የመረጃ ደህንነት እቅድ አሰራር

 

መግቢያ

የዚህ አጠቃላይ የጽሁፍ መረጃ ደህንነት እቅድ አሰራር ("ዕቅድ") ማዘጋጀት እና ትግበራ አላማ ለወደፊት ተማሪዎች, አመልካቾች, ተማሪዎች, ሰራተኞች, ተመራቂዎች "የግል መረጃን" ለመጠበቅ ውጤታማ አስተዳደራዊ, ቴክኒካዊ እና አካላዊ ጥበቃዎችን መፍጠር ነው. , እና የሃድሰን ካውንቲ ኮሚኒቲ ኮሌጅ ጓደኞች እና በኒው ጀርሲ ደንብ 201 CMR 17.00 ያለንን ግዴታዎች ለማክበር። እቅዱ የኮሌጁን አካላት “የግል መረጃን” ለማግኘት፣ ለመሰብሰብ፣ ለማከማቸት፣ ለመጠቀም፣ ለማስተላለፍ እና ለመጠበቅ የእኛን የኤሌክትሮኒክስ እና አካላዊ ዘዴዎቻችንን የምንገመግምበትን አሰራር ያስቀምጣል።

ለዚህ እቅድ ዓላማ፣ “የግል መረጃ” የአንድ ሰው የመጀመሪያ ስም እና የአያት ስም፣ ወይም የመጀመሪያ ስም እና የአያት ስም፣ ከሚከተሉት ነዋሪ ጋር ከተያያዙት ማናቸውም ወይም ከዚያ በላይ የመረጃ አካላት ጋር በማጣመር ይገለጻል፡ (ሀ) ማህበራዊ የደህንነት ቁጥር; (ለ) የመንጃ ፈቃድ ቁጥር ወይም በመንግስት የተሰጠ መታወቂያ ካርድ ቁጥር; ወይም (ሐ) የሃድሰን ካውንቲ ኮሚኒቲ ኮሌጅ የዚያ ውሂብ ጠባቂ የሆነበት የነዋሪውን የፋይናንሺያል አካውንት ለማግኘት የሚያስችል የፋይናንሺያል ሂሳብ ቁጥር ወይም የክሬዲት ወይም የዴቢት ካርድ ቁጥር፣ ማንኛውም አስፈላጊ የደህንነት ኮድ፣ የመዳረሻ ኮድ፣ የግል መለያ ቁጥር ወይም የይለፍ ቃል ያለው ; ሆኖም “የግል መረጃ” በይፋ ከሚገኝ መረጃ ወይም ከፌዴራል፣ ከክልል ወይም ከአከባቢ መስተዳድር መዛግብት በህጋዊ መንገድ ለህዝብ የቀረቡ መረጃዎችን ማካተት የለበትም።

ዓላማ

የዚህ እቅድ አላማ፡-

    1. የግል መረጃን ደህንነት እና ምስጢራዊነት ማረጋገጥ;
    2. የግል መረጃን ደህንነት ወይም ታማኝነት ላይ ሊደርሱ ከሚችሉ ማንኛቸውም ስጋቶች ወይም አደጋዎች ይጠብቁ፤ እና፣
    3. ከፍተኛ የማንነት ስርቆት ወይም ማጭበርበር አደጋ በሚፈጥር መልኩ ያልተፈቀደ የግል መረጃን ከመድረስ ወይም ከመጠቀም ይጠብቁ።

አድማስ

እቅዱን ሲቀርጽ እና ሲተገበር ተቋሙ፡- (1) በኤሌክትሮኒክ፣ በወረቀት ወይም በሌሎች የግል መረጃዎች ላይ ባሉ መረጃዎች ደህንነት፣ ሚስጥራዊነት እና ታማኝነት ላይ ምክንያታዊ ሊታዩ የሚችሉ ውስጣዊ እና ውጫዊ አደጋዎችን ይለያል። (2) የግል መረጃውን ትብነት ግምት ውስጥ በማስገባት የእነዚህን ማስፈራሪያዎች እድል እና ጉዳት መገምገም; (3) አደጋዎችን ለመቆጣጠር በሥራ ላይ ያሉት ፖሊሲዎች፣ ልምዶች፣ ሂደቶች፣ የመረጃ ሥርዓቶች እና ሌሎች መከላከያዎች በቂ መሆናቸውን መገምገም፣ (4) በ 201 CMR 17.00 መስፈርቶች መሰረት እነዚያን አደጋዎች ለመቀነስ መከላከያዎችን የሚያስቀምጥ እቅድ ነድፎ ተግባራዊ ያደርጋል። እና (5) እቅዱን በየጊዜው ይቆጣጠሩ።

የውሂብ ደህንነት አስተባባሪ

HCCC እቅዱን እንዲተገብሩ፣ እንዲቆጣጠሩ እና እንዲጠብቁ የቢዝነስ እና ፋይናንስ/CFO ዋና የመረጃ ኦፊሰር (CIO) እና ምክትል ፕሬዝዳንት ሾሟል። CIO እና የቢዝነስ እና ፋይናንስ/ሲኤፍኦ ምክትል ፕሬዝዳንት ለሚከተሉት ሃላፊ ይሆናሉ፡

    1. የእቅዱ የመጀመሪያ ትግበራ;
    2. ለሁሉም ባለቤቶች ፣ አስተዳዳሪዎች ፣ ሰራተኞች እና የግል መረጃን የማግኘት ገለልተኛ ሥራ ተቋራጮች በእቅዱ አካላት እና መስፈርቶች ላይ ቀጣይነት ያለው የሰራተኛ ስልጠና መከታተል ፣
    3. የእቅዱን ጥበቃዎች መከታተል;
    4. የግል መረጃን ማግኘት እና ማስተላለፍ/ማስተላለፍ/ምትኬ/ያቆዩ የሶስተኛ ወገን አገልግሎት አቅራቢዎችን መገምገም እና እነዚያ አገልግሎት አቅራቢዎች የግል መረጃን ለመጠበቅ እንደዚህ ያሉ ተገቢ የደህንነት እርምጃዎችን እንዲተገብሩ እና እንዲጠብቁ በኮንትራት ማስገደድ፤
    5. በዕቅዱ ውስጥ ያሉትን የደህንነት እርምጃዎች ወሰን በየዓመቱ መገምገም፣ ወይም በHCCC የንግድ አሠራር ላይ የቁሳቁስ ለውጥ ሲኖር የግል መረጃን የያዙ መዝገቦችን ደህንነት ወይም ታማኝነት ሊያመለክት ይችላል። እና፣
    6. ህጎችን እና ህጎችን መገምገም እና ፖሊሲዎችን እና ሂደቶችን እንደ አስፈላጊነቱ ማዘመን።

ውስጣዊ አደጋዎች

የግል መረጃን የያዙ ማንኛውም የኤሌክትሮኒክስ ፣ የወረቀት ወይም ሌሎች መዛግብት ደህንነት ፣ ሚስጥራዊነት እና ታማኝነት ላይ የሚደርሱትን የውስጥ ስጋቶች ለመዋጋት እና አስፈላጊ ሆኖ ሲገኝ አሁን ያለው የጥበቃዎች ውጤታማነት ለመገምገም እና ለማሻሻል የሚከተሉትን እርምጃዎች የግዴታ እና ወዲያውኑ ውጤታማ ናቸው- 

አስተዳደራዊ እርምጃዎች

      1. የእቅዱ ግልባጭ ለፕሬዚዳንቱ፣ ለፕሬዝዳንቱ ካቢኔ፣ ለኢንፎርሜሽን ቴክኖሎጂ አገልግሎት (ITS) ሰራተኞች እና ሌሎች የግል መረጃን ለሚከታተሉ ለተመረጡ ሰራተኞች ይሰራጫል። እቅዱን ከተቀበለ በኋላ፣ እያንዳንዱ ግለሰብ የእቅዱን ቅጂ እንደተቀበለ በጽሁፍ መቀበል አለበት።
      2. ከስልጠና በኋላ ሁሉም ሰራተኞች የግል መረጃ አያያዝን የሚገልጹ ሚስጥራዊ ስምምነቶችን መፈረም ይጠበቅባቸዋል. የምስጢራዊነት ስምምነቶቹ የሰራተኞች አባላት ማንኛውንም አጠራጣሪ ወይም ያልተፈቀደ “የግል መረጃን” አጠቃቀም ለሲአይኦ ወይም ለሰብአዊ ሀብት ምክትል ፕሬዝዳንት እንዲያሳውቁ ይጠይቃሉ።
      3. የሚሰበሰበው የግል መረጃ መጠን ህጋዊ የንግድ አላማዎችን ለመፈጸም በምክንያታዊነት አስፈላጊ በሆነው ብቻ የተገደበ መሆን አለበት። የግል መረጃ አጠቃቀም በተለያዩ አካባቢዎች ኦዲት በማድረግ ይስተናገዳል።
      4. ሁሉም የመረጃ ደህንነት እርምጃዎች ቢያንስ በየአመቱ መከለስ አለባቸው፣ ወይም በማንኛውም ጊዜ በHCCC የንግድ አሰራር ላይ የቁሳቁስ ለውጥ ሲኖር ወይም የህግ ለውጥ በምክንያታዊነት የግል መረጃን የያዙ መዝገቦችን ደህንነት ወይም ታማኝነት ሊያመለክት ይችላል። CIO እና የቢዝነስ እና ፋይናንስ/ሲኤፍኦ ምክትል ፕሬዘዳንት ለዚህ ግምገማ ሀላፊነት አለባቸው እና የግምገማውን ውጤት እና ለተሻሻለ ደህንነት ማናቸውንም ምክሮች ሙሉ ለሙሉ ለዲፓርትመንት ኃላፊዎች ያሳውቃሉ።
      5. በNJ Stat ስር ማሳወቂያ የሚፈልግ ክስተት ሲኖር። § 56፡8-163፣ የኒው ጀርሲ የግል መረጃ መረጃ ጥሰት ሪፖርት ማድረጊያ ህግ፣ ከክስተት በኋላ የተከናወኑ ድርጊቶች እና የተወሰዱ እርምጃዎች ወዲያውኑ የግዴታ ግምገማ አለ፣ ካለ፣ ለማሻሻል በHCCC የደህንነት ልማዶች ላይ ማንኛቸውም ለውጦች አስፈላጊ መሆን አለመሆናቸውን ለማወቅ በእቅዱ መሰረት የግል መረጃ ደህንነት.
      6. እያንዳንዱ ክፍል የግላዊ መረጃን አካላዊ ተደራሽነት በተመለከተ ምክንያታዊ ገደቦች መኖራቸውን የሚያረጋግጡ ህጎችን (የዚያን ክፍል የንግድ ፍላጎቶች ከግምት ውስጥ በማስገባት) ፣ የመዝገቡ አካላዊ ተደራሽነት እንዴት እንደተገደበ የሚገልጽ የጽሁፍ አሰራርን ጨምሮ። እያንዳንዱ ክፍል እንደዚህ ያሉ መዝገቦችን እና መረጃዎችን በተቆለፉ ፋሲሊቲዎች፣ ደህንነቱ በተጠበቁ የማከማቻ ቦታዎች ወይም በተቆለፉ ካቢኔቶች ውስጥ ማከማቸት አለበት።
      7. ከስርዓት አስተዳደር መለያዎች በቀር፣ በኤሌክትሮኒክ መንገድ የተከማቸ የግል መረጃን የማግኘት ልዩ የመግቢያ መታወቂያ ላላቸው ሰራተኞች ተገቢውን መዳረሻ በኤሌክትሮኒክ መንገድ ብቻ የተገደበ መሆን አለበት። CIO በኤሌክትሮኒክ መንገድ የተከማቸ የግል መረጃ ማግኘት እንደማያስፈልጋቸው ለሚወስናቸው ሰራተኞች መዳረሻ አይፈቀድም።
      8. የምስጢር ጥበቃ ስምምነት በማይኖርበት ጊዜ ጎብኝ ወይም ኮንትራክተሩ የይለፍ ቃሎችን፣ ምስጠራ ቁልፎችን እና ቴክኒካዊ ዝርዝሮችን ጨምሮ ስሱ መረጃዎችን ማግኘት አስፈላጊ ሲሆን በጽሁፍ መስማማት አለበት። መዳረሻ ለሚያስፈልገው አነስተኛ መጠን ብቻ የተገደበ መሆን አለበት። ለመዳረሻ የርቀት መግባት የሚያስፈልግ ከሆነ፣ ይህ መዳረሻ በHCCC ITS ክፍል በኩል መጽደቅ አለበት።

አካላዊ መለኪያዎች

      1. የግል መረጃን የያዙ መዝገቦችን ማግኘት የHCCCን ህጋዊ የንግድ አላማ ለማሳካት እንደዚህ ያለውን መረጃ ማወቅ ለሚገባቸው ሰዎች ብቻ የተወሰነ መሆን አለበት። አላስፈላጊ መግለጫዎችን ለማቃለል ሚስጥራዊነት ያለው እና ግላዊ መረጃዎች ይቀየራሉ፣የወረቀት መዝገቦች በተቆለፉ ቦታዎች ይከማቻሉ እና ለኤሌክትሮኒካዊ መዝገቦች የመረጃ ደህንነት ቁጥጥሮች ተግባራዊ ይሆናሉ።
      2. በስራ ቀን ማብቂያ ላይ ሁሉም ኤሌክትሮኒክ ያልሆኑ ፋይሎች እና ሌሎች የግል መረጃዎችን የያዙ መዝገቦች በተቆለፉ ክፍሎች, ቢሮዎች ወይም ካቢኔቶች ውስጥ መቀመጥ አለባቸው.
      3. የግል መረጃን የያዙ የወረቀት መዝገቦች ከኤንጄ ስታት ጋር በሚስማማ መንገድ መጣል አለባቸው። § 56፡8-163፣ የኒው ጀርሲ የግል መረጃ መረጃ ጥሰት ሪፖርት ማድረጊያ ህግ። ይህ ማለት መዝገቦች በመስቀል-የተቆረጠ shredder ወይም ሌሎች መረጃዎችን የማይነበብ የሚያደርጉ ዘዴዎችን በመጠቀም መወገድ አለባቸው።

ቴክኒካዊ እርምጃዎች

      1. HCCC ሰራተኞች የግል መረጃን በተንቀሳቃሽ ሚዲያ ላይ እንዲያከማቹ አይፈቅድም። ይህ ላፕቶፖች፣ዩኤስቢ፣ሲዲዎች፣ወዘተ ያጠቃልላል።የግል መረጃ የማግኘት መብት ያላቸው ሰራተኞች ሲቋረጡ HCCC የኔትወርክ ግብዓቶችን እና ግላዊ መረጃዎችን የያዙ አካላዊ መሳሪያዎችን የማግኘት መብትን ያቋርጣል። ይህ የአውታረ መረብ መለያዎችን፣ የውሂብ ጎታ መለያዎችን፣ ቁልፎችን፣ ባጆችን፣ ስልኮችን፣ እና ላፕቶፖችን ወይም ዴስክቶፖችን ማቋረጥ ወይም መስጠትን ያካትታል።
      2. ሰራተኞች የግል መረጃን ለያዙ ስርዓቶች በመደበኛነት የይለፍ ቃሎቻቸውን መቀየር አለባቸው።
      3. የግል መረጃን ማግኘት ለንቁ ተጠቃሚዎች እና ንቁ የተጠቃሚ መለያዎች ብቻ መገደብ አለበት።
      4. በቴክኒካል የሚቻል ከሆነ፣ ሁሉም በHCCC የተያዙ የግል መረጃዎችን የሚያከማቹ ስርዓቶች ከበርካታ ያልተሳኩ የመግባት ሙከራዎች በኋላ መዳረሻን የሚቆልፉ አውቶማቲክ የመቆለፍ ባህሪያትን ይጠቀማሉ።
      5. የግል መረጃን የያዙ ኤሌክትሮኒክ መዛግብት (በሃርድ ድራይቮች እና በሌሎች ኤሌክትሮኒክስ ሚዲያዎች ላይ የተቀመጡ መዝገቦችን ጨምሮ) ከ NJ Stat ጋር በተጣጣመ መልኩ መወገድ አለባቸው። § 56፡8-163፣ የኒው ጀርሲ የግል መረጃ መረጃ ጥሰት ሪፖርት ማድረጊያ ህግ። ይህ የግል መረጃ በተግባር እንዳይነበብ ወይም እንደገና እንዳይገነባ መረጃ መጥፋት ወይም መደምሰስ ያስፈልገዋል።

የውጭ አደጋዎች

      1. የግል መረጃን የያዙ ማንኛውም የኤሌክትሮኒክስ ፣ የወረቀት ወይም ሌሎች መዛግብት ደህንነት ፣ ሚስጥራዊነት እና ታማኝነት ላይ የሚደርሱ ውጫዊ ስጋቶችን ለመዋጋት እና እነዚህን አደጋዎች ለመገደብ የአሁኑ መከላከያዎች ውጤታማነት ለመገምገም ወይም ለማሻሻል የሚከተሉትን እርምጃዎች አስገዳጅ ናቸው ። እና ወዲያውኑ ውጤታማ;

ሀ.) በሲስተሞች ላይ የግል መረጃ ባላቸው ስርዓቶች ላይ የተጫኑትን የግል መረጃዎች ትክክለኛነት ለመጠበቅ በተመጣጣኝ ሁኔታ ወቅታዊ የሆነ የፋየርዎል ጥበቃ እና የስርዓተ ክወና የደህንነት መጠገኛዎች አሉ።

ለ) የማልዌር ጥበቃን የሚያካትቱ በምክንያታዊነት ወቅታዊ የሆኑ የስርዓት ደህንነት ወኪል ሶፍትዌሮች ስሪቶች አሉ፣ እና በምክንያታዊነት የተዘመኑ የግል መረጃን በሚሰሩ ስርዓቶች ላይ የተጫኑ ፕላቶች እና የቫይረስ ፍቺዎች።

ሐ.) በHCCC የአውታረ መረብ ማጋራቶች ላይ ሲከማቹ የግል መረጃን የያዙ ፋይሎች መመስጠር አለባቸው። HCCC የግል መረጃን በላፕቶፖች፣ ፒሲዎች፣ ዩኤስቢ መሳሪያዎች ወይም ሌሎች ተንቀሳቃሽ ሚዲያዎች ላይ እንዲከማች አይፈቅድም። HCCC ይህንን ዓላማ ለማክበር የምስጠራ ሶፍትዌርን ያሰማራል።

መ) በኤሌክትሮኒካዊ መንገድ ለሶስተኛ ወገን ሻጮች የሚተላለፉ ማናቸውም ግላዊ መረጃዎች በሻጩ ኢንክሪፕትድ አገልግሎት ወይም በHCCC በተሰየመው ኢንክሪፕትድ አገልግሎት ደህንነቱ የተጠበቀ ስርጭት መላክ አለባቸው። 

ሠ.) የHCCCን ግላዊ መረጃ በኤሌክትሮኒክ ፎርም የሚያከማቹ ሁሉም አዲስ አገልግሎት አቅራቢዎች በEDUCAUSE HECVAT ወይም ተመሳሳይ መሳሪያ አማካኝነት የደህንነት እርምጃዎችን በበቂ ሁኔታ ማሳየት አለባቸው። እነዚህ አቅራቢዎች በHCCC የፋይናንስ እና ቢዝነስ/CFO ምክትል ፕሬዝዳንት መጽደቅ አለባቸው።

ረ) የሰው ሃይል እና የኢንፎርሜሽን ቴክኖሎጂ አገልግሎት ሰራተኞች በኤችሲሲሲ ተቀባይነት ባለው የኢንፎርሜሽን ቴክኖሎጂ ስርዓቶች የአጠቃቀም ሂደት ውስጥ የተገለጹትን አካውንቶች ከመፍጠር፣ ከማስተላለፍ ወይም ከማቋረጥ ጋር የተያያዙ ሂደቶችን እንዲሁም የይለፍ ቃል ማከማቻ እና ሚና ላይ የተመሰረተ ደህንነትን መጠበቅ አለባቸው።

ሰ.) ሁሉም የግል መረጃዎች የሚከተሏቸው HCCC ይወገዳሉ Policies and Procedures.

ሸ.) ሀብቶች እና በጀት በሚፈቅደው መሰረት HCCC ኮሌጁ የውሂብ ጎታዎችን ያልተፈቀደ አጠቃቀም ወይም የግል መረጃን ለማግኘት እና ደህንነቱ የተጠበቀ የማረጋገጫ ፕሮቶኮሎችን እና የቁጥጥር እርምጃዎችን በHCCC አሰራር መሰረት እንዲጠቀም የሚያስችል ቴክኖሎጂን ተግባራዊ ያደርጋል።

በካቢኔ የጸደቀ፡ ጁላይ 2021
ተዛማጅ ቦርድ ፖሊሲ: ITS

ወደ Policies and Procedures