el seguiment poden produir proves relacionades amb la mala conducta;
      4. Quan aquest accés als sistemes d'aplicacions de TI/empresa sigui necessari per dur a terme les funcions empresarials essencials del Col·legi; i,
      5. Quan sigui necessari per preservar la salut i la seguretat pública.

D'acord amb la Llei de registres públics oberts de Nova Jersey, el Col·legi es reserva el dret d'accedir i divulgar dades. Aquesta divulgació pot incloure missatges, dades, fitxers i còpies de seguretat o arxius de correu electrònic. La divulgació a les autoritats policials i a altres s'ha de fer d'acord amb la llei, per respondre a processos legals i per complir les seves obligacions amb tercers. Fins i tot el correu electrònic suprimit està subjecte a descobriment legal durant els litigis mitjançant arxius de missatges, cintes de còpia de seguretat i missatges sense supressió.

procés – El Col·legi accedirà a les dades sense el consentiment de l'usuari només amb l'aprovació del CIO i del Vicerectorat d'Empresa i Finances/CFO. Aquest procés només s'evitarà quan l'accés a dades d'emergència sigui necessari per preservar la integritat de les instal·lacions i preservar la salut i la seguretat públiques. El Col·legi, a través del CIO, registrarà totes les instàncies d'accés sense consentiment. Un usuari rebrà una notificació de l'accés de la Universitat als sistemes informàtics pertinents sense consentiment. Segons les circumstàncies, aquesta notificació es produirà abans, durant o després de l'accés a criteri del Col·legi.

Principis generals

  1. L'accés a les tecnologies de la informació és vital per a la missió del Col·legi de proporcionar als seus estudiants els serveis educatius de la més alta qualitat.
  2. El Col·legi és propietari dels seus sistemes informàtics, de xarxes i altres sistemes de comunicacions.
  3. El Col·legi també té diversos drets relacionats amb la llicència sobre el programari i la informació que resideix o desenvolupa en aquests ordinadors i xarxes. El Col·legi té la responsabilitat de la seguretat, integritat, manteniment i confidencialitat dels seus sistemes de comunicació.
  4. Els sistemes informàtics del Col·legi existeixen per donar suport al personal, el professorat, els administradors, els consultors i els estudiants mentre duen a terme la missió del Col·legi. Amb aquests objectius, el Col·legi fomenta i promou l'ús d'aquests recursos per part de la comunitat del Col·legi per a les finalitats previstes. L'accés i l'ús d'aquests recursos fora de la missió del Col·legi està subjecte a regulació i restricció per garantir que no interfereixin amb el treball legítim. Es prohibeix l'accés i l'ús de recursos i serveis que interfereixin amb la missió i els objectius del Col·legi.
  5. Quan la demanda de recursos de tecnologia de la informació supera la capacitat disponible, ITS estableix prioritats per a l'assignació dels recursos. ITS dóna una major prioritat a les activitats essencials per a la missió del Col·legi. En conjunt amb el director d'informació, els vicepresidents recomanaran aquestes prioritats al president.
  6. El Col·legi té l'autoritat per controlar o denegar l'accés a qualsevol persona que incompleixi aquest procediment. Amenaçar els drets d'altres usuaris, la disponibilitat i integritat dels sistemes i la informació és una vulneració d'aquest procediment. Les conseqüències de la violació del procediment inclouen la desactivació de comptes, codis d'accés o autoritzacions de seguretat, aturar processos, suprimir fitxers afectats i desactivar l'accés als recursos de tecnologia de la informació.

Drets dels Usuaris

  1. Privadesa i confidencialitat: tal com es descriu amb més detall a la secció IV (anterior), el Col·legi respectarà en general els drets a la privadesa i la confidencialitat dels usuaris. Tanmateix, per la seva naturalesa tecnològica, les comunicacions electròniques, especialment el correu electrònic connectat a Internet, poden no estar segures d'accés, visualització o infracció no autoritzats. Tot i que el Col·legi utilitza tecnologies per protegir els missatges electrònics, no sempre es pot garantir la confidencialitat del correu electrònic i altres documents electrònics. Per tant, el bon criteri dictamina l'elaboració de documents electrònics que poden fer-se públics sense vergonya ni dany.
  2. Seguretat: l'ús per part del professorat, el personal o els administradors de la universitat dels sistemes informàtics de la universitat per transmetre comunicacions amenaçadores, assetjadores o ofensives (o mostrar imatges o materials ofensius) és una violació del procediment de la universitat i pot sotmetre l'infractor a sancions greus. . El personal de la universitat hauria d'informar al CIO tan aviat com sigui possible les comunicacions amenaçadores, assetjadores o ofensives rebudes a través de la xarxa.

Responsabilitats dels usuaris

  1. Les persones amb accés als recursos informàtics, de xarxes i d'informació del Col·legi són responsables d'utilitzar-los de manera professional, ètica i legal i de manera coherent amb totes les polítiques del Col·legi aplicables. Els usuaris han de prendre les mesures raonables i necessàries per salvaguardar la integritat operativa i l'accessibilitat dels sistemes del Col·legi. Els usuaris han de mantenir un entorn acadèmic i laboral propici per dur a terme de manera eficient i productiva la missió del Col·legi. En concret, les responsabilitats dels usuaris inclouen:
      1. Respectar els drets dels altres, inclosos els seus drets a la propietat intel·lectual, la privadesa i la llibertat d'assetjament;
      2. Protegir la confidencialitat de la informació confidencial de la universitat i la privadesa de la informació dels estudiants seguint la política i els procediments de FERPA i de la universitat;
      3. Utilitzar sistemes i recursos per no interferir o pertorbar el funcionament diari normal del Col·legi;
      4. Protegir la seguretat i la integritat de la informació emmagatzemada als sistemes d'aplicacions de la universitat/empresa;
      5. Conèixer i respectar les polítiques i procediments específics de la universitat i de la unitat que regeixen l'accés i l'ús dels sistemes informàtics de la universitat i la informació sobre aquests sistemes.

Proscripcions específiques sobre l'ús de la xarxa

  1. Les persones no poden compartir contrasenyes ni identificadors d'inici de sessió ni donar accés a altres persones a cap sistema del qual no siguin l'individu responsable de les dades o del sistema. Els usuaris són responsables de qualsevol activitat realitzada amb els seus comptes informàtics i la seguretat de la seva contrasenya. Només les persones autoritzades poden utilitzar els sistemes d'aplicacions d'informàtica/empresa del Col·legi.
  2. Les persones no poden utilitzar el compte de xarxa d'una altra persona ni intentar obtenir contrasenyes o codis d'accés al compte de xarxa d'una altra persona per enviar o rebre missatges.
  3. Les persones s'han d'identificar a si mateixes i a la seva filiació de manera precisa i adequada en les comunicacions electròniques. No poden disfressar la identitat del compte de xarxa que se'ls ha assignat ni representar-se com una altra persona.
  4. Les persones no poden utilitzar els sistemes del Col·legi per assetjar, intimidar, amenaçar o insultar els altres; interferir en el treball o l'educació d'una altra persona; crear un entorn de treball o d'aprenentatge intimidatori, hostil o ofensiu; o per dur a terme activitats il·legals o poc ètiques, inclòs el plagi i la invasió de la privadesa.
  5. Les persones no poden utilitzar els sistemes del Col·legi per obtenir o intentar obtenir accés no autoritzat a xarxes remotes o sistemes informàtics.
  6. Les persones no poden interrompre deliberadament el funcionament normal dels ordinadors, estacions de treball, terminals, perifèrics o xarxes del Col·legi.
  7. Les persones no poden executar ni instal·lar programes en cap sistema informàtic de la universitat que puguin danyar les dades i els sistemes de la universitat (per exemple, virus informàtics, programes personals). Els usuaris no han d'utilitzar la xarxa del Col·legi per interrompre sistemes externs. Si un usuari sospita que un programa que té la intenció d'instal·lar o utilitzar pot causar aquest efecte, primer ha de consultar amb ITS/Enterprise Applications.
  8. Les persones no poden eludir ni evitar l'ús de sistemes d'autenticació, mecanismes de protecció de dades o altres mesures de seguretat.
  9. Les persones no han d'infringir cap llei ni llicència de drets d'autor aplicables, i han de respectar altres drets de propietat intel·lectual. La informació i el programari accessible a Internet estan subjectes a drets d'autor o protecció addicional dels drets de propietat intel·lectual. La política, els procediments i la llei de la universitat prohibeixen la còpia no autoritzada de programari que no hagi estat col·locat en el domini públic i distribuït com a "programari gratuït". Per tant, no s'ha de descarregar ni copiar res d'Internet sense el permís exprés del propietari del material. Els usuaris han d'observar els requisits o limitacions del propietari del material sobre el material. També es prohibeix l'ús de programari en un nombre superior al nombre d'ordinadors amb llicència i la instal·lació no autoritzada de programari sense llicència.
    Els usuaris de "shareware" han de complir els requisits de l'acord de shareware.
  10. Queden prohibides les activitats que malbaraten o monopolitzen injustament els recursos informàtics i no promoguin la missió del Col·legi. Alguns exemples d'aquestes activitats inclouen correus electrònics massius no autoritzats; cartes electròniques en cadena, correu brossa i altres tipus de missatges de difusió; múltiples processos, sortida o trànsit innecessaris; superant les limitacions d'espai de directoris de xarxa; jugar, "navegar" per Internet amb finalitats recreatives o altres aplicacions no relacionades amb el treball durant l'horari comercial; i una impressió excessiva.
  11. Es prohibeix llegir, copiar, canviar o esborrar programes o fitxers que pertanyin a una altra persona o al Col·legi sense permís.
  12. Les persones no han d'utilitzar els recursos informàtics del Col·legi amb finalitats comercials o beneficis econòmics personals.
  13. Es prohibeix l'ús dels sistemes informàtics del Col·legi que infringeixin les lleis o reglaments locals, estatals o nacionals o les polítiques, els estàndards de conducta o les directrius del Col·legi.
  14. Comunicacions per correu electrònic:
      1. El sistema de correu electrònic del Col·legi existeix per donar suport al treball del Col·legi, i l'ús del correu electrònic ha d'estar relacionat amb els negocis del Col·legi. Tanmateix, també es permet l'ús personal i no comercial incidental sense cost directe per al Col·legi que no interfereixi amb els negocis legítims del Col·legi.
      2. Es prohibeixen les comunicacions electròniques el significat, transmissió o distribució de les quals sigui il·legal, poc ètic, fraudulent, difamatori, assetjador o irresponsable. Els sistemes de correu electrònic universitari no s'han d'utilitzar per comunicar contingut que es pugui considerar inadequat, ofensiu o irrespectuós per als altres.
      3. Les persones han d'observar els estàndards professionals adequats de civisme i decència en totes les comunicacions electròniques.
      4. Tota la correspondència per correu electrònic relacionada amb negocis universitaris (inclosa la que s'envia a estudiants i futurs estudiants) s'ha d'enviar amb un fons blanc i no ha d'utilitzar cap paper decoratiu.
      5. Els correus electrònics de difusió a la comunitat universitària es relacionaran amb la política i els procediments de la universitat, notícies universitàries, un esdeveniment patrocinat per la universitat o elements que afectin la comunitat universitària. Es prohibeixen els articles a la venda, les sol·licituds de donació i altres assumptes comercials que no siguin de la universitat. Les persones no poden enviar correus electrònics sol·licitant aquest tipus d'informació a través de les llistes de correu del Col·legi.

World Wide Web

  1. El lloc web del Col·legi comunitari del comtat d'Hudson és una publicació oficial del Col·legi. Tota la informació continguda a les pàgines web ha de ser precisa i reflectir la política i els procediments oficials del Col·legi.
  2. Les pàgines web oficials del Col·legi compleixen els mateixos estàndards que qualsevol publicació impresa del Col·legi. El CIO, el Director de Màrqueting i Relacions Col·legials, el Gestor de Serveis Web i el Vicepresident corresponent o el seu designat tenen la responsabilitat final del contingut i el disseny de cada pàgina.
  3. El gerent de serveis web i el personal de la universitat responsable de cada divisió o departament revisaran periòdicament la moneda i la precisió de les pàgines web oficials de l'escola comunitària del comtat de Hudson. Les àrees individuals són responsables de comunicar les revisions i les actualitzacions, a mesura que es produeixin, al Gestor de Serveis Web, que les revisarà i organitzarà la seva publicació.

Incompliments i Sancions

L'incompliment d'aquest procediment pot comportar la denegació o l'eliminació dels privilegis d'accés als sistemes electrònics del Col·legi, accions disciplinàries en virtut de les polítiques i procediments del Col·legi aplicables, responsabilitat civil i litigis i processaments penals d'acord amb les lleis estatals, federals i locals corresponents.

El procés per a una investigació sobre sospites d'abús i incompliment d'aquest procediment és el següent:

    1. Informeu la sospita d'abús al CIO.
    2. Si hi ha concordança del vicepresident d'Empresa i Finances/CFO, el CIO investigarà l'informe.
    3. El CIO informarà de qualsevol abús descobert al vicepresident de la division corresponent, que determinarà les mesures disciplinàries apropiades.

Procediments de comptes de xarxa, correu electrònic i Internet

Els comptes elegibles són els següents:

    1. Tot el personal assalariat de l'Hudson County Community College a temps complet.
    2. Tot el professorat adjunt i altres consultors contractats pel Col·legi mitjançant cartes d'acord, memoràndums d'entesa o contracte.
    3. Tots els membres del Patronat.
    4. El personal a temps parcial de l'Hudson County Community College que té una necessitat demostrada de recursos informàtics disponibles a les aplicacions ITS/Enterprise (que no sigui l'accés general a Internet), relacionats amb la seva feina a la universitat, són elegibles per a comptes temporals.
    5. Els empleats d'institucions educatives afiliades que tinguin relacions amb Hudson County Community College i una necessitat demostrada de recursos informàtics d'Aplicacions d'empresa/ITS (que no siguin l'accés general a Internet) són elegibles per a comptes temporals.
    6. Les organitzacions afiliades amb una missió acadèmica les activitats de les quals relacionades amb el Col·legi requereixen recursos informàtics que l'afiliat no pot subministrar raonablement pel seu compte són elegibles per a comptes temporals.

ITS elimina els comptes quan:

    1.  El titular del compte ja no compleix els requisits d'elegibilitat.
    2. El compte és temporal i la data de caducitat passa sense renovació.
    3. El titular del compte no ha accedit al compte durant 18 mesos consecutius.

Contrasenyes

    1. Els comptes es creen amb una contrasenya prèviament assignada que els titulars del compte han de canviar quan inicien sessió per primera vegada i d'acord amb els procediments de la universitat.
    2. Està estrictament prohibit compartir o divulgar contrasenyes.

Procediment de correu electrònic de la Universitat de la comunitat del comtat de Hudson

Les persones amb accés als sistemes informàtics del Col·legi són responsables d'utilitzar-los de manera professional, ètica, legal i seguir les polítiques i procediments del Col·legi aplicables. Els usuaris han de mantenir un entorn acadèmic i laboral propici per dur a terme de manera eficient i productiva la missió del Col·legi.

Es prohibeixen les comunicacions electròniques el significat, transmissió o distribució de les quals sigui il·legal, poc ètic, fraudulent, difamatori, assetjador, irresponsable o infringeixin les polítiques o els procediments del Col·legi. Les comunicacions electròniques no han de contenir res que no es pugui publicar en un tauler d'anuncis, vist per espectadors no desitjats o aparèixer en una publicació del Col·legi. El material que es pugui considerar inadequat, ofensiu o irrespectuós amb els altres no s'ha d'enviar ni rebre com a comunicacions electròniques utilitzant les instal·lacions del Col·legi. El CIO supervisarà el compliment d'aquest procediment.

A. Accions considerades Les infraccions d'aquest procediment de correu electrònic són les següents:

      1. Enviament de missatges de correu electrònic massius no autoritzats ("correu brossa" o "correu brossa").
      2. Ús del correu electrònic per a l'assetjament, ja sigui per l'idioma, la freqüència, el contingut o la mida dels missatges.
      3. Reenviar o propagar d'una altra manera cartes en cadena i esquemes piramidals, independentment que el destinatari vulgui rebre aquests missatges.
      4. Correus electrònics maliciosos, com ara "bombardeig de correu electrònic" o inundar un lloc d'usuari amb fragments de correu electrònic molt grans o nombrosos.
      5. Falsificació d'informació del remitent que no sigui accountname@hccc.edu o una altra adreça de capçalera aprovada prèviament.
      6. Enviament de correu electrònic amb finalitats comercials o beneficis econòmics personals.

El Col·legi té dret a retirar l'accés als comptes que incompleixin aquest procediment.

B. Regles i controls del correu electrònic:

      1. El Col·legi no arxiva el correu electrònic.
      2. El Col·legi filtra el correu electrònic per a correu brossa i contingut maliciós.
      3. El Col·legi bloqueja els comptes de correu electrònic que envien correu brossa i contingut maliciós.

Aprovat pel Consell de Ministres: juliol de 2021
Política de la Junta relacionada: Serveis de Tecnologia de la Informació

 

Procediment de Cicles de Vida Informàtica

introducció

Aquest procediment té com a objectiu garantir l'accés a la tecnologia informàtica actual necessària per promoure l'èxit dels estudiants i complir amb les responsabilitats laborals dels empleats. Aquest procediment proporciona a l'Oficina de Serveis de Tecnologia de la Informació (ITS) la substitució programada d'ordinadors per als empleats, l'aula i el laboratori. 

Propòsit

L'objectiu d'aquest procediment és establir els paràmetres i el procés de substitució d'ordinadors personals. Aquest procediment exclou les estacions de treball i terminals de propòsit únic per utilitzar-los amb la infraestructura d'escriptori virtual (VDI). 

abast

Aquest procediment cobreix els ordinadors personals utilitzats pel professorat a temps complet, el personal a temps complet, els laboratoris i les aules. Els ordinadors adquirits amb subvencions o per a un ús dedicat s'han de gestionar per separat segons els paràmetres de les seves subvencions i la finalitat. Aquesta política no s'aplica a equips perifèrics, telèfons d'oficina, telèfons mòbils, impressores, escàners, equips d'àudio/visuals, servidors o altres equips relacionats amb TI. Aquest equipament es substitueix per ITS segons la necessitat, l'estat i els recursos pressupostaris basats en els seus contractes d'anàlisi, judici i suport. 

Plataformes de maquinari 

Cada any, el Col·legi determinarà especificacions estàndard per a ordinadors d'escriptori i portàtils en funció de la funció laboral per contenir els costos, el manteniment i l'eficiència de suport. ITS ha desenvolupat els estàndards d'equips, revisats pel Comitè de Tecnologia del Consell de la Universitat i aprovats pel director d'informació i el vicepresident de finances i negocis/director financer. Com que ITS admet un dispositiu per empleat, als usuaris se'ls assignarà un ordinador portàtil i una estació d'acoblament en lloc d'un ordinador d'escriptori. Els ordinadors de sobretaula es donaran a les zones on es compartirà el seu ús, com ara zones d'acollida, aules, laboratoris i zones de treball complementàries o d'estudi.

Procediment

    1. Els ordinadors personals seran mantinguts i recolzats per ITS durant el període de servei designat. El període actual de servei dels ordinadors personals HCCC és de cinc anys.
    2. Cada any, ITS substituirà una part dels ordinadors personals de la llista d'inventari. ITS desplegarà ordinadors personals del professorat i del personal durant l'estiu i la tardor. ITS també actualitzarà part de l'aula, el laboratori i els ordinadors d'accés obert cada any. Els pressupostos de substitució estimats es presentaran a les audiències pressupostàries anuals. ITS reconeix que alguns professors, personal i estudiants tenen necessitats informàtiques diferents. Els laboratoris acadèmics amb ordinadors especialitzats s'incorporaran al pressupost de substitució quan sigui possible. El professorat i el personal que requereixin una màquina no estàndard que superi el cost d'un ordinador personal estàndard hauran d'obtenir l'aprovació de l'oficina/escola. La seva oficina/escola finançarà la diferència de preu.
    3. El professorat i el personal a temps parcial que vulguin agafar en préstec un ordinador portàtil ompliran un formulari de sol·licitud que requereix l'aprovació del gerent. Després de l'aprovació del gestor, ITS subministrarà un ordinador portàtil.
    4. ITS treballarà amb l'usuari de l'ordinador per migrar les dades dels empleats a l'ordinador de substitució. ITS eliminarà l'ordinador personal més antic. ITS mantindrà el disc dur de l'ordinador antic durant dues setmanes a 90 dies per assegurar-se que no es perdin dades durant el desplegament.

      1. Els jubilats poden tenir l'opció de comprar el seu ordinador antic per un valor de mercat just determinat per ITS. Aquestes compres són "tal com estan" i ITS eliminarà tot el programari i les dades d'HCCC abans de la transferència de propietat. Els empleats escriuran un xec a Hudson County Community College, que es dipositarà al compte del Col·legi.
    5. En alguns casos, els ordinadors es poden reutilitzar o redistribuir a altres ubicacions del campus a criteri de l'ITS.
    6. Quan cal traslladar els ordinadors personals, l'Oficina/Escola s'ha de posar en contacte amb ITS. ITS és responsable d'un inventari precís. Els usuaris no haurien de traslladar ells mateixos els ordinadors personals. Els ordinadors no s'han de reassignar ni redistribuir sense notificar a ITS i obtenir l'aprovació.
    7. Quan un empleat amb un ordinador personal surti del Col·legi, ITS serà notificat per l'Oficina/Escola i Recursos Humans. En la majoria dels casos, aquest ordinador es redistribuirà al següent empleat contractat en aquest lloc.
    8. Si un ordinador personal es trenca i no es pot reparar, ITS substituirà l'ordinador per una màquina nova. Aleshores, aquest ordinador es converteix en la màquina personal d'aquest empleat. 

Aprovat pel Consell de Ministres: abril de 2023
Política de la Junta relacionada: Serveis de Tecnologia de la Informació

 

Procediment de gestió d'esdeveniments

introducció

Aquest procediment té com a objectiu garantir esdeveniments reeixits a tot el Col·legi que continuïn millorant la missió del Col·legi. Aquest procediment s'ajusta a la Política de serveis de tecnologia de la informació d'HCCC aprovada pel Patronat.

Aplicabilitat

Aquest procediment és aplicable a tot el professorat i personal del Col·legi que realitzi actes universitaris.

Responsabilitat

El vicepresident associat de serveis de tecnologia de la informació i el director d'informació implementarà aquest procediment en coordinació amb el director executiu d'instal·lacions, operacions i enginyeria, el director executiu de seguretat i seguretat pública i altres líders universitaris.

Procediment

  1. Definició d'un esdeveniment HCCC
    1. Activitats universitàries: Els CAA són activitats o esdeveniments directament relacionats amb la missió docent del Col·legi. Alguns exemples inclouen les classes amb crèdits, les activitats programàtiques relacionades amb el treball acadèmic i les reunions de professors/departaments administratius.
    2. Esdeveniments universitaris: Les CE són activitats organitzades i gestionades pel professorat, el personal, les oficines del Col·legi i les organitzacions d'estudiants registrades i aprovades planificades principalment per als membres de la comunitat HCCC i en benefici del Col·legi. Alguns exemples inclouen activitats de programació d'estudiants, desenvolupament del professorat i del personal, inici, convocatòria, jornades de portes obertes, esdeveniments de contractació, professors convidats i altres. Els assistents a aquests esdeveniments inclouen membres de la comunitat, professors, personal, estudiants, convidats i antics alumnes.
    3. Esdeveniments organitzats per la universitat: Els CHE són programes acadèmics, conferències, retiros i reunions en què participen dues entitats: una entitat del Col·legi (escola, unitat acadèmica o administrativa, o organització d'estudiants registrada i aprovada) i una organització externa (com ara una associació professional a la qual el Col·legi és membre o manté una relació que beneficia directament a la comunitat universitària o a l'organització comunitària).
    4. Esdeveniments externs/no universitaris: Els NC/EE es defineixen com els programes i activitats organitzats per persones, grups, empreses o organitzacions no incloses en l'estructura organitzativa del Col·legi. Alguns exemples són recepcions, esdeveniments benèfics, reunions i esdeveniments corporatius, colònies juvenils, conferències, activitats socials, exposicions, etc. Els esdeveniments no universitaris/externs requereixen un acord contractual i una prova d'assegurança adequada amb el Col·legi.​
  2. Oficines de suport a esdeveniments i què ofereixen

    1. Serveis de tecnologia de la informació
      1. Equipament tecnològic
      2. Presentacions de proves i mitjans abans de l'esdeveniment
      3. Enllaços de reunions i suport híbrid per a reunions/esdeveniments
      4. WiFi de convidats
      5. Suport tecnològic durant l'esdeveniment
    2. Equipaments
      1. Muntatge i avaria dels mobles
      2. Trencar mobles
      3. neteja
      4. Monitorització HVAC
    3. Seguretat
      1. Suport de seguretat durant els esdeveniments
      2. Obertures i tancaments d'edificis
      3. Suport d'aparcament i transport
    4. flick
      1. Menjar i beguda
      2. Servidors i altres suports
      3. Coordinació amb grups externs
  3. Procés de gestió d'esdeveniments

    1. Les sol·licituds en línia s'han d'introduir a través del sistema Coursedog del College.
    2. Caldrà l'aprovació per a espais especials i tipus d'esdeveniments; p. ex., sala de juntes del president, atri, galeria.
    3. Cal avís previ per a tots els esdeveniments.
    4. Es donarà prioritat als esdeveniments d'alt perfil de la universitat.
  4. Guia de tipus d'esdeveniment

    Tipus d'esdeveniment

    Descripció
    Laboratori acadèmic d'informàtica Els serveis de laboratori d'informàtica, inclòs el suport d'un assistent de laboratori, requereixen un preavís de tres dies. Aquestes sol·licituds es poden presentar amb 180 dies d'antelació.
    Serveis Administratius Les reunions requereixen una antelació d'un dia.
    Formació contínua (CE) Els esdeveniments i classes de formació continuada i desenvolupament de la força de treball requereixen un dia d'avís. Aquestes sol·licituds es poden presentar amb 180 dies d'antelació.
    Serveis de Matrícula / Admissions Els serveis d'inscripció i els esdeveniments d'admissions requereixen un preavís de tres dies. Aquestes sol·licituds es poden presentar amb 90 dies d'antelació.
    Serveis d'hostaleria i restauració Prioritat 1 Els esdeveniments de prioritat 1 inclouen esdeveniments a tot el campus, participants externs, esdeveniments anunciats i esdeveniments a nivell de gabinet. Aquestes sol·licituds requereixen un preavís de 30 dies i es poden introduir amb 180 dies d'antelació.
    Serveis d'hostaleria i restauració Prioritat 2 Els esdeveniments de prioritat 2 inclouen esdeveniments a nivell de departament amb més de 50 participants i que s'estan enregistrant requereixen un avís de 14 dies. Aquestes sol·licituds es poden presentar amb 180 dies d'antelació.
    Serveis d'hostaleria i restauració Prioritat 3 Prioritat 3 Els esdeveniments són petits i més informals i requereixen un preavís de tres dies. Aquestes sol·licituds es poden presentar amb 180 dies d'antelació.
    Esdeveniment del campus de North Hudson Els programes i esdeveniments allotjats al campus de North Hudson requereixen un preavís de tres dies. Aquestes sol·licituds es poden presentar amb 180 dies d'antelació.
    Espai d'oficines de North Hudson Les reunions al campus de North Hudson requereixen un dia d'avís.
    Oficina de registre Els programes i esdeveniments a les aules d'Afers Acadèmics de Journal Square requereixen un dia d'avís. Aquestes sol·licituds es poden presentar amb 180 dies d'antelació.
    Escola de Proves d'Infermeria / Ponent convidat Els programes i els esdeveniments del Laboratori d'Informàtica F129 requereixen un dia d'avís. Aquestes sol·licituds es poden presentar amb 180 dies d'antelació.
    La vida de l'estudiant Tots els esdeveniments de la vida estudiantil requereixen un avís de dos dies. Aquestes sol·licituds es poden presentar amb 180 dies d'antelació.
    Fes lliscar per més
  5. Responsabilitats

    1. Els organitzadors proporcionaran tota la informació disponible a la sol·licitud, inclosos els contactes de l'esdeveniment, el correu electrònic i els números de telèfon, etc.
    2. Els organitzadors comunicaran qualsevol canvi de manera oportuna i per escrit.
    3. Els organitzadors inclouran la Declaració d'accessibilitat del Col·legi en totes les comunicacions sobre l'esdeveniment.
    4. Els organitzadors assistiran a sessions de pràctiques i sessions pràctiques segons el tipus d'esdeveniment requerit.
    5. Les oficines universitàries que presten serveis es comunicaran oportunament amb els organitzadors.
    6. Els enllaços d'esdeveniments híbrids seran creats exclusivament pels Serveis de Tecnologia de la Informació per als esdeveniments d'HCCC.
    7. Els organitzadors avisaran a les oficines de la universitat amb antelació quan hi hagi una cancel·lació per alliberar l'espai de l'esdeveniment.
    8. Les oficines de l'HCCC notificaran als organitzadors qualsevol problema tan aviat com es descobrin.

Aprovat pel Consell de Ministres: desembre de 2024
Política de la Junta relacionada: Serveis de Tecnologia de la Informació

 

Procediment de sol·licituds d'accés a sistemes d'informació que contenen dades sensibles

introducció

 Aquest procediment designa els propietaris de dades/sistema de Hudson County Community College (HCCC). Aquestes persones supervisen l'accés als sistemes d'informació que contenen dades sensibles, com ara el sistema ERP de col·lega. La supervisió és necessària per protegir i preservar la confidencialitat, la integritat i la disponibilitat de les dades d'HCCC i per complir amb els estàndards i les regulacions de tecnologia de la informació aplicables a HCCC.

Els propietaris de sistemes/dades designats per als sistemes d'informació del Col·legi comunitari del comtat de Hudson que continguin dades sensibles tindran l'autoritat per aprovar l'accés de persones a aquests sistemes.

Designació dels propietaris del sistema/dades

 Els següents membres del personal executiu estan designats com a propietaris de sistemes/dades per als sistemes d'informació que contenen dades sensibles.

 Sistema ERP de col·lega

Mòdul d'estudiants

Vicerectora d'Afers Estudiants i Matrícula

Mòdul de Finances de l'Estudiant

Vicepresident d'Empresa i Finances/CFO

Financial Aid Mòduls

Degà associat de Financial Aid

Mòdul de Recursos Humans

Vicerectorat de Recursos Humans

 Sistema d'imatge de documents

Serveis de matrícula, admissions i documents d'assessorament

Vicerectora d'Afers Estudiants i Matrícula

Estudiant Financial Aid documents

Degà associat de Financial Aid

documents financers

Vicepresident d'Empresa i Finances/CFO

Sol·licituds d'accés a sistemes d'informació que contenen dades sensibles

Les sol·licituds d'accés a sistemes d'informació que continguin dades sensibles s'han d'atorgar amb el "privilegi mínim", és a dir, l'accés només a la informació i els sistemes necessaris per dur a terme les tasques laborals habituals de l'individu.

Els membres del personal executiu designats com a propietaris de sistemes/dades o gestors designats en àrees funcionals han de revisar les sol·licituds d'accés a sistemes d'informació que continguin dades sensibles dels membres del personal sota la seva autoritat administrativa. Validaran que els usuaris tinguin accés amb un "privilegi mínim" només als privilegis necessaris per dur a terme les seves tasques laborals habituals. Aprovaran les sol·licituds enviant un formulari de sol·licitud d'accés al sistema situat al portal. Si l'accés no està justificat, la sol·licitud serà denegada.

Supressió de l'accés als sistemes d'informació que contenen dades sensibles

Els membres del personal executiu s'han d'assegurar que els supervisors notifiquen ràpidament als Serveis de Tecnologia de la Informació (ITS) quan ja no es requereix l'accés d'un usuari a un sistema d'informació i quan l'accés d'un usuari s'ha de modificar a causa d'un canvi en les funcions bàsiques de l'empleat.

ITS es notificarà immediatament mitjançant una trucada telefònica, seguida d'un correu electrònic al director d'informació (CIO), en cas de cessament d'un empleat de superusuari o en cas de baixa involuntària d'un empleat. Les baixes rutinàries, els trasllats a un altre departament universitari o els canvis de funcions s'han de presentar en un termini de cinc dies hàbils mitjançant el formulari de sol·licitud d'accés al sistema que es troba al portal.

Revisió de l'accés als sistemes d'informació que contenen dades sensibles

ITS ha de realitzar una revisió anual de tots els comptes d'usuari dels sistemes informàtics sensibles per avaluar la necessitat continuada dels comptes i el nivell d'accés associat.

Responsabilitats

El CIO tindrà la responsabilitat general de desenvolupar i mantenir els procediments tècnics coherents amb aquest procediment, i ha de complir amb els estàndards aplicables de l'Hudson County Community College.

L'Apèndix A descriu la ubicació del formulari per sol·licitar accés als sistemes d'informació de la universitat.

Definicions

 dades - inclou qualsevol informació dins de l'àmbit de l'HCCC, incloses les dades de registre d'estudiants, dades de personal, dades financeres (pressupost i nòmines), dades de la vida estudiantil, dades administratives departamentals, fitxers legals, dades d'investigació institucional, dades de propietat i totes les altres dades que pertanyen o donen suport. l'administració del Col·legi.

Sistema d'informació - Comprèn els components i operacions totals d'un procés de manteniment de registres, inclosa la informació recollida o gestionada mitjançant xarxes informàtiques i Internet, ja sigui automatitzada o manual, que conté informació personal i el nom, número personal o altres dades identificatives d'un subjecte de dades.

Dades sensibles - Inclou qualsevol informació que pugui afectar negativament els interessos del Col·legi, la realització dels programes de l'agència o la privadesa a la qual tenen dret les persones si es comprometen la confidencialitat, la integritat o la disponibilitat. Les dades es classifiquen com a sensibles si el compromís d'aquestes dades produeix un efecte advers material i significatiu en els interessos del Col·legi, la incapacitat de l'agència afectada per dur a terme els seus negocis, l'incompliment de les expectatives de privadesa o la llei obliga a mantenir la confidencialitat.

Superusuari – és un empleat que té un panell d'inscripció o un accés privilegiat elevat; per exemple, un administrador de seguretat.

 referències

  • Llei de Privadesa i Drets Educatius de la Família (FERPA) (20 USC § 1232g; 34 CFR Part 99)
  • Llei de modernització de serveis financers (Llei Gramm-Leach-Bliley) (15 USC § 6801 i següents)
  • Llei de portabilitat i responsabilitat de l'assegurança mèdica (HIPAA) (Llei pública 104-191)

Revisar la periodicitat i la responsabilitat

 El CIO revisarà aquest procediment anualment i, si cal, recomanarà revisions.

ANNEX "A"

Formularis de sol·licitud d'accés al sistema:

Accés de companys

https://myhudson.hccc.edu/ellucian

Sol·licitud de creació de compte o sol·licitud de desactivació

https://myhudson.hccc.edu/its

Aprovat pel Consell de Ministres: juliol de 2021
Política de la Junta relacionada: ITS

 

Procediment del Pla de Seguretat de la Informació

introducció

El propòsit del desenvolupament i la implementació d'aquest procediment complet de pla de seguretat de la informació escrita ("Pla") és crear garanties administratives, tècniques i físiques efectives per a la protecció de la "informació personal" dels futurs estudiants, sol·licitants, estudiants, empleats i antics alumnes. , i amics de Hudson County Community College, i per complir amb les nostres obligacions en virtut de la regulació 201 CMR 17.00 de Nova Jersey. El Pla estableix els nostres procediments per avaluar els nostres mètodes electrònics i físics per accedir, recopilar, emmagatzemar, utilitzar, transmetre i protegir la "informació personal" dels membres del Col·legi.

Als efectes d'aquest Pla, "informació personal" es defineix com el nom i cognoms d'una persona, o inicial i cognoms, en combinació amb qualsevol o més dels següents elements de dades relacionats amb aquest resident: (a) Social Número de seguretat; (b) número de carnet de conduir o número de targeta d'identificació emesa per l'estat; o (c) número de compte financer o número de targeta de crèdit o dèbit, amb o sense cap codi de seguretat requerit, codi d'accés, número d'identificació personal o contrasenya que permetria l'accés al compte financer d'un resident on l'Hudson County Community College sigui el custodi d'aquestes dades. ; sempre que, però, aquesta "informació personal" no inclourà informació que s'obtingui legalment a partir d'informació disponible públicament, o dels registres del govern federal, estatal o local que estiguin legalment disponibles per al públic en general.

Propòsit

L'objectiu d'aquest Pla és:

    1. Garantir la seguretat i confidencialitat de la informació personal;
    2. Protegir-se contra qualsevol amenaça o perill potencial per a la seguretat o integritat de la informació personal; i,
    3. Protegiu contra l'accés no autoritzat o l'ús de la informació personal d'una manera que creï un risc substancial de robatori d'identitat o frau.

abast

En formular i implementar el Pla, la institució: (1) identificarà els riscos interns i externs raonablement previsibles per a la seguretat, la confidencialitat i la integritat de qualsevol registre electrònic, en paper o d'un altre tipus que contingui informació personal; (2) avaluar la probabilitat i el dany potencial d'aquestes amenaces, tenint en compte la sensibilitat de la informació personal; (3) avaluar la suficiència de les polítiques, pràctiques, procediments, sistemes d'informació i altres salvaguardes existents per controlar els riscos; (4) dissenyar i implementar un pla que estableixi salvaguardes per minimitzar aquests riscos, d'acord amb els requisits de 201 CMR 17.00; i (5) fer un seguiment regular del Pla.

Coordinador de seguretat de dades

HCCC ha designat el Director d'Informació (CIO) i el Vicepresident de Negocis i Finances/CFO per implementar, supervisar i mantenir el Pla. El CIO i el vicepresident d'Empreses i Finances/CFO serà responsable de:

    1. Implementació inicial del Pla;
    2. Supervisió de la formació continuada dels empleats sobre els elements i requisits del Pla per a tots els propietaris, gestors, empleats i contractistes independents que tinguin accés a la informació personal;
    3. Seguiment de les salvaguardes del Pla;
    4. Avaluar els proveïdors de serveis de tercers que tenen accés i allotgen/transmeten/copia de seguretat/mantenen informació personal, i exigir a aquests proveïdors de serveis mitjançant contracte que implementin i mantinguin les mesures de seguretat adequades per protegir la informació personal;
    5. Revisar l'abast de les mesures de seguretat del Pla anualment, o sempre que hi hagi un canvi material en les pràctiques comercials d'HCCC que pugui implicar la seguretat o la integritat dels registres que contenen informació personal; i,
    6. Revisar la legislació i les lleis i actualitzar les polítiques i els procediments segons sigui necessari.

Riscos interns

Per combatre els riscos interns per a la seguretat, confidencialitat i integritat de qualsevol registre electrònic, en paper o d'un altre tipus que contingui informació personal, i per tal d'avaluar i millorar, si s'escau, l'eficàcia de les garanties vigents per limitar aquests riscos, les mesures següents són obligatoris i efectius immediatament: 

Mesures administratives

      1. S'ha de distribuir una còpia del Pla al President, al Gabinet del President, al personal dels Serveis de Tecnologia de la Informació (ITS) i a altres membres del personal designats que gestionen informació personal. Un cop rebut el Pla, cada persona ha de reconèixer per escrit que ha rebut una còpia del Pla.
      2. Després de la formació, tot el personal haurà de signar acords de confidencialitat que descriguin el maneig de la informació personal. Els acords de confidencialitat requeriran que els membres del personal denuncien qualsevol ús sospitós o no autoritzat de la "informació personal" al CIO o al vicepresident de Recursos Humans.
      3. La quantitat d'informació personal recollida s'ha de limitar al que sigui raonablement necessari per assolir finalitats comercials legítimes. L'ús de la informació personal s'aborda mitjançant auditories en diverses àrees.
      4. Totes les mesures de seguretat de les dades s'han de revisar almenys una vegada a l'any, o sempre que hi hagi un canvi important en la pràctica comercial d'HCCC o un canvi en la llei que pugui implicar raonablement la seguretat o la integritat dels registres que contenen informació personal. El CIO i el vicepresident d'Empresa i Finances/CFO seran els responsables d'aquesta revisió i informaran completament als caps de departament dels resultats d'aquesta revisió i de qualsevol recomanació per millorar la seguretat que es derivi d'aquesta revisió.
      5. Sempre que hi hagi un incident que requereixi una notificació segons NJ Stat. § 56:8-163, llei d'infracció de dades d'informació personal de Nova Jersey, hi haurà una revisió immediata obligatòria després de l'incident dels esdeveniments i les accions preses, si n'hi ha, per determinar si cal fer canvis a les pràctiques de seguretat d'HCCC per tal de millorar. la seguretat de la informació personal en virtut del Pla.
      6. Cada departament ha de desenvolupar regles (tenint en compte les necessitats comercials d'aquest departament) que garanteixin que hi hagi restriccions raonables sobre l'accés físic a la informació personal, inclòs un procediment escrit que indiqui com està restringit l'accés físic del registre. Cada departament ha d'emmagatzemar aquests registres i dades en instal·lacions tancades, àrees d'emmagatzematge segures o armaris tancats.
      7. Llevat dels comptes d'Administració del sistema, l'accés a la informació personal emmagatzemada electrònicament es limitarà electrònicament als empleats que tinguin un identificador d'inici de sessió únic, amb l'accés adequat. No es concedirà accés als empleats que el CIO determina que no necessiten accés a la informació personal emmagatzemada electrònicament.
      8. Quan no hi ha cap acord de confidencialitat, s'ha d'acordar per escrit l'accés del visitant o del contractista a dades sensibles, incloses, entre d'altres, contrasenyes, claus d'encriptació i especificacions tècniques, quan sigui necessari. L'accés es limitarà a la quantitat mínima necessària. Si es necessita un inici de sessió remot per accedir, aquest accés també s'ha d'aprovar mitjançant el Departament d'ITS d'HCCC.

Mesures Físiques

      1. L'accés als registres que continguin informació personal es limitarà a aquells que siguin raonablement obligats a conèixer aquesta informació per assolir el propòsit comercial legítim d'HCCC. Per mitigar la divulgació innecessària, la informació personal i sensible es redactarà, els registres en paper s'emmagatzemaran en instal·lacions tancades i s'implementaran controls de seguretat de dades per als registres electrònics.
      2. Al final de la jornada laboral, tots els fitxers no electrònics i altres registres que continguin informació personal s'han d'emmagatzemar en habitacions, oficines o armaris tancats amb clau.
      3. Els registres en paper que continguin informació personal s'han d'eliminar d'una manera que compleixi amb NJ Stat. § 56:8-163, llei d'infracció de dades d'informació personal de Nova Jersey. Això significa que els registres s'han d'eliminar mitjançant una trituradora de tall creuat o altres mètodes que facin il·legible la informació.

Mesures tècniques

      1. HCCC no permet als empleats emmagatzemar informació personal en suports portàtils. Això inclou ordinadors portàtils, USB, CD, etc. Quan els empleats que tenen accés a la informació personal s'acaben, HCCC cancel·larà l'accés als recursos de xarxa i als dispositius físics que continguin informació personal. Això inclou la terminació o el lliurament de comptes de xarxa, comptes de bases de dades, claus, insígnies, telèfons i ordinadors portàtils o ordinadors de sobretaula.
      2. Els empleats han de canviar les seves contrasenyes de manera rutinària per als sistemes que contenen informació personal.
      3. L'accés a la informació personal estarà restringit als usuaris actius i només als comptes d'usuari actius.
      4. Quan sigui tècnicament possible, tots els sistemes de manteniment d'HCCC que emmagatzemen informació personal utilitzaran funcions de bloqueig automàtic que bloquegen l'accés després de diversos intents d'inici de sessió infructuosos.
      5. Els registres electrònics (inclosos els registres emmagatzemats en discs durs i altres mitjans electrònics) que continguin informació personal s'eliminaran d'acord amb i de manera que compleixi amb NJ Stat. § 56:8-163, llei d'infracció de dades d'informació personal de Nova Jersey. Això requereix que la informació sigui destruïda o esborrada de manera que la informació personal no es pugui llegir o reconstruir pràcticament.

Riscos externs

      1. Per combatre els riscos externs per a la seguretat, la confidencialitat i la integritat de qualsevol registre electrònic, en paper o d'un altre tipus que contingui informació personal, i per avaluar o millorar quan sigui necessari l'eficàcia de les garanties vigents per limitar aquests riscos, són obligatòries les mesures següents. i efectiu immediatament:

a.) Hi ha pedaços de seguretat del sistema operatiu i protecció del tallafoc raonablement actualitzats raonablement dissenyats per mantenir la integritat de la informació personal instal·lada en sistemes amb informació personal.

b.) Hi ha versions raonablement actualitzades del programari de l'agent de seguretat del sistema que inclouen protecció contra programari maliciós i pedaços i definicions de virus raonablement actualitzats instal·lats als sistemes que processen informació personal.

c.) Quan s'emmagatzemen als recursos compartits de xarxa d'HCCC, els fitxers que continguin informació personal s'han d'encriptar. HCCC no permet que la informació personal s'emmagatzemi en ordinadors portàtils, ordinadors, dispositius USB o altres suports portàtils. HCCC desplegarà programari de xifratge per complir amb aquest objectiu.

d.) Qualsevol informació personal transmesa electrònicament a proveïdors de tercers s'ha d'enviar mitjançant el servei xifrat del venedor o mitjançant el servei xifrat designat per HCCC per a una transmissió segura. 

e.) Tots els nous proveïdors de serveis que emmagatzemin la informació personal d'HCCC en forma electrònica hauran de demostrar adequadament les mesures de seguretat mitjançant l'EDUCAUSE HECVAT o instrument similar. Aquests venedors també han de ser aprovats pel vicepresident de Finances i Negocis/CFO d'HCCC.

f.) El personal de Recursos Humans i Serveis de Tecnologia de la Informació ha de seguir els procediments descrits al Procediment d'ús acceptable d'HCCC per a sistemes de tecnologia de la informació relacionats amb la creació, transferència o cancel·lació de comptes, juntament amb polítiques d'emmagatzematge de contrasenyes i seguretat basada en rols.

g.) Tota la informació personal serà eliminada seguint l'HCCC Policies and Procedures.

h.) A mesura que els recursos i el pressupost ho permetin, HCCC implementarà tecnologia que permetrà al Col·legi supervisar les bases de dades per a l'ús no autoritzat o l'accés a la informació personal, i utilitzar protocols d'autenticació segurs i mesures de control d'accés d'acord amb els procediments d'HCCC.

 

Aprovat pel Consell de Ministres: juliol de 2021
Política de la Junta relacionada: Serveis de Tecnologia de la Informació

 

Procediment del pla de resposta a incidents de seguretat de la informació

Propòsit

Aquest pla guia com respondre als incidents de seguretat de la informació a l'Hudson County Community College (HCCC). El pla identifica els rols i les responsabilitats de l'equip de resposta a incidents de l'HCCC i els passos a seguir en cas d'incident. El Pla de resposta a incidents de seguretat de la informació (ISIRP) té com a objectiu minimitzar l'impacte d'un incident, preservar les proves per a la investigació i restablir les operacions normals tan aviat com sigui possible.

Definicions

incident: Un esdeveniment que provoca una pèrdua de confidencialitat, integritat o disponibilitat d'informació o sistemes d'informació.

resposta: les accions que es prenen per mitigar l'impacte d'un incident i restaurar els sistemes i les dades afectats al seu estat normal.

Equip de resposta a incidents (IRT): L'equip de resposta a incidents (IRT) és responsable d'implementar l'ISIRP. L'IRT està format per representants dels departaments rellevants, inclosos, entre d'altres, els Serveis de Tecnologia de la Informació (ITS), Finances (Gestió de Riscos), Assessorament Jurídic, RRHH i Comunicacions. L'IRT és responsable de coordinar la resposta a una incidència i vetllar per la disponibilitat de tots els recursos necessaris.

Rols i responsabilitats

L'IRT és responsable del següent:

  • Respondre a les incidències i mitigar-ne l'impacte.
  • Investigar els incidents i determinar-ne la causa.
  • Restauració de sistemes i dades que s'han vist afectats per una incidència.
  • Comunicació amb les parts interessades sobre incidències.
  • Registrar i notificar incidències.
Informes d'incidents

Tots els incidents de seguretat de la informació sospitosos o confirmats s'han de comunicar immediatament a ITS. Aleshores, ITS avaluarà l'incident i determinarà si es tracta d'un incident de seguretat. ITS escalarà l'incident a l'IRT si es tracta d'un incident de seguretat.

Passos de resposta
Categorització d'incidències:

L'IRT classificarà l'incident en funció de la seva gravetat i impacte. Les categories són les següents:

categoria 1: Incident menor - No hi ha impacte significatiu en la universitat o les seves operacions.
categoria 2: Incident moderat - Impacte limitat a la universitat o a les seves operacions.
categoria 3: Incident important - Impacte significatiu en la universitat o les seves operacions.
categoria 4: Incident crític: impacte greu sobre la universitat o les seves operacions.

Resposta a incidents per categoria:

L'IRT seguirà els passos següents per respondre a un incident:
categoria 1: No cal cap resposta formal.
categoria 2: L'IRT investigarà l'incident i prendrà les mesures adequades per contenir i mitigar l'incident.
categoria 3: L'IRT es coordinarà amb els departaments i els recursos externs rellevants, com ara els experts en seguretat cibernètica i en l'aplicació de la llei, per investigar l'incident i prendre les mesures adequades per contenir i mitigar l'incident.
categoria 4: L'IRT implementarà el Pla de Gestió d'Emergències de l'HCCC, que descriu els passos a seguir durant una crisi important.

Passos de l'ISIRP a seguir per IRT

L'IRT seguirà aquests passos en cas d'incidència:

  1. Respon a l'informe d'incident.
  2. Mitigar l'impacte de l'incident.
  3. Classifica els efectes a l'escala anterior.
  4. Investigar l'incident.
  5. Determinar la causa de l'incident.
  6. Restaurar els sistemes i les dades que s'han vist afectats per l'incident.
  7. Comunicar-se amb les parts interessades sobre l'incident.
  8. Registrar i informar de la incidència.
Eines i recursos

L'IRT utilitzarà les eines i recursos següents per respondre a les incidències:

  • Programari de seguretat: Sophos, Crowdstrike
  • Sistemes de còpia de seguretat i recuperació de dades: Cohesity, Arcserve, OneDrive
  • Canals de comunicació: correu electrònic, text, xarxes socials
  • Experts en ciberseguretat de tercers: NJ Edge, CyberSecOp, consultors d'assegurances de ciberseguretat
Prova i entrenament

L'IRT provarà i formarà periòdicament els procediments i les eines existents.

Pla de comunicació

L'IRT es comunicarà amb els següents grups d'interès en cas d'incidència:

  • Estudiants
  • Facultat
  • Personal
  • Mitjans de Comunicació
  • Aplicació de la llei
  • Agències reguladores
Mètriques i informes

L'IRT documentarà tots els aspectes de l'incident, inclosos, entre d'altres, el tipus d'incident, la gravetat, l'impacte, la resposta i la resolució. La documentació s'emmagatzemarà de forma segura i només accessible per al personal autoritzat.

L'IRT recopilarà i analitzarà les mètriques següents relacionades amb les incidències:

  • Nombre d'incidències
  • Cost de les incidències
  • Temps per recuperar-se dels incidents

El vicepresident associat de Tecnologia i CIO informarà d'aquestes mètriques al Consell de Síndics d'HCCC.

Revisió i actualització

El CIO de l'AVP revisarà l'ISIRP anualment i l'actualitzarà per reflectir el panorama de seguretat canviant i les necessitats en evolució de l'HCCC.

Aprovat pel Consell de Ministres: maig de 2023
Política de la Junta relacionada: Serveis de Tecnologia de la Informació

 

Procediment de responsabilitat de la tecnologia portàtil

  1. INTRODUCCIÓ
    Aquest procediment té com a objectiu establir directrius clares de responsabilitat i responsabilitat pel que fa a la pèrdua o el dany dels dispositius de tecnologia portàtil proporcionats per l'Hudson County Community College (HCCC) als empleats i estudiants. Aquest procediment s'ajusta a la Política de Serveis de Tecnologia de la Informació de l'HCCC aprovada pel Patronat de l'HCCC.
  2. APLICABILITAT
    Aquest procediment s'aplica a totes les persones, inclosos empleats i estudiants, per a les quals HCCC ha emès dispositius de tecnologia portàtil.
  3. RESPONSABILITAT
    1. Responsabilitat individual
      1. Totes les persones que disposen de dispositius de tecnologia portàtil són personalment responsables de la cura adequada i la conservació de l'equip.
      2. Els usuaris han de comunicar immediatament qualsevol pèrdua o robatori del dispositiu de tecnologia portàtil a l'Oficina de Seguretat Pública. Qualsevol dany al dispositiu s'ha de comunicar immediatament a l'Oficina de Serveis de Tecnologia de la Informació (ITS).
    2. Procediment de presentació d'informes
      1. Les persones que denuncien un dispositiu perdut o danyat han de proporcionar informació detallada sobre l'incident, inclosa la data, l'hora i la ubicació.
      2. S'ha de presentar un informe d'incidència per escrit a l'Oficina de Seguretat Pública i Seguretat dins les 24 hores següents a la pèrdua o robatori.
    3. Investigació
      1. L'Oficina de Seguretat Pública investigarà les circumstàncies de la pèrdua del dispositiu de tecnologia portàtil.
      2. Es pot demanar a les persones implicades que cooperin plenament amb la investigació, proporcionant qualsevol informació rellevant.
    4. Mesures de responsabilitat
      1. Si es considera que la pèrdua o dany es deu a negligència o accions intencionades, la persona pot ser responsable econòmicament del cost de reparació o substitució de l'equip.
      2. Es notificarà per escrit a les persones el resultat de la investigació i qualsevol obligació econòmica.
    5. Responsabilitat Financera
      1. Les persones considerades responsables de la pèrdua o dany hauran de reemborsar a HCCC el cost de reparació o substitució del dispositiu de tecnologia portàtil. El cost de reparació o substitució de l'equip dels empleats podria provenir del pressupost de l'oficina/escola.
      2. Es poden fer acords de pagament amb l'Oficina de Comptabilitat, i l'incompliment de les obligacions financeres pot comportar conseqüències addicionals, incloses la retenció dels expedients acadèmics o altres accions disciplinàries.
  4. EXCEPCIONS
    Els casos que impliquen pèrdues o danys per robatori o altres activitats delictives es tractaran seguint els procediments locals d'aplicació de la llei.
  5. COMUNICACIÓ
    Aquesta política es comunicarà a totes les persones que rebin dispositius tecnològics portàtils mitjançant la distribució de materials escrits, la inclusió en els manuals dels empleats/estudiants i els canals de comunicació electrònica.

Aprovat pel Consell de Ministres el març de 2024
Política associada: ITS

 

Procediment del pla de gestió de riscos del venedor

introducció

TEl seu Pla de gestió de riscos de proveïdors té com a objectiu establir un marc per gestionar i mitigar de manera eficaç els riscos associats amb proveïdors de tercers a l'Hudson County Community College. El procediment descriu els processos i procediments per a l'avaluació, la selecció i el seguiment continu dels proveïdors per garantir la seguretat, el compliment i la fiabilitat de les relacions amb els proveïdors. El procediment se centra principalment a recopilar i revisar informació sobre la idoneïtat i la seguretat del venedor i avaluar els termes i condicions i el llenguatge del contracte durant la signatura i renovació inicial del contracte.

  1. Procés de selecció de venedors
    1. Identificació de venedors: identifiqueu possibles venedors en funció dels requisits i necessitats de la universitat.
    2. Avaluació inicial del proveïdor: avalueu els possibles venedors mitjançant els criteris següents:
      1. Qualificacions i experiència
      2. Reputació i referències
      3. Estabilitat financera
      4. Normes de seguretat i compliment
      5. Acords de nivell de servei
    3. Sol·licitud de proposta (RFP): prepareu i emeteu una sol·licitud de proposta, si cal, als proveïdors seleccionats que descriguin les expectatives, els requisits i els criteris d'avaluació de la universitat.
    4. Avaluació de proveïdors: avalueu les propostes dels venedors en funció de criteris predefinits i realitzeu les entrevistes o presentacions necessàries.
    5. Selecció de proveïdors: seleccioneu els venedors en funció dels resultats de l'avaluació, tenint en compte factors com ara el cost, les capacitats i el perfil de risc.
  1. Recollida i revisió del conjunt d'eines d'avaluació de proveïdors de la comunitat d'educació superior (HECVAT).
    1. Requisit del formulari HECVAT: tots els venedors potencials han d'enviar el seu HECVAT emplenat; Les conclusions de l'auditoria SOC 2 es poden substituir per un HECVAT.
    2. Revisió inicial: reviseu l'HECVAT per avaluar les pràctiques de seguretat dels proveïdors, les mesures de protecció de dades i el compliment de la normativa rellevant.
    3. Avaluació de riscos: realitzeu una avaluació de riscos basada en la informació proporcionada a l'HECVAT per identificar els possibles riscos associats a la relació amb el proveïdor.
    4. Accions de mitigació: desenvolupar accions de mitigació per abordar els riscos identificats, com ara sol·licitar informació addicional, realitzar auditories de seguretat o establir obligacions contractuals de seguretat i privadesa.
  2. Revisió de Termes i Condicions
    1. Revisió del contracte: reviseu els termes i condicions del contracte del proveïdor proposat, centrant-vos en àrees relacionades amb la privadesa de dades, la seguretat, el compliment i la propietat intel·lectual.
    2. Revisió legal: contracteu un assessor legal, si cal, per garantir que el llenguatge del contracte protegeixi adequadament els interessos de la universitat i s'ajusti a les lleis i regulacions aplicables.
    3. Negociació i modificació: Col·laborar amb el venedor per negociar i modificar el llenguatge del contracte per abordar qualsevol preocupació o buit identificada.
    4. Aprovació i signatura: obtenir les aprovacions necessàries per al contracte i signar l'acord un cop totes les parts estiguin satisfetes amb els termes i condicions.
  3. Gestió de venedors en curs
    1. Supervisió periòdica: superviseu contínuament el rendiment del proveïdor, les pràctiques de seguretat i el compliment durant tota la durada del contracte.
    2. Revisió de la renovació del contracte: les renovacions del contracte depenen dels estatuts de la llei de contractes dels col·legis comunitaris. Realitzeu una revisió exhaustiva de les relacions amb els proveïdors, inclosa la reavaluació del nou HECVAT, els termes i condicions i el llenguatge del contracte, durant el procés de renovació del contracte.
    3. Avaluació del rendiment del proveïdor: avalueu periòdicament el rendiment del proveïdor en funció dels acords i expectatives de nivell de servei establerts.
    4. Resposta a incidents: seguiu el procediment de resposta a incidents per abordar ràpidament qualsevol incompliment de seguretat o incident de dades que involucre els proveïdors.
    5. Desenvolupament de proveïdors: desenvolupeu un procés per garantir l'exclusió adequada dels proveïdors, inclosa la devolució d'informació sensible i la finalització de l'accés al sistema.
  4. Documentació i Informes
    1. documentació
      1. Dipòsit de contractes: tots els contractes de proveïdors, inclosos els seus termes i condicions, esmenes i documents relacionats, s'han d'emmagatzemar al sistema de gestió de contractes de la universitat. Assegureu-vos que el dipòsit de contractes estigui organitzat, de fàcil accés i actualitzat periòdicament.
      2. Documentació de seguretat i HECVAT completada: mantingueu un registre de tots els HECVAT i auditories de seguretat rebudes dels proveïdors, inclosa qualsevol documentació de suport o aclariments proporcionats pels venedors.
      3. Avaluacions de riscos: documenteu els resultats de les avaluacions de riscos realitzades a partir de l'HECVAT i qualsevol avaluació o auditoria addicional realitzada.
      4. Informes d'incidències: Mantingueu un registre de qualsevol incident de seguretat o incompliment de proveïdors, juntament amb les accions de resposta a incidents corresponents.
    2. Informes
      1. Informes executius: proporcioneu informes periòdics a la direcció executiva, inclòs el director d'informació (CIO) i el gabinet, resumint el panorama de riscos del proveïdor, els esforços de mitigació i els incidents o preocupacions notables.
      2. Informe de renovació del contracte: prepareu un informe complet que destaqui les conclusions de la revisió de la renovació del contracte, inclosos els canvis o millores recomanats a les relacions amb els proveïdors.
      3. Informes de compliment: Genereu informes periòdics sobre el compliment dels proveïdors amb la normativa aplicable, les obligacions contractuals i els estàndards de seguretat acordats.
    3. Retenció de registres
      1. Període de retenció: la documentació d'avaluació del risc del proveïdor seguirà els horaris de retenció de registres per a la documentació relacionada amb el proveïdor, assegurant el compliment dels requisits legals, reglamentaris i interns.
      2. Protecció i privadesa de dades: compliu les normatives de protecció i privadesa de dades aplicables quan emmagatzemeu i manipuleu documents relacionats amb el proveïdor, assegurant-vos que hi ha les garanties adequades.

Aprovat pel Consell de Ministres: maig de 2023
Política de la Junta relacionada: Serveis de Tecnologia de la Informació

Tornar a Policies and Procedures