Introduction

希望国际大学(HIU)信息安全政策旨在作为一套全面的指导方针和政策，旨在保护大学维护的所有机密和受限数据，以协助HIU遵守有关保护个人信息和非公开个人信息的适用法律和法规, 在学校的档案和系统里也有.

Overview and Purpose

HIU信息安全政策的实施是为了遵守2018年加州消费者隐私法(CCPA)。, 家庭教育权利和隐私法(FERPA) (20 U.S.C. § 1232g; 34 CFR Part 99), 以及《PP电子网站》(GLBA) 15 USC§6801(b)和6805(b)(2)中的金融客户信息安全条款。.

依照这些法律法规, HIU必须采取措施保护个人身份信息, 包括财务信息, 并向受影响的个人和适当的州机构提供有关大学受保护信息安全漏洞的通知.

HIU致力于保护其所维护的所有敏感数据的机密性, 包括在大学工作或学习的个人信息. HIU已经实施了保护此类信息的政策，并应与本文件末尾交叉引用的这些政策一起阅读.

GLBA

遵守格莱姆-里奇-比利利法案(GLBA) HIU文件并报告我们的数据保护政策和程序. As part of GLBA, the 联邦贸易委员会 requires us to:

• 为HIU建立全面的信息安全计划, 并制订政策，以保障大学所保存的敏感资料, 遵守联邦和州法律法规.
• 根据数据的分类级别，建立员工保护数据的责任.
• 建立行政, technical, 并进行物理防护，确保敏感数据的安全.

Scope

该计划适用于所有HIU员工, including faculty, staff, contract, and temporary workers, hired consultants, 实习生和PP电子网站雇员.

此程序所涵盖的数据包括存储的任何信息, accessed, 或者是由大学收集的. HIU信息安全并不打算取代任何现有的包含保护某些类型数据的更具体要求的政策.

Definitions

Data: 数据是指由大学存储、访问或收集的信息.

Data custodian: 负责维护支持访问和安全保管的技术基础设施的一方, transport, and storage of the data, 并为其使用提供技术支持. 数据管理员还负责实现由数据所有者建立的业务规则.

Data owner: 负责数据内容和相关业务规则开发的一方, 包括授权访问数据.

Personal information: 根据CCPA的定义, 个人信息是识别身份的信息, relates to, 或者可能与你或你的家庭有关.¹

非公开个人信息: 根据GLBA 15 USC§6809(4)(A)定义, nonpublic personal information is personally identifiable financial information (i) provided by a consumer to a financial institution; (ii) resulting from any transaction with the consumer or any service performed for the consumer; or (iii) otherwise obtained by the financial institution.²

Data Classification

本政策所涵盖的所有数据将分为三类之一, 根据需要的安全级别.

Confidential: 任何未经授权访问的数据, use, alteration, 或披露可能对HIU构成重大风险, its faculty, staff, or students. 机密数据应以最高的安全级别处理，以确保该数据的私密性, 以及防止任何未经授权的访问, use, alteration, or disclosure. 机密数据包括受联邦或州法律法规保护的数据.

Restricted: 所有其他个人和机构数据，这些数据的丢失可能损害个人隐私权或对财务产生负面影响, operations, or reputation of HIU. 任何未明确指定为机密的非公开数据应被视为受限数据.

以下大学资料被列为限制资料:

• Social security number
• Bank account number
• Driver's license number
• 国家身份证号码
• Credit card number
• 受保护的健康信息(由HIPAA定义)

受限制的数据包括FERPA保护的数据，即PP电子网站教育记录. This data also includes, but is not limited to, donor information, 关于人类受试者的研究数据, 知识产权(专有研究), patents, etc.), 大学财务和投资记录, 员工工资信息, 或有关法律或纪律事宜的资料:

访问受限制的数据应限于由, or enrolled at HIU, 并且根据FERPA或其他适用法律或大学政策的规定，有合法理由访问:

Public: 不受分发限制的任何信息.

Policy

Responsibilities

HIU的所有数据都分配给数据所有者. 资料拥有人须负责批准查阅该等资料的所有要求.

资讯科技人员作为数据保管人，集中保管存放在HIU的服务器和管理系统上的所有数据, 他们对这些数据的安全负责.

人力资源部将在员工离开HIU之前尽快通知IT员工其身份的改变或解雇. 状态的变化可能包括终止, leaves of absence, 职位职责发生重大变化, 调到其他部门, 或任何其他可能影响员工访问HIU数据的更改.

IT人员监督维护、更新和实现信息安全. 大学的信息技术主任全面负责信息安全.

所有访问大学数据的HIU人员都有责任维护上述所有敏感数据的隐私和完整性, 并且必须保护数据不被未经授权的使用, access, disclosure, or alteration. 所有可以访问大学数据的人员也需要访问, store, 并维护包含敏感数据的记录，以符合HIU信息安全.

保护机密资料

保护大学机密资料, 制定了以下与获取有关的政策和程序, storage, transportation, 销毁记录:

• 只有在正常执行职务过程中需要查阅机密资料的人员才可查阅这些资料, 包括物理和电子记录.
• To the extent possible, 所有包含机密资料的电子纪录，只应存放在校园内安全的网络储存设施内，切勿存放在本地电脑或不安全的伺服器内.
• 机密数据不能存储在HIU不支持的基于云的存储解决方案上.
• 机密资料不应储存在手提电脑或其他流动装置(例如.g.、闪存盘、智能手机、外置硬盘). 如有必要以电子方式传送机密资料, 必须对包含数据的设备进行加密.
• 包含机密数据的纸质记录在不使用时必须保存在上锁的文件或其他安全区域.
• 终止雇佣或终止与HIU的关系, 电子和物理访问文件, 包含机密数据的系统或其他网络资源立即被终止.
• 在任何情况下都不是文件, 包含机密数据的电子设备或数字媒体将无人看管地放在任何不安全的地方.
• 正当需要向HIU以外的第三方提供包含机密数据的记录时, 电子记录必须有密码保护和/或加密, 纸质记录应当标明“保密”，并密封.
• 一旦商业用途不再需要包含机密数据的记录，就必须销毁, 除非州或联邦法规要求在规定期限内保存这些记录.
• 包含机密数据的纸质和电子记录必须以防止数据恢复的方式销毁.

保障受限制资料

对受限制数据的访问应该仅限于那些对数据有合法业务需求的人. 其他保障措施如下:

• 受限制的数据可以存储在不受HIU支持的基于云的存储解决方案上，但前提是这些解决方案符合有关保护此类数据的任何法律的要求(例如.g., FERPA).
• 包含受限数据的文件不应公开发布.

---

¹http://oag.ca.gov/privacy/ccpa

²http://www.govinfo.gov /内容/ pkg / uscode - 2011 title15 / html / uscode - 2011 - title15 chap94 subchapi sec6809.htm