贝博体育
保单号码: GA-18-08
主题: 数据和个人身份信息(PII)安全
- 目的
本政策的目的是建立一个管理个人身份信息(PII)数据在大学拥有的计算机或设备,用于存储或传输敏感或机密信息的标准. 除了, 本政策概述了有机会获得此类信息的罗安州立雇员的责任.
- 范围
这项政策的适用范围包括所有大学员工, 承包商, 或有权访问PII信息的顾问.
- 定义
- 敏感信息 被定义为提供Roane州立社区学院(RSCC)学生PII的任何信息, 教师, 或者工作人员. PII是可用于唯一标识的信息, 联系, 或定位单个人,或与其他来源一起使用,以唯一地识别单个人. 这包括, 但不限于, 社会安全号码等信息, 出生日期和地点, 还有母亲的娘家姓. 目录信息由每个直觉决定,不被认为是PII.
- 便携式大容量存储设备 定义为任何能够在罗安州立计算机或网络的内部存储设备之外传输数字文件的设备. 它们包括软盘之类的设备, CD / DVD的, 闪存, zip驱动器, 或者外置硬盘.
- 加密 转换信息(称为明文)的过程是否使用一种算法(称为密码)使除具有特殊知识的人以外的任何人都无法读取, 通常被称为钥匙. 处理的结果是加密的信息(在密码学中,称为密文)。. 在许多上下文中,“加密”一词也隐含地指相反的过程,即解密(decryption).g. “加密软件”通常也可以执行解密), 使加密的信息再次可读(i.e. 使其未加密).
- 数据管理者 负责建立数据管理程序和分配数据访问权限的机构指定人员是否由他们负责. 将从流动职能区域中指派代表作为数据保管人.
- 目录信息 基于学生教育记录中包含的信息构成基本档案的信息,如果公布通常不会被认为是有害的或侵犯隐私的吗. RSCC的目录信息包括:
- 业务办公室
- 学生记录
- 金融援助
- 工资
- 人力资源
- 学生的名字
- Address
- 电子邮件地址
- 电话清单
- 出生日期
- 参加官方认可的活动和体育运动
- 运动员的体重和身高
- 出席日期
- 注册状态-兼职,全职
- 所获学位及奖项
- 主修领域
- 最近以前的教育机构或机构
- 程序
- 一般
访问保存在RSCC的管理系统和应用程序中的数据只授予那些必须访问的个人, 在履行职责的过程中, 使用特定的信息. 数据管理员负责授予对信息的访问权限.
复制, 下载, FTP传输, 或以其他方式在计算机上复制PII数据, 网站, 软盘, CD / DVD, 磁带, USB设备, 或其他此类移动存储设备,除非获得助理副总裁的书面许可,否则不得用于授权人员备份以外的目的, 信息技术.
- 敏感信息的控制
在任何情况下,不应将敏感或机密信息转移到或存储在任何个人拥有的笔记本电脑上, 可移动媒体, 或者家用电脑. 而访问班纳是允许从个人拥有的电脑, 不得在该等设备上下载或存储PII数据.
学生可以访问管理系统,使用学校拥有的计算机设备中的敏感或机密信息, 但可能不会复制该信息并将其本地存储在设备上. 任何包含个人身份信息的文件都必须存储在网络上个人的U盘上.
不安全的笔记本电脑或移动存储设备将不会被用于传输或存储敏感信息. 是否需要将敏感或机密信息存储在笔记本电脑或可移动媒体上, 当无人值守时,设备必须进行加密和物理保护. 除非得到书面许可, 如上所述, 已被批准, 可移动媒体,如USB驱动器或光盘(e.g.(光碟或DVD-ROM)不应用于传送敏感或机密资料.
笔记本电脑用户有责任确保笔记本电脑的安全,尤其是在旅行时. (参见下面的笔记本电脑安全.)
- 个人资料的电子邮件转移
个人资料不应以电子方式传送(i.e.,从Outlook, BDMS等系统发送的电子邮件. 或通过任何其他电子传输方法),除非加密. 允许传送包含校园宽ID (CWID)的信息. (然而,人们认识到,即使是这种做法也在争论中,未来可能会发生变化.)
- 加密
学院所有并分配给教职员工的笔记本电脑将被配置为使用硬盘加密. 如果您认为您的笔记本电脑需要加密,请联系帮助台.
所使用的加密方法将取决于主机操作系统以及笔记本电脑硬件是否包含可信平台模块(TPM)。.
需要密码验证的加密技术允许主机操作系统加载,将符合强密码标准,参见GA-18-09, 强密码. 访问完整详细的RSCC策略GA-18-09 760.c4hubs.com/policies/. 在微软检查你的密码强度 创建强密码.
- 笔记本电脑的安全
校园办公室——当笔记本电脑长时间无人看管或过夜时,必须放在上锁的办公室里.
离开办公室——笔记本电脑被带出办公室, 笔记本电脑必须保持在主人的积极控制之下. 它应该在手边,在视线范围内,或者一直锁在一个安全的地方.
- 扫描
Roane State将按照支付卡行业数据安全标准(PCI-DSS)对其面向外部的防火墙进行年度漏洞扫描,并对其内部信用卡支付网络进行年度扫描。. 所有扫描将由经批准的扫描供应商或ASV执行. 任何差异将被纠正,并进行后续扫描,直到系统符合要求. 在网络发生任何重大变化后,也将执行扫描.
无线网络将被监控,以防出现非法接入点, 未经授权的WLAN卡或其他未经授权的设备连接到Roane State的网络.
- 培训
对于需要从管理系统访问PII的员工, 罗安州信息技术部将每年提供有关正确处理和保护个人身份信息的培训信息.
- 执行
任何被发现违反此政策的员工都可能受到纪律处分.
修订历史:2014年5月3日、2018年1月25日、2019年7月22日
TBR政策参考: 1.08.04.00
修订生效日期: 07/22/2019
修订批准人: 克里斯托弗·L. 惠利,总统
原生效日期: 02/01/2013
批准人: 克里斯托弗·L. 惠利,总统
办公室负责: 商务副总裁 & 金融
综述: 07/07/2019
©贝博体育
贝博体育不存在种族歧视, color, 宗教, 信条, 种族或民族出身, 性, 残疾, 年龄, 作为受保护的退伍军人或受联邦或州法律法规保护的任何其他阶层,以及田纳西州董事会在就业方面的政策, 贝博体育, 和活动. 查看完整的非歧视政策.
报告欺诈、浪费和滥用行为
1998年数字千年版权法案