根据联邦贸易委员会的保障条例和 格雷姆-里奇-比利利法案(GLBA), 澳门威尼斯人平台官网大学(LU)创建了这个文档来总结我们的信息安全计划(ISP). 本文件描述了GLBA标准保护信息的目标(i)确保学生信息的安全性和保密性, (ii)防范对该等信息安全的任何预期威胁或危害, (iii)防止未经授权访问或使用这些信息,以免对任何学生或个人造成重大伤害或不便.
2021年12月9日,美国联邦贸易委员会(FTC)发布 最终的规定 (最终规则)修订保障客户资料标准(保障规则), 这是《澳门威尼斯人平台官网》(GLBA)要求保护消费者隐私和个人信息的重要组成部分. 保障措施规则的大部分变更将于2023年6月9日生效.
其他相关规则及澄清
为符合GLBA,“客户”的定义
16摄氏度的规定.F.R. 第314部分使用术语“客户”和“客户信息”.“为了机构或服务机构遵守《澳门威尼斯人平台官网》的目的, 客户信息是由于向学生(过去或现在)提供金融服务而获得的信息. 机构或服务机构提供金融服务时,他们, 除此之外, administer or aid in the administration of the Title IV programs; make institutional loans, including income share agreements; or certify or service a private education loan on behalf of a student.
GLBA保障规则中的要求
GLBA保护信息标准的目标是
- 确保学生信息的安全性和保密性.
- Protect against any anticipated threats or hazards to the security or integrity of such information; and
- 防止未经授权的访问或使用这些信息,可能对任何学生造成重大伤害或不便(16 C.F.R. 314.3(b)).
实现全球业务联盟的目标, 需要开发逻辑单元和服务, 实现, 并保持书面记录, 综合信息安全计划. 联邦贸易委员会的规定要求信息安全项目包含行政管理, 技术, 以及与机构或服务的规模和复杂程度相适应的物理保障措施, 他们活动的性质和范围, 以及任何学生信息的敏感性.
Scope
LU的书面信息安全计划(ISP)包括以下九个必需元素 《澳门威尼斯人平台官网》第16卷第314条.4.
要素1 - 《澳门威尼斯人平台官网》第16卷第314条.4(a)
LU已指定首席信息官(CIO)作为负责监督和实施LU的ISP的合格个人(QI).
要素2 - 《澳门威尼斯人平台官网》第16卷第314条.4(b)
陆计划, 作为ISP的一部分, 负责识别和评估外部和内部的安全风险, 保密, 以及可能导致未经授权披露的非公开财务信息的完整性, 滥用, 变更, 通过风险评估销毁或以其他方式泄露此类信息. 在实施ISP时, 安全评估小组制定和维持程序,以识别和评估机构运作各相关领域的风险, 包括:
要素3 - 《澳门威尼斯人平台官网》第16卷第314条.4(c)(1)至(8)
民政事务局会继续监察/提供下列各项服务:
- 对可访问数据的访问控制和用户限制.
- 与风险策略一致的数据、用户和系统管理.
- 通过外部网络传输和静止的客户信息的加密 .
- 为内部开发的访问或传输客户信息的软件和应用程序提供安全的开发实践.
- 实现多因素身份验证或相当等效的访问控制 .
- 定期和安全地处理客户信息和审查数据保留政策的程序 .
- 系统安全变更管理程序 .
- 用于监视和记录用户活动以及检测未授权访问的控件 .
元素4 - 《澳门威尼斯人平台官网》第16卷第314条.4(d)
卢科会定期测试和监察保障措施的主要控制措施的成效, 系统, 和程序. 这将通过年度渗透测试和每两年进行一次的脆弱性评估来完成.
元素5 - 《澳门威尼斯人平台官网》第16卷第314条.4(e)
本处只会聘用有能力的资讯保安专业人员,并向他们提供足够的培训,以处理相关的保安风险,同时跟上不断发展的资讯保安环境. 大学亦会为经风险评估确定的人员提供有关的资讯保安培训.
元素6 - 《澳门威尼斯人平台官网》第16卷第314条.4(f)
QI将确保大学只选择和保留那些能够为学生和其他第三方的非公开财务信息提供适当保护的服务提供商. 除了, QI与大学法律顾问一起制定和纳入标准, 适用于第三方服务提供商的合同保护, 要求这些提供者实施和维护适当的保障措施.
元素7 - 《澳门威尼斯人平台官网》第16卷第314条.4(g)
QI负责根据从测试中识别的任何风险评估和调整ISP, 监控, 和/或评估活动.
元素8 - 《澳门威尼斯人平台官网》第16卷第314条.4(h)
LU有一个定期更新和记录的事件响应计划,以解决:
- 事件响应计划的目标.
- 响应安全事件的内部流程.
- 明确角色、职责和决策权级别的定义.
- 外部和内部的沟通和信息共享.
- 识别对信息系统和相关控制中已识别的弱点进行补救的需求.
- Documentation and reporting regarding security events and related incident response activities; and
- 在安全事件发生后对事件响应计划进行必要的评估和修订 .
元素9 - 《澳门威尼斯人平台官网》第16卷第314条.4(i)
评估小组将至少每年向大学校董会提交一份书面报告. 该报告将涵盖ISP的总体状况及其合规情况. 报告亦会涵盖与互联网服务供应商有关的重要事项, 解决风险评估等问题, 风险管理和控制决策, 服务提供者安排, 测试结果, 安全事件或违规行为及管理层对此的回应, 以及对互联网服务提供商的更改建议.
最后修订日期:2023年5月