希望国际大学(HIU)信息安全政策旨在作为一套全面的指导方针和政策,旨在保护大学维护的所有机密和受限数据,以协助HIU遵守有关保护个人信息和非公开个人信息的适用法律和法规, 在学校的档案和系统里也有.
HIU信息安全政策的实施是为了遵守2018年加州消费者隐私法(CCPA)。, 家庭教育权利和隐私法(FERPA) (20 U.S.C. § 1232g; 34 CFR Part 99), 以及《PP电子网站》(GLBA) 15 USC§6801(b)和6805(b)(2)中的金融客户信息安全条款。.
依照这些法律法规, HIU必须采取措施保护个人身份信息, 包括财务信息, 并向受影响的个人和适当的州机构提供有关大学受保护信息安全漏洞的通知.
HIU致力于保护其所维护的所有敏感数据的机密性, 包括在大学工作或学习的个人信息. HIU已经实施了保护此类信息的政策,并应与本文件末尾交叉引用的这些政策一起阅读.
遵守格莱姆-里奇-比利利法案(GLBA) HIU文件并报告我们的数据保护政策和程序. As part of GLBA, the 联邦贸易委员会 requires us to:
该计划适用于所有HIU员工, including faculty, staff, contract, and temporary workers, hired consultants, 实习生和PP电子网站雇员.
此程序所涵盖的数据包括存储的任何信息, accessed, 或者是由大学收集的. HIU信息安全并不打算取代任何现有的包含保护某些类型数据的更具体要求的政策.
Data: 数据是指由大学存储、访问或收集的信息.
Data custodian: 负责维护支持访问和安全保管的技术基础设施的一方, transport, and storage of the data, 并为其使用提供技术支持. 数据管理员还负责实现由数据所有者建立的业务规则.
Data owner: 负责数据内容和相关业务规则开发的一方, 包括授权访问数据.
Personal information: 根据CCPA的定义, 个人信息是识别身份的信息, relates to, 或者可能与你或你的家庭有关.1
非公开个人信息: 根据GLBA 15 USC§6809(4)(A)定义, nonpublic personal information is personally identifiable financial information (i) provided by a consumer to a financial institution; (ii) resulting from any transaction with the consumer or any service performed for the consumer; or (iii) otherwise obtained by the financial institution.2
本政策所涵盖的所有数据将分为三类之一, 根据需要的安全级别.
Confidential: 任何未经授权访问的数据, use, alteration, 或披露可能对HIU构成重大风险, its faculty, staff, or students. 机密数据应以最高的安全级别处理,以确保该数据的私密性, 以及防止任何未经授权的访问, use, alteration, or disclosure. 机密数据包括受联邦或州法律法规保护的数据.
Restricted: 所有其他个人和机构数据,这些数据的丢失可能损害个人隐私权或对财务产生负面影响, operations, or reputation of HIU. 任何未明确指定为机密的非公开数据应被视为受限数据.
以下大学资料被列为限制资料:
受限制的数据包括FERPA保护的数据,即PP电子网站教育记录. This data also includes, but is not limited to, donor information, 关于人类受试者的研究数据, 知识产权(专有研究), patents, etc.), 大学财务和投资记录, 员工工资信息, 或有关法律或纪律事宜的资料:
访问受限制的数据应限于由, or enrolled at HIU, 并且根据FERPA或其他适用法律或大学政策的规定,有合法理由访问:
Public: 不受分发限制的任何信息.
HIU的所有数据都分配给数据所有者. 资料拥有人须负责批准查阅该等资料的所有要求.
资讯科技人员作为数据保管人,集中保管存放在HIU的服务器和管理系统上的所有数据, 他们对这些数据的安全负责.
人力资源部将在员工离开HIU之前尽快通知IT员工其身份的改变或解雇. 状态的变化可能包括终止, leaves of absence, 职位职责发生重大变化, 调到其他部门, 或任何其他可能影响员工访问HIU数据的更改.
IT人员监督维护、更新和实现信息安全. 大学的信息技术主任全面负责信息安全.
所有访问大学数据的HIU人员都有责任维护上述所有敏感数据的隐私和完整性, 并且必须保护数据不被未经授权的使用, access, disclosure, or alteration. 所有可以访问大学数据的人员也需要访问, store, 并维护包含敏感数据的记录,以符合HIU信息安全.
保护大学机密资料, 制定了以下与获取有关的政策和程序, storage, transportation, 销毁记录:
对受限制数据的访问应该仅限于那些对数据有合法业务需求的人. 其他保障措施如下:
1http://oag.ca.gov/privacy/ccpa
2http://www.govinfo.gov /内容/ pkg / uscode - 2011 title15 / html / uscode - 2011 - title15 chap94 subchapi sec6809.htm