Richtlinie für Informationstechnologiedienste

 

ZWECK

Diese Richtlinie enthält die Erwartungen und Leitlinien des Hudson County Community College („College“) für alle, die die Informationstechnologiedienste und -ressourcen („ITS-Ressourcen“) des Colleges nutzen und verwalten.

Das College stellt ITS-Ressourcen zur Verfügung, um die Bildungs-, Dienstleistungs-, Geschäfts- und Studienerfolgsziele des Colleges zu fördern. Jeder Zugriff auf oder jede Nutzung der ITS-Ressourcen des Colleges, die diese Zwecke stört, unterbricht oder mit ihnen in Konflikt steht, wird als Verstoß gegen diese Richtlinie angesehen. Dies kann Konsequenzen nach sich ziehen, einschließlich der Aufhebung des ITS-Zugriffs.

POLITIK

Diese Richtlinie gilt für alle Mitglieder der College-Gemeinschaft, einschließlich Lehrkräfte, Studenten, Administratoren, Mitarbeiter, Alumni, autorisierte Gäste und unabhängige Auftragnehmer, die die ITS-Ressourcen des Colleges lokal oder aus der Ferne nutzen, darauf zugreifen oder sie anderweitig einsetzen, unabhängig davon, ob sie individuell kontrolliert werden. gemeinsam genutzt, eigenständig oder vernetzt.

Der Vorstand überträgt dem Präsidenten die Verantwortung, Verfahren und Richtlinien für die Umsetzung dieser Richtlinie zu entwickeln. Für die Umsetzung der Richtlinie ist das Amt für Informationstechnologiedienste und Finanzen verantwortlich.

Genehmigt: Juni 2021
Genehmigt durch: Kuratorium
Kategorie: Informationstechnologiedienste
Geplante Überprüfung: Juni 2024
Zuständige Stelle(n): Büro für Informationstechnologiedienste und Finanzen

 

Verfahren

Verfahren zur akzeptablen Nutzung von Informationstechnologiesystemen

Einleitung

Mit diesem Verfahren soll sichergestellt werden, dass die Informationstechnologiesysteme (ITS) der Hochschule zur Förderung der Mission der Hochschule genutzt werden. Dieses Verfahren entspricht der vom HCCC-Kuratorium genehmigten HCCC Information Technology Services Policy.

Anwendbarkeit

Dieses Verfahren gilt für alle Einzelnutzer, die über eine Einrichtung des Colleges auf Computer-, Netzwerk- und Informationsressourcen zugreifen und diese verwenden. Zu diesen Nutzern zählen alle Mitarbeiter, Lehrkräfte, Administratoren und andere Personen des Hudson County Community College, die für die Arbeit am College eingestellt oder beauftragt wurden.

Dieses Verfahren gilt für alle Informationstechnologiesysteme der Hochschule, einschließlich Computer-, Netzwerk- und anderer Informationstechnologieressourcen, die Eigentum der Hochschule sind oder von ihr betrieben, von ihr beschafft oder unter Vertrag genommen werden. Zu diesen Ressourcen gehören die Computer- und Netzwerksysteme der Hochschule (einschließlich derjenigen, die mit der Telekommunikationsinfrastruktur der Hochschule, den hochschulweiten Backbones, lokalen Netzwerken und dem Internet verbunden sind), öffentlich zugängliche Websites, gemeinsam genutzte Computersysteme, Desktop-Computer, mobile Geräte und anderes Computerhardware, Software, im Netzwerk gespeicherte oder über das Netzwerk zugängliche Datenbanken, ITS-/Unternehmensanwendungseinrichtungen sowie Kommunikationssysteme und -dienste.

Verantwortlichkeit

Der Chief Information Officer (CIO) und die Direktoren/Manager von ITS/Enterprise Applications müssen dieses Verfahren umsetzen. Benutzerberichte über Missbrauchsverdacht und andere Beschwerden sind an den CIO zu richten. Der CIO meldet den Vorfall dem Vizepräsidenten für Wirtschaft und Finanzen/CFO. Die Einzelheiten des Verfahrens werden im Folgenden unter „Verstöße und Sanktionen“ erläutert.

Datenschutz

Das College legt großen Wert auf die Privatsphäre und ist sich ihrer entscheidenden Bedeutung im akademischen Umfeld bewusst. Unter bestimmten Umständen, einschließlich, aber nicht beschränkt auf technische Probleme oder Ausfälle, Anfragen von Strafverfolgungsbehörden oder behördliche Vorschriften, kann das College entscheiden, dass andere Interessen den Wert der Datenschutzerwartungen eines Benutzers überwiegen. Nur dann greift die Hochschule ohne Zustimmung des Nutzers auf relevante IT-Systeme zu. Das College verpflichtet sich, die Privatsphäre der Nutzer zu schützen, solange dadurch die institutionellen Ressourcen nicht gefährdet werden. Nachfolgend werden die Umstände erörtert, unter denen das College möglicherweise Zugang erhalten muss. Es wurden Verfahrensgarantien festgelegt, um sicherzustellen, dass der Zugriff nur dann erfolgt, wenn dies angemessen ist.

Bedingungen – Gemäß den Gesetzen des Bundesstaates und des Bundes kann das College unter folgenden Umständen auf alle Aspekte der IT-Systeme zugreifen, ohne die Zustimmung des Benutzers einzuholen:

      1. Wenn es erforderlich ist, um Systeme oder Sicherheitslücken und -probleme zu identifizieren oder zu diagnostizieren oder auf andere Weise die Integrität der IT-Systeme der Hochschule zu wahren;
      2. Wenn dies durch Bundes-, Landes- oder lokale Gesetze oder Verwaltungsvorschriften erforderlich ist; 
      3. Wenn begründeter Verdacht besteht, dass ein Gesetzesverstoß oder ein erheblicher Verstoß gegen die Richtlinien oder Verfahren des College stattgefunden haben könnte, und durch Zugang, Inspektion oder Überwachung Beweise für das Fehlverhalten zutage treten könnten;
      4. Wenn ein solcher Zugriff auf IT-/Unternehmensanwendungssysteme erforderlich ist, um wesentliche Geschäftsfunktionen des College auszuführen; und
      5. Wenn dies zum Schutz der öffentlichen Gesundheit und Sicherheit erforderlich ist.

Gemäß dem New Jersey Open Public Records Act behält sich das College das Recht vor, auf Daten zuzugreifen und diese offenzulegen. Diese Offenlegung kann Nachrichten, Daten, Dateien und E-Mail-Backups oder -Archive umfassen. Die Offenlegung gegenüber Strafverfolgungsbehörden und anderen Stellen erfolgt im gesetzlich vorgeschriebenen Rahmen, um auf rechtliche Verfahren reagieren und seinen Verpflichtungen gegenüber Dritten nachkommen zu können. Sogar gelöschte E-Mails können im Rahmen eines Rechtsstreits durch Nachrichtenarchive, Sicherungsbänder und die Wiederherstellung gelöschter Nachrichten rechtlich aufgedeckt werden.

Prozess – Das College greift ohne Zustimmung des Benutzers nur mit Zustimmung des CIO und des Vizepräsidenten für Wirtschaft und Finanzen/CFO auf Daten zu. Dieser Prozess wird nur umgangen, wenn ein Notfall-Datenzugriff erforderlich ist, um die Integrität der Einrichtungen sowie die öffentliche Gesundheit und Sicherheit zu wahren. Das College protokolliert über den CIO alle Zugriffe ohne Zustimmung. Ein Benutzer wird über den Zugriff der Hochschule auf relevante IT-Systeme ohne Zustimmung informiert. Abhängig von den Umständen erfolgt eine solche Benachrichtigung nach Ermessen des Kollegiums vor, während oder nach dem Zugriff.

Allgemeine Grundsätze

  1. Der Zugang zur Informationstechnologie ist für die Mission des Colleges, seinen Studierenden Bildungsdienstleistungen von höchster Qualität anzubieten, von entscheidender Bedeutung.
  2. Das College besitzt seine eigenen Computer-, Netzwerk- und anderen Kommunikationssysteme.
  3. Das College verfügt außerdem über verschiedene lizenzbezogene Rechte an der Software und Informationen, die sich auf diesen Computern und Netzwerken befinden oder dort entwickelt werden. Das College trägt die Verantwortung für die Sicherheit, Integrität, Wartung und Vertraulichkeit seiner Kommunikationssysteme.
  4. Die IT-Systeme des Colleges dienen dazu, Mitarbeiter, Lehrkräfte, Administratoren, Berater und Studenten bei der Erfüllung der Mission des Colleges zu unterstützen. Zu diesem Zweck ermutigt und fördert das College die Nutzung dieser Ressourcen durch die College-Gemeinschaft für die vorgesehenen Zwecke. Der Zugriff auf diese Ressourcen und ihre Nutzung außerhalb der Mission des Colleges unterliegen Regelungen und Beschränkungen, um sicherzustellen, dass sie die legitime Arbeit nicht beeinträchtigen. Der Zugriff auf und die Nutzung von Ressourcen und Diensten, die die Mission und die Ziele des Colleges beeinträchtigen, sind verboten.
  5. Wenn die Nachfrage nach Informationstechnologieressourcen die verfügbare Kapazität übersteigt, legt ITS Prioritäten für die Zuweisung der Ressourcen fest. Der ITS räumt Aktivitäten, die für die Mission des Kollegiums wesentlich sind, eine höhere Priorität ein. In Zusammenarbeit mit dem Chief Information Officer empfehlen die Vizepräsidenten dem Präsidenten diese Prioritäten.
  6. Das College ist befugt, den Zugriff von Personen zu kontrollieren oder zu verweigern, die gegen dieses Verfahren verstoßen. Die Gefährdung der Rechte anderer Benutzer, der Verfügbarkeit und Integrität der Systeme und Informationen stellt einen Verstoß gegen dieses Verfahren dar. Zu den Folgen eines Verfahrensverstoßes gehören die Deaktivierung von Konten, Zugriffscodes oder Sicherheitsfreigaben, das Stoppen von Prozessen, das Löschen betroffener Dateien und die Sperrung des Zugriffs auf Informationstechnologieressourcen.

Rechte der Benutzer

  1. Datenschutz und Vertraulichkeit: Wie in Abschnitt IV (oben) ausführlicher beschrieben, respektiert das College grundsätzlich die Rechte der Benutzer auf Datenschutz und Vertraulichkeit. Aufgrund ihrer technologischen Natur sind elektronische Kommunikation, insbesondere E-Mails über das Internet, jedoch möglicherweise nicht vor unbefugtem Zugriff, Einsicht oder Verletzung geschützt. Obwohl das College Technologien zum Schutz elektronischer Nachrichten einsetzt, kann die Vertraulichkeit von E-Mails und anderen elektronischen Dokumenten nicht immer gewährleistet werden. Daher ist es ein gutes Urteilsvermögen, elektronische Dokumente zu erstellen, die ohne Peinlichkeit oder Schaden öffentlich gemacht werden können.
  2. Sicherheit: Die Nutzung der IT-Systeme des Colleges durch Lehrpersonal, Mitarbeiter oder Administratoren des Colleges zur Übermittlung von bedrohlichen, belästigenden oder beleidigenden Nachrichten (oder zur Anzeige beleidigender Bilder oder Materialien) stellt einen Verstoß gegen die College-Verfahren dar und kann zu schweren Strafen führen. Das College-Personal sollte über das Netzwerk empfangene bedrohliche, belästigende oder beleidigende Nachrichten so schnell wie möglich dem CIO melden.

Verantwortlichkeiten der Benutzer

  1. Personen mit Zugriff auf die Computer-, Netzwerk- und Informationsressourcen des College sind dafür verantwortlich, diese professionell, ethisch und legal sowie im Einklang mit allen geltenden College-Richtlinien zu nutzen. Benutzer müssen angemessene und notwendige Maßnahmen ergreifen, um die Betriebsintegrität und Zugänglichkeit der Systeme des College zu gewährleisten. Benutzer sollten eine akademische und Arbeitsumgebung aufrechterhalten, die der effizienten und produktiven Erfüllung der Mission des College förderlich ist. Zu den Verantwortlichkeiten der Benutzer gehören insbesondere:
      1. Respektierung der Rechte anderer, einschließlich ihrer Rechte auf geistiges Eigentum, Privatsphäre und Freiheit vor Belästigung;
      2. Wahrung der Vertraulichkeit sensibler College-Informationen und der Privatsphäre von Studenteninformationen gemäß FERPA und den Richtlinien und Verfahren des Colleges;
      3. Verwendung von Systemen und Ressourcen, um den normalen täglichen Betrieb des Colleges nicht zu beeinträchtigen oder zu stören;
      4. Schutz der Sicherheit und Integrität der auf den IT-/Unternehmensanwendungssystemen des Colleges gespeicherten Informationen;
      5. Kenntnis und Befolgung der College- und abteilungsspezifischen Richtlinien und Verfahren für den Zugriff auf und die Verwendung der College-IT-Systeme und der Informationen auf diesen Systemen.

Spezifische Verbote zur Netzwerknutzung

  1. Einzelpersonen dürfen keine Passwörter oder Anmelde-IDs weitergeben oder anderen auf andere Weise Zugriff auf Systeme gewähren, für die sie nicht die verantwortliche Person für die Daten oder das System sind. Benutzer sind für alle Aktivitäten verantwortlich, die mit ihren Computerkonten und ihrer Passwortsicherheit durchgeführt werden. Nur autorisierte Personen dürfen die IT-/Unternehmensanwendungssysteme des Colleges verwenden.
  2. Einzelpersonen dürfen nicht das Netzwerkkonto einer anderen Person verwenden oder versuchen, Passwörter oder Zugangscodes für das Netzwerkkonto einer anderen Person zu erlangen, um Nachrichten zu senden oder zu empfangen.
  3. Einzelpersonen müssen sich und ihre Zugehörigkeit in der elektronischen Kommunikation genau und angemessen identifizieren. Sie dürfen die Identität des ihnen zugewiesenen Netzwerkkontos nicht verschleiern oder sich als jemand anderes ausgeben.
  4. Einzelpersonen dürfen die Systeme des Colleges nicht nutzen, um andere zu belästigen, einzuschüchtern, zu bedrohen oder zu beleidigen. sich in die Arbeit oder Ausbildung eines anderen einmischen; um eine einschüchternde, feindselige oder beleidigende Arbeits- oder Lernumgebung zu schaffen; oder um illegale oder unethische Aktivitäten durchzuführen, einschließlich Plagiaten und Eingriffen in die Privatsphäre.
  5. Einzelpersonen ist es nicht gestattet, die Systeme des College zu nutzen, um unbefugten Zugriff auf Remotenetzwerke oder Computersysteme zu erlangen oder dies zu versuchen.
  6. Einzelpersonen dürfen den normalen Betrieb der Computer, Workstations, Terminals, Peripheriegeräte oder Netzwerke der Hochschule nicht absichtlich stören.
  7. Einzelpersonen dürfen auf keinem Computersystem des Colleges Programme ausführen oder installieren, die die Daten und Systeme des Colleges beschädigen könnten (z. B. Computerviren, persönliche Programme). Benutzer dürfen das Netzwerk des Colleges nicht verwenden, um externe Systeme zu stören. Wenn ein Benutzer vermutet, dass ein Programm, das er installieren oder verwenden möchte, einen solchen Effekt haben könnte, muss er sich zunächst an ITS/Enterprise Applications wenden.
  8. Einzelpersonen dürfen Authentifizierungssysteme, Datenschutzmechanismen oder andere Sicherheitsvorkehrungen nicht umgehen oder vermeiden.
  9. Einzelpersonen dürfen keine geltenden Urheberrechtsgesetze und -lizenzen verletzen und müssen andere Rechte an geistigem Eigentum respektieren. Im Internet zugängliche Informationen und Software unterliegen dem Urheberrecht oder weiteren Schutzrechten des geistigen Eigentums. Die Richtlinien, Verfahren und Gesetze der Hochschule verbieten das unbefugte Kopieren von Software, die nicht öffentlich zugänglich gemacht und als „Freeware“ verbreitet wurde. Daher darf nichts ohne ausdrückliche Genehmigung des Eigentümers des Materials aus dem Internet heruntergeladen oder kopiert werden. Benutzer müssen die Anforderungen oder Einschränkungen des Materialeigentümers an das Material beachten. Die Nutzung der Software auf mehr als der lizenzierten Anzahl von Computern sowie die unbefugte Installation nicht lizenzierter Software sind ebenfalls untersagt.
    „Shareware“-Benutzer müssen sich an die Anforderungen der Shareware-Vereinbarung halten.
  10. Aktivitäten, die Computerressourcen verschwenden oder unfair monopolisieren und die Mission des Colleges nicht fördern, sind verboten. Beispiele für solche Aktivitäten sind unautorisierte Massen-E-Mails; elektronische Kettenbriefe, Junk-Mail und andere Arten von Rundfunknachrichten; unnötige Mehrfachprozesse, Ausgaben oder Datenverkehr; Überschreitung der Platzbeschränkungen im Netzwerkverzeichnis; Spielen, „Surfen“ im Internet zu Freizeitzwecken oder andere nicht arbeitsbezogene Anwendungen während der Geschäftszeiten; und übermäßiges Drucken.
  11. Das unbefugte Lesen, Kopieren, Ändern oder Löschen von Programmen oder Dateien, die einer anderen Person oder dem College gehören, ist verboten.
  12. Einzelpersonen dürfen die Computerressourcen des Colleges nicht für kommerzielle Zwecke oder zur persönlichen finanziellen Bereicherung nutzen.
  13. Die Nutzung der IT-Systeme der Hochschule, die gegen lokale, staatliche oder nationale Gesetze oder Vorschriften oder Richtlinien, Verhaltensstandards oder Richtlinien der Hochschule verstößt, ist verboten.
  14. E-Mail-Kommunikation:
      1. Das E-Mail-System der Hochschule dient dazu, die Arbeit der Hochschule zu unterstützen, und die E-Mail-Nutzung muss im Zusammenhang mit Hochschulgeschäften stehen. Allerdings ist auch eine gelegentliche persönliche, nichtkommerzielle Nutzung ohne direkte Kosten für das College, die nicht die legitimen Geschäfte des Colleges beeinträchtigt, gestattet.
      2. Elektronische Kommunikation, deren Bedeutung, Übertragung oder Verbreitung rechtswidrig, unethisch, betrügerisch, verleumderisch, belästigend oder unverantwortlich ist, ist verboten. Hochschul-E-Mail-Systeme dürfen nicht für die Übermittlung von Inhalten verwendet werden, die als unangemessen, beleidigend oder respektlos gegenüber anderen angesehen werden könnten.
      3. Einzelpersonen sollten bei der gesamten elektronischen Kommunikation angemessene professionelle Standards der Höflichkeit und des Anstands einhalten.
      4. Die gesamte E-Mail-Korrespondenz im Zusammenhang mit College-Geschäften (einschließlich derjenigen, die an Studenten und Studieninteressierte gesendet wird) sollte mit einem schlichten weißen Hintergrund gesendet werden und kein dekoratives Briefpapier verwenden.
      5. An die College-Community gerichtete Rundmails beziehen sich auf Richtlinien und Verfahren des Colleges, Neuigkeiten des Colleges, vom College gesponserte Veranstaltungen oder Dinge, die die College-Community betreffen. Verkaufsartikel, Spendenanfragen und andere Angelegenheiten, die nichts mit dem College zu tun haben, sind verboten. Einzelpersonen dürfen keine E-Mails mit Anfragen zu dieser Art von Informationen über die Mailinglisten des Colleges senden.

World Wide Web

  1. Die Website des Hudson County Community College ist eine offizielle Veröffentlichung des Colleges. Alle auf den Webseiten enthaltenen Informationen müssen korrekt sein und die offiziellen Richtlinien und Verfahren der Hochschule widerspiegeln.
  2. Die offiziellen College-Webseiten entsprechen denselben Standards wie alle gedruckten College-Publikationen. Die letztendliche Verantwortung für den Inhalt und das Design jeder Seite liegt beim CIO, dem Direktor für Marketing und Hochschulbeziehungen, dem Web Services Manager und dem jeweiligen Vizepräsidenten oder seinem Beauftragten.
  3. Der Web Services Manager und das College-Personal, das für jede Abteilung oder Abteilung verantwortlich ist, überprüfen regelmäßig die Aktualität und Genauigkeit der offiziellen Webseiten des Hudson County Community College. Die einzelnen Bereiche sind dafür verantwortlich, etwaige Überarbeitungen und Aktualisierungen dem Web Services Manager mitzuteilen, der sie prüft und für die Veröffentlichung sorgt.

Nichteinhaltung und Sanktionen

Die Nichteinhaltung dieser Vorgehensweise kann zur Verweigerung oder zum Entzug der Zugriffsrechte auf die elektronischen Systeme des Colleges, zu Disziplinarmaßnahmen gemäß den geltenden Richtlinien und Verfahren des Colleges, zu zivilrechtlicher Haftung und Rechtsstreitigkeiten sowie zu einer strafrechtlichen Verfolgung gemäß den entsprechenden staatlichen, bundesstaatlichen und örtlichen Gesetzen führen.

Das Verfahren für eine Untersuchung mutmaßlicher Missbräuche und Nichteinhaltung dieses Verfahrens ist wie folgt:

    1. Melden Sie vermuteten Missbrauch dem CIO.
    2. Mit Zustimmung des Vizepräsidenten für Wirtschaft und Finanzen/CFO untersucht der CIO den Bericht.
    3. Der CIO muss jeden entdeckten Missbrauch dem zuständigen Bereichsvizepräsidenten melden, der angemessene Disziplinarmaßnahmen festlegen wird.

Verfahren für Netzwerk-, E-Mail- und Internetkonten

Für Konten berechtigt sind:

    1. Alle festangestellten Vollzeitmitarbeiter des Hudson County Community College.
    2. Alle Lehrkräfte und sonstigen Berater, die vom College durch Einverständniserklärungen, Absichtserklärungen oder Verträge beauftragt werden.
    3. Alle Mitglieder des Kuratoriums.
    4. Teilzeitmitarbeiter des Hudson County Community College, die im Zusammenhang mit ihrer Arbeit am College nachweislich über ITS/Enterprise Applications verfügbare Computerressourcen benötigen (außer dem allgemeinen Internetzugang), haben Anspruch auf temporäre Konten.
    5. Mitarbeiter angeschlossener Bildungseinrichtungen, die Beziehungen zum Hudson County Community College unterhalten und einen nachweislichen Bedarf an Computerressourcen für ITS/Unternehmensanwendungen (außer allgemeinem Internetzugang) haben, haben Anspruch auf temporäre Konten.
    6. Angeschlossene Organisationen mit einem akademischen Auftrag, deren Aktivitäten im Zusammenhang mit dem College Rechenressourcen erfordern, die das angeschlossene Unternehmen nicht angemessen selbst bereitstellen kann, haben Anspruch auf temporäre Konten.

ITS entfernt Konten, wenn:

    1.  Der Kontoinhaber erfüllt die Berechtigungsvoraussetzungen nicht mehr.
    2. Das Konto ist vorübergehend und das Ablaufdatum verstreicht ohne Verlängerung.
    3. Der Kontoinhaber hat 18 Monate in Folge nicht auf das Konto zugegriffen.

Passwörter

    1. Konten werden mit einem vorab zugewiesenen Passwort erstellt, das Kontoinhaber bei der ersten Anmeldung ändern müssen und im Einklang mit den College-Verfahren stehen.
    2. Die Weitergabe oder Offenlegung von Passwörtern ist strengstens untersagt.

E-Mail-Verfahren des Hudson County Community College

Personen mit Zugang zu den IT-Systemen der Hochschule sind dafür verantwortlich, diese professionell, ethisch und rechtlich zu nutzen und die geltenden Richtlinien und Verfahren der Hochschule zu befolgen. Benutzer sollten ein akademisches und Arbeitsumfeld aufrechterhalten, das einer effizienten und produktiven Erfüllung der Mission des Colleges förderlich ist.

Elektronische Kommunikation, deren Bedeutung, Übertragung oder Verbreitung illegal, unethisch, betrügerisch, verleumderisch, belästigend oder unverantwortlich ist oder gegen die Richtlinien oder Verfahren der Hochschule verstößt, ist verboten. Elektronische Kommunikation sollte nichts enthalten, was nicht an einer Pinnwand veröffentlicht, von unbeabsichtigten Zuschauern gesehen oder in einer Publikation der Hochschule erscheinen könnte. Material, das als unangemessen, beleidigend oder respektlos gegenüber anderen angesehen werden könnte, sollte nicht als elektronische Kommunikation über die Einrichtungen der Hochschule gesendet oder empfangen werden. Der CIO wird die Durchsetzung dieses Verfahrens überwachen.

A. Als Verstöße gegen dieses E-Mail-Verfahren gelten die folgenden Maßnahmen:

      1. Versenden nicht autorisierter Massen-E-Mail-Nachrichten („Junk-Mail“ oder „Spam“).
      2. Nutzung von E-Mails zur Belästigung, sei es durch Sprache, Häufigkeit, Inhalt oder Größe der Nachrichten.
      3. Weiterleiten oder anderweitiges Verbreiten von Kettenbriefen und Pyramidensystemen, unabhängig davon, ob der Empfänger solche Mailings erhalten möchte oder nicht.
      4. Bösartige E-Mails, wie etwa „Mail-Bombing“ oder die Überflutung der Site eines Benutzers mit sehr großen oder zahlreichen E-Mail-Paketen.
      5. Fälschung anderer Absenderinformationen als kontoname@hccc.edu oder einer anderen vorab genehmigten Header-Adresse.
      6. Versenden von E-Mails zu kommerziellen Zwecken oder zur persönlichen finanziellen Bereicherung.

Das College hat das Recht, den Zugriff auf Konten zu sperren, bei denen gegen dieses Verfahren verstoßen wurde.

B. E-Mail-Regeln und -Kontrollen:

      1. Das College archiviert keine E-Mails.
      2. Das College filtert E-Mails nach Spam und schädlichen Inhalten.
      3. Das College blockiert E-Mail-Konten, die Spam und schädliche Inhalte versenden.

Vom Kabinett genehmigt: Juli 2021
Zugehörige Vorstandsrichtlinie: Informationstechnologiedienste

 

Verfahren für Computer-Lebenszyklen

Einleitung

Ziel dieses Verfahrens ist es, Stellen Sie sicher, dass Sie Zugriff auf die aktuelle Computertechnologie haben, die erforderlich ist, um den Erfolg der Studenten zu fördern und die Arbeitspflichten der Mitarbeiter zu erfüllen. Dieses Verfahren ermöglicht dem Office of Information Technology Services (ITS) den planmäßigen Austausch von Computern für die Nutzung durch Mitarbeiter, in Klassenzimmern und Laboren. 

Sinn

Der Zweck dieses Verfahrens besteht darin, die Parameter und den Prozess für den Austausch von Personalcomputern festzulegen. Von diesem Verfahren sind Workstations und Terminals für spezielle Zwecke zur Verwendung mit Virtual Desktop Infrastructure (VDI) ausgeschlossen. 

Geltungsbereich

Dieses Verfahren gilt für Personalcomputer, die von Vollzeitdozenten, Vollzeitmitarbeitern, Laboren und Klassenzimmern verwendet werden. Computer, die im Rahmen von Zuschüssen oder für eine spezielle Nutzung gekauft wurden, müssen gemäß den Parametern ihrer Zuschüsse und ihres Zwecks gesondert behandelt werden. Diese Richtlinie gilt nicht für Peripheriegeräte, Bürotelefone, Mobiltelefone, Drucker, Scanner, Audio-/Videogeräte, Server oder andere IT-bezogene Geräte. Diese Geräte werden von ITS je nach Bedarf, Zustand und Budgetressourcen auf der Grundlage ihrer Analyse, Beurteilung und Supportverträge ersetzt. 

Hardware-Plattformen 

Jedes Jahr legt das College Standardspezifikationen für Desktop- und Laptop-Computer auf der Grundlage der Aufgabenstellung fest, um Kosten, Wartung und Supporteffizienz einzudämmen. ITS hat die Ausrüstungsstandards entwickelt, vom Technologieausschuss des All College Council überprüft und vom Chief Information Officer und dem Vizepräsidenten für Finanzen und Wirtschaft/Chief Financial Officer genehmigt. Da ITS ein Gerät pro Mitarbeiter unterstützt, wird den Benutzern ein Laptop und eine Dockingstation anstelle eines Desktop-Computers zugewiesen. Desktop-Computer werden in Bereichen zur Verfügung gestellt, in denen sie gemeinsam genutzt werden, z. B. Empfangsbereiche, Klassenzimmer, Labore und Neben- oder Arbeitsarbeitsbereiche.

Ablauf

    1. Personalcomputer werden während der vorgesehenen Betriebszeit von ITS gewartet und unterstützt. Die aktuelle Nutzungsdauer für HCCC-Personalcomputer beträgt fünf Jahre.
    2. Jedes Jahr wird ITS einen Teil der Personalcomputer auf der Inventarliste ersetzen. ITS wird im Sommer und Herbst Personalcomputer für Lehrkräfte und Mitarbeiter bereitstellen. Außerdem wird ITS jedes Jahr einen Teil der Klassenzimmer-, Labor- und Open-Access-Computer erneuern. Geschätzte Ersatzbudgets werden bei den jährlichen Budgetanhörungen vorgestellt. ITS erkennt an, dass einige Lehrkräfte, Mitarbeiter und Studierende unterschiedliche Computeranforderungen haben. Akademische Labore mit Spezialcomputern werden nach Möglichkeit in das Ersatzbudget integriert. Lehrkräfte und Mitarbeiter, die eine nicht standardmäßige Maschine benötigen, die die Kosten eines Standard-PCs übersteigt, müssen eine Genehmigung des Büros/der Schule einholen. Ihr Büro/Ihre Schule wird die Preisdifferenz finanzieren.
    3. Teilzeitdozenten und -mitarbeiter, die einen Laptop ausleihen möchten, müssen ein Antragsformular ausfüllen, das der Genehmigung des Managers bedarf. Nach Genehmigung durch den Manager stellt ITS einen Laptop zur Verfügung.
    4. ITS wird mit dem Benutzer des Computers zusammenarbeiten, um die Mitarbeiterdaten auf den Ersatzcomputer zu migrieren. ITS wird den älteren Personal Computer entfernen. ITS bewahrt die Festplatte des alten Computers zwei Wochen bis 90 Tage lang auf, um sicherzustellen, dass während der Bereitstellung keine Daten verloren gehen.

      1. Rentnern wird möglicherweise die Möglichkeit eingeräumt, ihren alten Computer zu einem von ITS festgelegten Marktwert zu kaufen. Diese Käufe erfolgen „wie besehen“ und ITS entfernt vor der Übertragung des Eigentums sämtliche HCCC-Software und -Daten. Die Mitarbeiter stellen einen Scheck an das Hudson County Community College aus, der eingezahlt wird auf dem Konto der Hochschule.
    5. In einigen Fällen können Computer nach Ermessen von ITS wiederverwendet oder an anderen Standorten auf dem Campus eingesetzt werden.
    6. Wenn Personalcomputer bewegt werden müssen, muss sich das Büro/die Schule an den ITS wenden. Der ITS ist für eine genaue Bestandsaufnahme verantwortlich. Benutzer sollten persönliche Computer nicht selbst umstellen. Computer dürfen nicht ohne Benachrichtigung des ITS und Einholung der Genehmigung neu zugewiesen oder verteilt werden.
    7. Wenn ein Mitarbeiter mit einem PC das College verlässt, wird ITS vom Büro/der Schule und der Personalabteilung benachrichtigt. In den meisten Fällen wird dieser Computer an den nächsten Mitarbeiter weitergegeben, der in dieser Position eingestellt wird.
    8. Wenn ein Personalcomputer kaputt geht und nicht repariert werden kann, ersetzt ITS ihn durch ein neues Gerät. Dieser Computer wird dann zum Personalcomputer des Mitarbeiters. 

Vom Kabinett genehmigt: April 2023
Zugehörige Vorstandsrichtlinie: Informationstechnologiedienste

 

Vorgehensweise bei der Ereignisverwaltung

Einleitung

Dieses Verfahren soll sicherstellen, dass die Veranstaltungen im gesamten College erfolgreich verlaufen und die Mission des Colleges weiter voranbringen. Dieses Verfahren entspricht der vom Kuratorium genehmigten Richtlinie für Informationstechnologiedienste des HCCC.

Anwendbarkeit

Dieses Verfahren gilt für alle Lehrkräfte und Mitarbeiter des College, die College-Veranstaltungen durchführen.

Verantwortlichkeit

Der stellvertretende Vizepräsident für Information Technology Services und Chief Information Officer wird dieses Verfahren in Abstimmung mit dem Geschäftsführer für Einrichtungen, Betrieb und Technik, dem Geschäftsführer für öffentliche Sicherheit und Ordnung sowie anderen Hochschulleitern umsetzen.

Ablauf

  1. Definition eines HCCC-Ereignisses
    1. Akademische Aktivitäten am College: CAA sind Aktivitäten oder Veranstaltungen, die in direktem Zusammenhang mit dem Lehrauftrag des College stehen. Beispiele hierfür sind anrechenbare Kurse, Programmaktivitäten im Zusammenhang mit akademischen Kursen und Fakultäts-/Verwaltungsabteilungssitzungen.​
    2. Hochschulveranstaltungen: CE sind Aktivitäten, die von Fakultätsmitgliedern, Mitarbeitern, College-Büros und registrierten und genehmigten Studentenorganisationen organisiert und durchgeführt werden und in erster Linie für Mitglieder der HCCC-Community und zum Nutzen des Colleges geplant sind. Beispiele hierfür sind studentische Programmaktivitäten, Entwicklung von Fakultätsmitgliedern und Mitarbeitern, Abschlussfeiern, Versammlungen, Tage der offenen Tür, Rekrutierungsveranstaltungen, Gastvorträge und mehr. Zu den Teilnehmern dieser Veranstaltungen zählen Mitglieder der Community, Fakultätsmitglieder, Mitarbeiter, Studenten, Gäste und Alumni.​
    3. Vom College veranstaltete Veranstaltungen: CHE sind akademische Programme, Konferenzen, Klausuren und Treffen, an denen zwei Einheiten beteiligt sind: eine College-Einheit (Schule, akademische oder administrative Einheit oder eingetragene und anerkannte Studentenorganisation) und eine externe Organisation (wie etwa ein Berufsverband, in dem das College Mitglied ist oder mit dem es eine Beziehung pflegt, die der College-Gemeinschaft oder einer gemeindebasierten Organisation direkt zugutekommt.)​
    4. Außeruniversitäre/externe Veranstaltungen: NC/EE sind definiert als Programme und Aktivitäten, die von Einzelpersonen, Gruppen, Unternehmen oder Organisationen organisiert werden, die nicht in die Organisationsstruktur des Colleges eingebunden sind. Beispiele sind Empfänge, Wohltätigkeitsveranstaltungen, Firmentreffen und -veranstaltungen, Jugendcamps, Konferenzen, gesellschaftliche Aktivitäten, Ausstellungen usw. Nichtuniversitäre/externe Veranstaltungen erfordern eine vertragliche Vereinbarung und einen entsprechenden Versicherungsnachweis mit dem College.​
  2. Veranstaltungen unterstützende Ämter und ihre Angebote

    1. IT-Dienstleistungen
      1. Technologieausrüstung
      2. Präsentationen und Medien vor der Veranstaltung testen
      3. Meeting-Links und Unterstützung für hybride Meetings/Events
      4. Gäste-WLAN
      5. Technische Betreuung während der Veranstaltung
    2. Facilities
      1. Auf- und Abbau der Möbel
      2. Möbel zerlegen
      3. Reinigung
      4. HLK-Überwachung
    3. Sicherheit
      1. Sicherheitsunterstützung bei Veranstaltungen
      2. Gebäudeeröffnungen und -schließungen
      3. Park- und Transportunterstützung
    4. Flik
      1. Essen und Trinken
      2. Server und anderer Support
      3. Koordination mit externen Gruppen
  3. Event-Management-Prozess

    1. Online-Anfragen müssen über das Coursedog-System des Colleges eingegeben werden.
    2. Für besondere Räume und Veranstaltungsarten (z. B. Präsidentensaal, Atrium, Galerie) ist eine Genehmigung erforderlich.
    3. Für alle Veranstaltungen ist eine Voranmeldung erforderlich.
    4. Vorrang haben hochschulweite, hochkarätige Veranstaltungen.
  4. Leitfaden zum Ereignistyp

    Veranstaltungstyp

    Beschreibung
    Akademisches Computerlabor Computerlabordienste, einschließlich der Unterstützung durch einen Laborassistenten, erfordern eine Vorankündigung von drei Tagen. Diese Anfragen können 180 Tage im Voraus gestellt werden.
    Administrative Dienstleistungen Für die Sitzungen ist eine Vorankündigung von einem Tag erforderlich.
    Weiterbildung (CE) Für Veranstaltungen und Kurse zur Weiterbildung und Personalentwicklung ist eine Vorankündigung von einem Tag erforderlich. Diese Anfragen können 180 Tage im Voraus gestellt werden.
    Immatrikulationsservice / Zulassung Für die Anmeldung und Zulassung zu Veranstaltungen ist eine Voranmeldung von drei Tagen erforderlich. Die Anmeldung kann 90 Tage im Voraus erfolgen.
    Gastgewerbe und Catering-Dienstleistungen Priorität 1 Zu den Veranstaltungen der Priorität 1 zählen campusweite Veranstaltungen, Veranstaltungen mit externen Teilnehmern, angekündigte Veranstaltungen und Veranstaltungen auf Kabinettsebene. Diese Anfragen erfordern eine Benachrichtigungsfrist von 30 Tagen und können 180 Tage im Voraus eingereicht werden.
    Gastgewerbe und Catering-Dienstleistungen Priorität 2 Zu den Veranstaltungen der Priorität 2 zählen Abteilungsveranstaltungen mit mehr als 50 Teilnehmern, die aufgezeichnet werden und eine Vorlaufzeit von 14 Tagen haben. Diese Anträge können 180 Tage im Voraus gestellt werden.
    Gastgewerbe und Catering-Dienstleistungen Priorität 3 Veranstaltungen der Priorität 3 sind kleiner und informeller und erfordern eine Vorlaufzeit von drei Tagen. Diese Anfragen können 180 Tage im Voraus eingereicht werden.
    Veranstaltung auf dem North Hudson Campus Für Programme und Veranstaltungen auf dem North Hudson Campus ist eine Vorankündigung von drei Tagen erforderlich. Diese Anfragen können 180 Tage im Voraus gestellt werden.
    Büroräume in North Hudson Für Besprechungen auf dem North Hudson Campus ist eine Vorankündigung von einem Tag erforderlich.
    Standesamt Programme und Veranstaltungen in den Unterrichtsräumen der Abteilung für akademische Angelegenheiten am Journal Square erfordern eine Vorankündigung von einem Tag. Diese Anfragen können 180 Tage im Voraus gestellt werden.
    School of Nursing Testing / Gastredner Für Programme und Veranstaltungen im Computerlabor F129 ist eine Voranmeldung von einem Tag erforderlich. Die Anmeldung ist 180 Tage im Voraus möglich.
    Studentenleben Für alle Student Life Events ist eine Vorankündigung von zwei Tagen erforderlich. Diese Anfragen können 180 Tage im Voraus gestellt werden.
    Schieben Sie für mehr
  5. Aufgaben

    1. Die Organisatoren stellen in der Anfrage alle verfügbaren Informationen zur Verfügung, darunter Ansprechpartner für die Veranstaltung, E-Mail-Adressen und Telefonnummern usw.
    2. Eventuelle Änderungen werden vom Veranstalter rechtzeitig und schriftlich mitgeteilt.
    3. Die Organisatoren werden die Erklärung zur Barrierefreiheit des Colleges in alle Mitteilungen zur Veranstaltung aufnehmen.
    4. Die Organisatoren nehmen an Besichtigungen und Übungseinheiten teil, soweit dies für die Art der Veranstaltung erforderlich ist.
    5. Die Hochschulbüros, die den Service anbieten, werden sich rechtzeitig mit den Organisatoren in Verbindung setzen.
    6. Links zu Hybridveranstaltungen werden ausschließlich von den Information Technology Services für HCCC-Veranstaltungen erstellt.
    7. Bei einer Absage benachrichtigen die Organisatoren die Hochschulbüros im Voraus, um den Veranstaltungsort freizugeben.
    8. Die HCCC-Büros benachrichtigen die Organisatoren über etwaige Probleme, sobald diese entdeckt werden.

Vom Kabinett genehmigt: Dezember 2024
Zugehörige Vorstandsrichtlinie: Informationstechnologiedienste

 

Verfahren für Anträge auf Zugriff auf Informationssysteme mit sensiblen Daten

Einleitung

 Dieses Verfahren bestimmt die System-/Dateneigentümer des Hudson County Community College (HCCC). Diese Personen überwachen den Zugriff auf Informationssysteme mit vertraulichen Daten, wie z. B. das Colleague ERP-System. Die Überwachung ist notwendig, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten des HCCC zu schützen und zu wahren und um die für das HCCC geltenden Standards und Vorschriften der Informationstechnologie einzuhalten.

Die benannten System-/Dateneigentümer für die Informationssysteme des Hudson County Community College, die vertrauliche Daten enthalten, sind befugt, Einzelpersonen den Zugriff auf diese Systeme zu genehmigen.

Benennung von System-/Dateneigentümern

 Die folgenden Mitglieder der Geschäftsleitung sind als System-/Dateneigentümer für Informationssysteme mit vertraulichen Daten benannt.

 Kollege ERP-System

Studentenmodul

Vizepräsident für studentische Angelegenheiten und Einschreibung

Modul „Studentische Finanzen“.

Vizepräsident für Wirtschaft und Finanzen/CFO

Financial Aid Modul

Stellvertretender Dekan von Financial Aid

Modul „Personalwesen“

Vizepräsident für Personalwesen

 Dokumentenbildsystem

Immatrikulationsdienste, Zulassungen und Beratungsunterlagen

Vizepräsident für studentische Angelegenheiten und Einschreibung

Schüler und Studenten Financial Aid Dokumente

Stellvertretender Dekan von Financial Aid

Finanzdokumente

Vizepräsident für Wirtschaft und Finanzen/CFO

Anträge auf Zugriff auf Informationssysteme mit sensiblen Daten

Anfragen für den Zugriff auf Informationssysteme, die vertrauliche Daten enthalten, werden auf der Grundlage des geringsten Privilegs gewährt, d. h. es wird nur auf die Informationen und Systeme zugegriffen, die für die Ausführung der regulären Arbeitsaufgaben der betreffenden Person erforderlich sind.

Führungskräfte, die als System-/Dateneigentümer oder benannte Manager in Funktionsbereichen benannt sind, prüfen Anträge auf Zugang zu Informationssystemen, die sensible Daten enthalten, von Mitarbeitern unter ihrer Verwaltungshoheit. Sie müssen bestätigen, dass Benutzern auf der Basis der „geringsten Rechte“ nur Zugriff auf die Rechte gewährt wird, die für die Erfüllung ihrer regulären Arbeitsaufgaben erforderlich sind. Sie genehmigen Anträge, indem sie ein Systemzugangsantragsformular einreichen, das sich auf dem Portal befindet. Wenn der Zugriff nicht gewährleistet ist, wird die Anfrage abgelehnt.

Sperrung des Zugriffs auf Informationssysteme mit sensiblen Daten

Leitende Mitarbeiter müssen sicherstellen, dass Vorgesetzte die Information Technology Services (ITS) umgehend benachrichtigen, wenn ein Benutzerzugriff auf ein Informationssystem nicht länger benötigt wird und wenn der Zugriff eines Benutzers aufgrund einer Änderung der Kernaufgaben des Mitarbeiters geändert werden muss.

Bei der Kündigung eines Superuser-Mitarbeiters oder im Falle einer unfreiwilligen Kündigung eines Mitarbeiters wird ITS unverzüglich per Telefonanruf und anschließender E-Mail an den Chief Information Officer (CIO) benachrichtigt. Reguläre Kündigungen, Versetzungen an eine andere Hochschulabteilung oder Aufgabenänderungen müssen innerhalb von fünf Werktagen über das Systemzugriffsantragsformular im Portal eingereicht werden.

Überprüfung des Zugangs zu Informationssystemen, die sensible Daten enthalten

Eine jährliche Überprüfung aller Benutzerkonten für sensible IT-Systeme wird von ITS durchgeführt, um den anhaltenden Bedarf der Konten und die damit verbundene Zugriffsebene zu beurteilen.

Aufgaben

Der CIO trägt die Gesamtverantwortung für die Entwicklung und Aufrechterhaltung der technischen Verfahren im Einklang mit diesem Verfahren und muss die geltenden Standards des Hudson County Community College einhalten.

Anhang A beschreibt den Speicherort des Formulars für die Anforderung des Zugriffs auf die Informationssysteme der Hochschule.

Definitionen

 Datum - umfasst alle Informationen innerhalb des Zuständigkeitsbereichs von HCCC, einschließlich Studentendaten, Personaldaten, Finanzdaten (Budget und Gehaltsabrechnung), Daten zum Studentenleben, Daten der Abteilungsverwaltung, Rechtsakten, institutionelle Forschungsdaten, geschützte Daten und alle anderen Daten, die sich auf oder unterstützende Daten beziehen die Verwaltung des Kollegiums.

Informationssystem - umfasst die gesamten Komponenten und Vorgänge eines Aufzeichnungsprozesses, einschließlich automatisierter oder manueller Informationen, die über Computernetzwerke und das Internet gesammelt oder verwaltet werden und persönliche Informationen sowie den Namen, die persönliche Nummer oder andere identifizierende Angaben einer betroffenen Person enthalten.

Sensible Daten – umfasst alle Informationen, die die Interessen des College, die Durchführung von Agenturprogrammen oder die Privatsphäre, auf die Einzelpersonen Anspruch haben, beeinträchtigen könnten, wenn ihre Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigt wird. Daten werden als sensibel eingestuft, wenn die Beeinträchtigung dieser Daten wesentliche und erhebliche nachteilige Auswirkungen auf die Interessen des College, die Unfähigkeit der betroffenen Agentur, ihre Geschäfte durchzuführen, einen Verstoß gegen Datenschutzerwartungen oder eine gesetzlich vorgeschriebene Geheimhaltung zur Folge hat.

Superuser – ist ein Mitarbeiter, der über ein Registrierungspanel oder erhöhten privilegierten Zugriff verfügt; z. B. ein Sicherheitsadministrator.

 Literaturhinweise

  • Gesetz über die Rechte und Privatsphäre von Familien im Bildungsbereich (FERPA) (20 USC § 1232g; 34 CFR Teil 99)
  • Financial Services Modernization Act (Gramm-Leach-Bliley Act) (15 USC § 6801 ff.)
  • Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA) (Öffentliches Recht 104-191)

Überprüfen Sie die Häufigkeit und Verantwortung

 Der CIO überprüft dieses Verfahren jährlich und empfiehlt, falls erforderlich, Änderungen.

ANHANG A"

Formulare für Systemzugriffsanforderungen:

Kollegenzugang

https://myhudson.hccc.edu/ellucian

Anfrage zur Kontoerstellung oder Deaktivierungsanfrage

https://myhudson.hccc.edu/its

Vom Kabinett genehmigt: Juli 2021
Verwandte Vorstandsrichtlinien: ITS

 

Verfahren zum Informationssicherheitsplan

Einleitung

Der Zweck der Entwicklung und Umsetzung dieses umfassenden schriftlichen Informationssicherheitsplanverfahrens („Plan“) besteht darin, wirksame administrative, technische und physische Schutzmaßnahmen zum Schutz „personenbezogener Daten“ von Studieninteressierten, Bewerbern, Studenten, Mitarbeitern und Alumni zu schaffen , und Freunde des Hudson County Community College, und um unseren Verpflichtungen gemäß der New Jersey Regulation 201 CMR 17.00 nachzukommen. Der Plan legt unsere Verfahren zur Bewertung unserer elektronischen und physischen Methoden zum Zugriff, Sammeln, Speichern, Verwenden, Übertragen und Schützen „persönlicher Daten“ der Mitglieder des Kollegiums fest.

Für die Zwecke dieses Plans sind „personenbezogene Daten“ der Vor- und Nachname einer Person oder der Vor- und Nachname einer Person in Kombination mit einem oder mehreren der folgenden Datenelemente, die sich auf diesen Bewohner beziehen: (a) Soziales Sicherheitsnummer; (b) Führerscheinnummer oder staatlich ausgestellte Personalausweisnummer; oder (c) Finanzkontonummer oder Kredit- oder Debitkartennummer, mit oder ohne erforderlichem Sicherheitscode, Zugangscode, persönlicher Identifikationsnummer oder Passwort, die den Zugriff auf das Finanzkonto eines Bewohners ermöglichen würden, wobei das Hudson County Community College der Verwalter dieser Daten ist ; Allerdings umfassen „personenbezogene Daten“ keine Informationen, die rechtmäßig aus öffentlich zugänglichen Informationen oder aus Aufzeichnungen der Bundes-, Landes- oder Kommunalverwaltung gewonnen wurden, die der Öffentlichkeit rechtmäßig zugänglich gemacht wurden.

Sinn

Der Zweck dieses Plans besteht darin:

    1. Gewährleistung der Sicherheit und Vertraulichkeit personenbezogener Daten;
    2. Schutz vor potenziellen Bedrohungen oder Gefahren für die Sicherheit oder Integrität personenbezogener Daten; Und,
    3. Schützen Sie sich vor unbefugtem Zugriff auf personenbezogene Daten oder deren Verwendung in einer Weise, die ein erhebliches Risiko von Identitätsdiebstahl oder Betrug darstellt.

Geltungsbereich

Bei der Formulierung und Umsetzung des Plans wird die Institution: (1) vernünftigerweise vorhersehbare interne und externe Risiken für die Sicherheit, Vertraulichkeit und Integrität aller elektronischen, Papier- oder sonstigen Aufzeichnungen, die personenbezogene Daten enthalten, ermitteln; (2) die Wahrscheinlichkeit und den potenziellen Schaden dieser Bedrohungen unter Berücksichtigung der Sensibilität der personenbezogenen Daten beurteilen; (3) die Angemessenheit bestehender Richtlinien, Praktiken, Verfahren, Informationssysteme und anderer Sicherheitsvorkehrungen zur Kontrolle der Risiken beurteilen; (4) einen Plan entwerfen und umsetzen, der Sicherheitsvorkehrungen zur Minimierung dieser Risiken trifft, im Einklang mit den Anforderungen von 201 CMR 17.00; und (5) den Plan regelmäßig überwachen.

Datenschutzkoordinator

HCCC hat den Chief Information Officer (CIO) und den Vizepräsidenten für Wirtschaft und Finanzen/CFO mit der Umsetzung, Überwachung und Aufrechterhaltung des Plans beauftragt. Der CIO und Vizepräsident für Wirtschaft und Finanzen/CFO sind verantwortlich für:

    1. Erstmalige Umsetzung des Plans;
    2. Überwachung der laufenden Mitarbeiterschulung zu den Elementen und Anforderungen des Plans für alle Eigentümer, Manager, Mitarbeiter und unabhängigen Auftragnehmer, die Zugriff auf personenbezogene Daten haben;
    3. Überwachung der Schutzmaßnahmen des Plans;
    4. Bewertung von Drittanbietern, die Zugriff auf personenbezogene Daten haben und diese hosten/übertragen/sichern/verwalten, und vertragliche Verpflichtung dieser Dienstanbieter, solche geeigneten Sicherheitsmaßnahmen zum Schutz personenbezogener Daten zu implementieren und aufrechtzuerhalten;
    5. Überprüfung des Umfangs der Sicherheitsmaßnahmen im Plan jährlich oder immer dann, wenn es eine wesentliche Änderung in den Geschäftspraktiken von HCCC gibt, die die Sicherheit oder Integrität von Aufzeichnungen mit persönlichen Informationen beeinträchtigen könnte; und
    6. Überprüfung von Gesetzgebung und Gesetzen und Aktualisierung von Richtlinien und Verfahren nach Bedarf.

Interne Risiken

Um internen Risiken für die Sicherheit, Vertraulichkeit und Integrität aller elektronischen, Papier- oder sonstigen Aufzeichnungen mit personenbezogenen Daten entgegenzuwirken und um die Wirksamkeit der aktuellen Schutzmaßnahmen zur Begrenzung dieser Risiken zu bewerten und gegebenenfalls zu verbessern, sind die folgenden Maßnahmen zwingend und sofort wirksam: 

Administrative Maßnahmen

      1. Eine Kopie des Plans wird an den Präsidenten, sein Kabinett, die Mitarbeiter des Information Technology Services (ITS) und andere Mitarbeiter, die mit persönlichen Informationen umgehen, verteilt. Nach Erhalt des Plans muss jede Person schriftlich bestätigen, dass sie eine Kopie des Plans erhalten hat.
      2. Nach der Schulung müssen alle Mitarbeiter Vertraulichkeitsvereinbarungen unterzeichnen, die den Umgang mit persönlichen Informationen regeln. Die Vertraulichkeitsvereinbarungen verpflichten die Mitarbeiter, jede verdächtige oder unbefugte Verwendung „persönlicher Informationen“ dem CIO oder dem Vizepräsidenten für Personalwesen zu melden.
      3. Die Menge der erfassten persönlichen Daten muss auf das beschränkt sein, was zur Erfüllung legitimer Geschäftszwecke erforderlich ist. Die Verwendung persönlicher Daten wird durch Audits in verschiedenen Bereichen überprüft.
      4. Alle Datensicherheitsmaßnahmen müssen mindestens einmal jährlich oder immer dann überprüft werden, wenn eine wesentliche Änderung in der Geschäftspraxis von HCCC oder eine Gesetzesänderung eintritt, die sich vernünftigerweise auf die Sicherheit oder Integrität von Aufzeichnungen mit personenbezogenen Daten auswirken könnte. Der CIO und der Vizepräsident für Wirtschaft und Finanzen/CFO sind für diese Überprüfung verantwortlich und müssen die Abteilungsleiter umfassend über die Ergebnisse dieser Überprüfung und alle daraus resultierenden Empfehlungen für eine verbesserte Sicherheit informieren.
      5. Immer wenn ein Vorfall auftritt, der gemäß NJ Stat. § 56:8-163, dem Gesetz von New Jersey zur Meldung von Datenschutzverletzungen personenbezogener Daten, eine Meldung erfordert, muss nach dem Vorfall unverzüglich eine obligatorische Überprüfung der Ereignisse und der gegebenenfalls ergriffenen Maßnahmen erfolgen, um zu bestimmen, ob Änderungen an den Sicherheitspraktiken von HCCC erforderlich sind, um die Sicherheit personenbezogener Daten gemäß dem Plan zu verbessern.
      6. Jede Abteilung muss Regeln entwickeln (unter Berücksichtigung der geschäftlichen Anforderungen der jeweiligen Abteilung), die angemessene Beschränkungen des physischen Zugriffs auf personenbezogene Daten gewährleisten, einschließlich einer schriftlichen Verfahrensanweisung, in der festgelegt ist, wie der physische Zugriff auf die Aufzeichnungen beschränkt wird. Jede Abteilung muss solche Aufzeichnungen und Daten in verschlossenen Einrichtungen, sicheren Lagerbereichen oder verschlossenen Schränken aufbewahren.
      7. Mit Ausnahme von Systemadministrationskonten ist der Zugriff auf elektronisch gespeicherte personenbezogene Daten elektronisch auf diejenigen Mitarbeiter beschränkt, die über eine eindeutige Login-ID und entsprechende Zugriffsrechte verfügen. Der Zugriff wird Mitarbeitern nicht gewährt, bei denen der CIO feststellt, dass sie keinen Zugriff auf elektronisch gespeicherte personenbezogene Daten benötigen.
      8. Wenn keine Vertraulichkeitsvereinbarung besteht, muss der Zugriff von Besuchern oder Auftragnehmern auf sensible Daten, einschließlich, aber nicht beschränkt auf Passwörter, Verschlüsselungsschlüssel und technische Spezifikationen, sofern erforderlich, schriftlich vereinbart werden. Der Zugang ist auf das erforderliche Mindestmaß zu beschränken. Wenn für den Zugriff eine Remote-Anmeldung erforderlich ist, muss dieser Zugriff auch durch die ITS-Abteilung von HCCC genehmigt werden.

Physikalische Maßnahmen

      1. Der Zugriff auf Aufzeichnungen mit persönlichen Informationen ist auf diejenigen beschränkt, die diese Informationen kennen müssen, um die legitimen Geschäftsziele von HCCC zu erreichen. Um eine unnötige Offenlegung zu verhindern, werden vertrauliche und persönliche Informationen geschwärzt, Papieraufzeichnungen in verschlossenen Räumen aufbewahrt und Datensicherheitskontrollen für elektronische Aufzeichnungen implementiert.
      2. Am Ende des Arbeitstages müssen alle nicht-elektronischen Akten und sonstigen Unterlagen, die personenbezogene Daten enthalten, in verschlossenen Räumen, Büros oder Schränken aufbewahrt werden.
      3. Papierunterlagen mit persönlichen Informationen müssen gemäß NJ Stat. § 56:8-163, New Jerseys Gesetz zur Meldung von Datenschutzverletzungen, entsorgt werden. Das bedeutet, dass Unterlagen mit einem Kreuzschnitt-Aktenvernichter oder anderen Methoden entsorgt werden müssen, die die Informationen unleserlich machen.

Technische Maßnahmen

      1. HCCC erlaubt Mitarbeitern nicht, persönliche Daten auf tragbaren Medien zu speichern. Dazu gehören Laptops, USB-Sticks, CDs usw. Wenn Mitarbeitern, die Zugriff auf personenbezogene Daten haben, gekündigt wird, muss HCCC ihren Zugriff auf Netzwerkressourcen und physische Geräte, die personenbezogene Daten enthalten, sperren. Dazu gehört die Kündigung oder Übergabe von Netzwerkkonten, Datenbankkonten, Schlüsseln, Ausweisen, Telefonen sowie Laptops oder Desktops.
      2. Mitarbeiter sind verpflichtet, ihre Passwörter für Systeme, die personenbezogene Daten enthalten, regelmäßig zu ändern.
      3. Der Zugriff auf personenbezogene Daten ist auf aktive Benutzer und nur aktive Benutzerkonten beschränkt.
      4. Soweit technisch möglich, verwenden alle von HCCC verwalteten Systeme, die personenbezogene Daten speichern, automatische Sperrfunktionen, die den Zugriff nach mehreren erfolglosen Anmeldeversuchen sperren.
      5. Elektronische Aufzeichnungen (einschließlich Aufzeichnungen auf Festplatten und anderen elektronischen Medien), die persönliche Informationen enthalten, müssen gemäß NJ Stat. § 56:8-163, New Jerseys Gesetz zur Meldung von Datenschutzverletzungen, entsorgt werden. Dies erfordert, dass Informationen vernichtet oder gelöscht werden, sodass persönliche Informationen praktisch nicht gelesen oder rekonstruiert werden können.

Externe Risiken

      1. Um externen Risiken für die Sicherheit, Vertraulichkeit und Integrität aller elektronischen, Papier- oder sonstigen Aufzeichnungen mit personenbezogenen Daten entgegenzuwirken und um die Wirksamkeit der aktuellen Schutzmaßnahmen zur Begrenzung dieser Risiken zu bewerten und gegebenenfalls zu verbessern, sind die folgenden Maßnahmen zwingend und sofort wirksam:

a.) Auf Systemen mit personenbezogenen Daten sind hinreichend aktuelle Firewall-Schutzmaßnahmen und Sicherheitspatches für das Betriebssystem vorhanden, die darauf ausgelegt sind, die Integrität der installierten personenbezogenen Daten zu wahren.

b.) Auf Systemen, die personenbezogene Daten verarbeiten, sind einigermaßen aktuelle Versionen der Systemsicherheitssoftware mit Malware-Schutz sowie einigermaßen aktuelle Patches und Virendefinitionen installiert.

c.) Dateien mit persönlichen Informationen sollten verschlüsselt werden, wenn sie auf den Netzwerkfreigaben von HCCC gespeichert werden. HCCC erlaubt nicht, dass persönliche Informationen auf Laptops, PCs, USB-Geräten oder anderen tragbaren Medien gespeichert werden. HCCC wird Verschlüsselungssoftware einsetzen, um dieses Ziel zu erreichen.

d.) Alle personenbezogenen Daten, die elektronisch an Drittanbieter übermittelt werden, sollten zur sicheren Übertragung über den verschlüsselten Dienst des Anbieters oder über den von HCCC vorgesehenen verschlüsselten Dienst gesendet werden. 

e.) Alle neuen Dienstleister, die personenbezogene Daten von HCCC in elektronischer Form speichern, müssen durch EDUCAUSE HECVAT oder ein ähnliches Instrument angemessene Sicherheitsmaßnahmen nachweisen. Diese Anbieter müssen außerdem vom Vizepräsidenten für Finanzen und Geschäft/CFO von HCCC genehmigt werden.

f.) Das Personal der Personal- und IT-Dienste muss die im HCCC-Verfahren zur akzeptablen Nutzung von IT-Systemen beschriebenen Verfahren im Zusammenhang mit der Erstellung, Übertragung oder Kündigung von Konten sowie die Richtlinien zur Kennwortspeicherung und rollenbasierten Sicherheit befolgen.

g.) Alle persönlichen Daten werden gemäß HCCC entsorgt Policies and Procedures.

h.) Soweit Ressourcen und Budget es zulassen, wird HCCC Technologien implementieren, die es dem College ermöglichen, Datenbanken auf unbefugte Nutzung oder Zugriff auf persönliche Informationen zu überwachen und sichere Authentifizierungsprotokolle und Zugriffskontrollmaßnahmen gemäß den Verfahren von HCCC einzusetzen.

 

Vom Kabinett genehmigt: Juli 2021
Zugehörige Vorstandsrichtlinie: Informationstechnologiedienste

 

Verfahren zum Reaktionsplan für Informationssicherheitsvorfälle

Sinn

Dieser Plan gibt vor, wie auf Informationssicherheitsvorfälle am Hudson County Community College (HCCC) reagiert werden soll. Der Plan identifiziert die Rollen und Verantwortlichkeiten des HCCC-Vorfallreaktionsteams und die im Falle eines Vorfalls zu ergreifenden Schritte. Der Information Security Incident Response Plan (ISIRP) zielt darauf ab, die Auswirkungen eines Vorfalls zu minimieren, Beweise für Untersuchungszwecke zu sichern und den normalen Betrieb so schnell wie möglich wiederherzustellen.

Definitionen

Vorfall: Ein Ereignis, das zu einem Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder Informationssystemen führt.

Antwort: Die Maßnahmen, die ergriffen werden, um die Auswirkungen eines Vorfalls zu mildern und die betroffenen Systeme und Daten in ihren Normalzustand zurückzusetzen.

Incident Response Team (IRT): Das Incident Response Team (IRT) ist für die Umsetzung des ISIRP verantwortlich. Das IRT besteht aus Vertretern der relevanten Abteilungen, darunter unter anderem Information Technology Services (ITS), Finanzen (Risikomanagement), Rechtsberatung, Personalwesen und Kommunikation. Das IRT ist für die Koordinierung der Reaktion auf einen Vorfall und die Sicherstellung der Verfügbarkeit aller erforderlichen Ressourcen verantwortlich.

Rollen und Verantwortlichkeiten

Das IRT ist für folgende Aufgaben zuständig:

  • Auf Vorfälle reagieren und deren Auswirkungen abmildern.
  • Untersuchen von Vorfällen und Ermitteln ihrer Ursache.
  • Wiederherstellen von Systemen und Daten, die von einem Vorfall betroffen waren.
  • Kommunikation mit Stakeholdern über Vorfälle.
  • Protokollierung und Meldung von Vorfällen.
Schadensbericht

Alle vermuteten oder bestätigten Informationssicherheitsvorfälle müssen unverzüglich an ITS gemeldet werden. ITS wird den Vorfall dann bewerten und feststellen, ob es sich um einen Sicherheitsvorfall handelt. Wenn es sich um einen Sicherheitsvorfall handelt, wird ITS den Vorfall an das IRT weiterleiten.

Reaktionsschritte
Vorfallkategorisierung:

Das IRT kategorisiert den Vorfall anhand seiner Schwere und Auswirkung. Die Kategorien sind wie folgt:

Kategorie 1: Geringfügiger Zwischenfall – Keine wesentlichen Auswirkungen auf das College oder seinen Betrieb.
Kategorie 2: Mittelschwerer Vorfall – Begrenzte Auswirkungen auf das College oder seinen Betrieb.
Kategorie 3: Schwerwiegender Vorfall – Erhebliche Auswirkungen auf die Hochschule oder ihren Betrieb.
Kategorie 4: Kritischer Vorfall – Schwerwiegende Auswirkungen auf das College oder seinen Betrieb.

Reaktion auf Vorfälle nach Kategorie:

Das IRT führt die folgenden Schritte aus, um auf einen Vorfall zu reagieren:
Kategorie 1: Es ist keine formelle Antwort erforderlich.
Kategorie 2: Das IRT wird den Vorfall untersuchen und geeignete Maßnahmen ergreifen, um den Vorfall einzudämmen und abzumildern.
Kategorie 3: Das IRT wird sich mit den relevanten Abteilungen und externen Ressourcen, wie etwa Strafverfolgungsbehörden und Cybersicherheitsexperten, abstimmen, um den Vorfall zu untersuchen und geeignete Maßnahmen zu ergreifen, um den Vorfall einzudämmen und abzumildern.
Kategorie 4: Das IRT wird den HCCC-Notfallmanagementplan umsetzen, der die Schritte beschreibt, die bei einer schweren Krise zu befolgen sind.

ISIRP-Schritte für das IRT

Im Falle eines Vorfalls geht das IRT folgendermaßen vor:

  1. Reagieren Sie auf den Vorfallbericht.
  2. Mildern Sie die Auswirkungen des Vorfalls.
  3. Kategorisieren Sie die Auswirkungen auf der obigen Skala.
  4. Untersuchen Sie den Vorfall.
  5. Ermitteln Sie die Ursache des Vorfalls.
  6. Stellen Sie die vom Vorfall betroffenen Systeme und Daten wieder her.
  7. Kommunizieren Sie mit den Stakeholdern über den Vorfall.
  8. Protokollieren und melden Sie den Vorfall.
Werkzeuge und Ressourcen

Das IRT wird die folgenden Tools und Ressourcen nutzen, um auf Vorfälle zu reagieren:

  • Sicherheitssoftware: Sophos, Crowdstrike
  • Datensicherungs- und Wiederherstellungssysteme: Cohesity, Arcserve, OneDrive
  • Kommunikationskanäle: E-Mail, SMS, soziale Medien
  • Externe Cybersicherheitsexperten: NJ Edge, CyberSecOp, Berater für Cybersicherheitsversicherungen
Testen und Trainieren

Das IRT wird die eingesetzten Verfahren und Werkzeuge regelmäßig testen und schulen.

Kommunikationsplan

Im Falle eines Vorfalls wird das IRT mit den folgenden Beteiligten kommunizieren:

  • Die Kursteilnehmer
  • Fakultät
  • Unser Team
  • Medien
  • Strafverfolgung
  • Aufsichtsbehörden
Metriken und Berichterstattung

Das IRT dokumentiert alle Aspekte des Vorfalls, einschließlich, aber nicht beschränkt auf Art, Schweregrad, Auswirkung, Reaktion und Lösung des Vorfalls. Die Dokumentation wird sicher aufbewahrt und ist nur autorisiertem Personal zugänglich.

Das IRT wird die folgenden Kennzahlen im Zusammenhang mit Vorfällen sammeln und analysieren:

  • Anzahl der Vorfälle
  • Kosten von Vorfällen
  • Zeit zur Erholung nach Vorfällen

Der stellvertretende Vizepräsident für Technologie und CIO wird dem Kuratorium des HCCC über diese Kennzahlen berichten.

Überprüfung und Aktualisierung

Der AVP-CIO wird das ISIRP jährlich überprüfen und aktualisieren, um der sich ändernden Sicherheitslandschaft und den sich entwickelnden Anforderungen des HCCC Rechnung zu tragen.

Vom Kabinett genehmigt: Mai 2023
Zugehörige Vorstandsrichtlinie: Informationstechnologiedienste

 

Verfahren zur Rechenschaftspflicht tragbarer Technologien

  1. EINFÜHRUNG
    Dieses Verfahren soll klare Richtlinien für die Rechenschaftspflicht und Verantwortung im Hinblick auf den Verlust oder die Beschädigung tragbarer technischer Geräte festlegen, die das Hudson County Community College (HCCC) Mitarbeitern und Studenten zur Verfügung stellt. Dieses Verfahren steht im Einklang mit der vom Kuratorium des HCCC genehmigten Richtlinie für Informationstechnologiedienste des HCCC.
  2. ANWENDBARKEIT
    Dieses Verfahren gilt für alle Personen, einschließlich Mitarbeiter und Studenten, für die das HCCC tragbare technische Geräte ausgegeben hat.
  3. RECHENSCHAFTSPFLICHT
    1. Individuelle Verantwortung
      1. Alle Personen, denen tragbare technische Geräte ausgehändigt werden, sind persönlich für die ordnungsgemäße Pflege und sichere Aufbewahrung der Ausrüstung verantwortlich.
      2. Benutzer müssen den Verlust oder Diebstahl des tragbaren technischen Geräts unverzüglich dem Amt für öffentliche Sicherheit und Ordnung melden. Jeglicher Schaden am Gerät muss unverzüglich dem Amt für Informationstechnologiedienste (ITS) gemeldet werden.
    2. Meldeverfahren
      1. Personen, die ein verlorenes oder beschädigtes Gerät melden, müssen detaillierte Informationen zum Vorfall bereitstellen, einschließlich Datum, Uhrzeit und Ort.
      2. Innerhalb von 24 Stunden nach Eintritt eines Verlusts oder Diebstahls muss dem Amt für öffentliche Sicherheit und Gefahrenabwehr ein schriftlicher Vorfallbericht vorgelegt werden.
    3. Untersuchung
      1. Das Amt für öffentliche Sicherheit wird die Umstände des Verlusts des tragbaren technischen Geräts untersuchen.
      2. Von den beteiligten Personen kann verlangt werden, dass sie bei der Untersuchung uneingeschränkt kooperieren und alle relevanten Informationen bereitstellen.
    4. Maßnahmen zur Rechenschaftspflicht
      1. Wenn sich herausstellt, dass der Verlust oder Schaden auf Fahrlässigkeit oder vorsätzliches Handeln zurückzuführen ist, kann die Person finanziell für die Reparatur- oder Ersatzkosten der Ausrüstung haftbar gemacht werden.
      2. Die Einzelpersonen werden schriftlich über das Ergebnis der Untersuchung und etwaige finanzielle Verpflichtungen informiert.
    5. Finanzielle Verantwortung
      1. Personen, die für den Verlust oder Schaden verantwortlich gemacht werden, müssen HCCC die Reparatur- oder Ersatzkosten des tragbaren technischen Geräts erstatten. Die Reparatur- oder Ersatzkosten für die Ausrüstung der Mitarbeiter können aus dem Budget des Büros/der Schule getragen werden.
      2. Mit der Buchhaltungsabteilung können Zahlungsvereinbarungen getroffen werden. Die Nichterfüllung finanzieller Verpflichtungen kann weitere Konsequenzen nach sich ziehen, darunter die Sperrung von Studienunterlagen oder andere Disziplinarmaßnahmen.
  4. AUSNAHMEN
    Fälle von Verlusten oder Schäden aufgrund von Diebstahl oder anderen kriminellen Aktivitäten werden gemäß den örtlichen Strafverfolgungsverfahren behandelt.
  5. KOMMUNIKATION
    Diese Richtlinie wird allen Personen, die tragbare technische Geräte erhalten, durch die Verteilung schriftlicher Materialien, die Aufnahme in Mitarbeiter-/Studentenhandbücher und über elektronische Kommunikationskanäle mitgeteilt.

Vom Kabinett im März 2024 genehmigt
Zugehörige Richtlinie: ITS

 

Verfahren zum Lieferantenrisikomanagementplan

Einleitung

TDieser Lieferantenrisikomanagementplan soll einen Rahmen für die effektive Verwaltung und Minderung von Risiken im Zusammenhang mit Drittanbietern am Hudson County Community College schaffen. Das Verfahren beschreibt die Prozesse und Verfahren zur Lieferantenbewertung, -auswahl und kontinuierlichen Überwachung, um die Sicherheit, Konformität und Zuverlässigkeit der Lieferantenbeziehungen zu gewährleisten. Das Verfahren konzentriert sich in erster Linie auf das Sammeln und Überprüfen von Informationen über die Eignung und Sicherheit des Lieferanten sowie auf die Bewertung der Bedingungen und Vertragssprache bei der ersten Vertragsunterzeichnung und -verlängerung.

  1. Lieferantenauswahlprozess
    1. Lieferantenidentifizierung: Identifizieren Sie potenzielle Lieferanten basierend auf den Anforderungen und Bedürfnissen der Hochschule.
    2. Erste Lieferantenbewertung: Bewerten Sie potenzielle Lieferanten anhand der folgenden Kriterien:
      1. Qualifikationen und Fachwissen
      2. Reputation und Referenzen
      3. Finanzielle Stabilität
      4. Sicherheits- und Compliance-Standards
      5. Service Level Agreements
    3. Angebotsanfrage (RFP): Bereiten Sie eine Angebotsanfrage vor und senden Sie diese bei Bedarf an die in die engere Wahl gekommenen Anbieter. Darin werden die Erwartungen, Anforderungen und Bewertungskriterien der Hochschule dargelegt.
    4. Lieferantenbewertung: Bewerten Sie Lieferantenvorschläge anhand vordefinierter Kriterien und führen Sie alle erforderlichen Interviews oder Präsentationen durch.
    5. Anbieterauswahl: Wählen Sie den/die Anbieter basierend auf den Bewertungsergebnissen aus und berücksichtigen Sie dabei Faktoren wie Kosten, Fähigkeiten und Risikoprofil.
  1. Sammlung und Überprüfung des Higher Education Community Vendor Assessment Toolkit (HECVAT).
    1. HECVAT-Formularanforderung: Alle potenziellen Anbieter müssen ihr ausgefülltes HECVAT einreichen. SOC 2-Audit-Ergebnisse können als Ersatz für ein HECVAT dienen.
    2. Erste Überprüfung: Überprüfen Sie die HECVAT, um die Sicherheitspraktiken, Datenschutzmaßnahmen und die Einhaltung relevanter Vorschriften der Anbieter zu bewerten.
    3. Risikobewertung: Führen Sie auf Grundlage der im HECVAT bereitgestellten Informationen eine Risikobewertung durch, um potenzielle Risiken im Zusammenhang mit der Lieferantenbeziehung zu ermitteln.
    4. Abhilfemaßnahmen: Entwickeln Sie Abhilfemaßnahmen, um identifizierte Risiken anzugehen, z. B. das Anfordern zusätzlicher Informationen, die Durchführung von Sicherheitsüberprüfungen oder die Festlegung vertraglicher Verpflichtungen für Sicherheit und Datenschutz.
  2. Überprüfung der Allgemeinen Geschäftsbedingungen
    1. Vertragsprüfung: Überprüfen Sie die Bedingungen des vorgeschlagenen Lieferantenvertrags und konzentrieren Sie sich dabei auf Bereiche im Zusammenhang mit Datenschutz, Sicherheit, Compliance und geistigem Eigentum.
    2. Rechtliche Überprüfung: Ziehen Sie bei Bedarf einen Rechtsbeistand hinzu, um sicherzustellen, dass die Vertragssprache die Interessen des Colleges angemessen schützt und mit den geltenden Gesetzen und Vorschriften übereinstimmt.
    3. Verhandlung und Änderung: Arbeiten Sie mit dem Anbieter zusammen, um die Vertragssprache auszuhandeln und zu ändern und so alle festgestellten Bedenken oder Lücken zu beseitigen.
    4. Genehmigung und Unterzeichnung: Holen Sie die erforderlichen Genehmigungen für den Vertrag ein und unterzeichnen Sie die Vereinbarung, sobald alle Parteien mit den Bedingungen zufrieden sind.
  3. Laufendes Lieferantenmanagement
    1. Regelmäßige Überwachung: Überwachen Sie während der gesamten Vertragslaufzeit kontinuierlich die Leistung, Sicherheitspraktiken und Compliance des Anbieters.
    2. Überprüfung der Vertragsverlängerung: Vertragsverlängerungen unterliegen den Vertragsgesetzen des Community College. Führen Sie während des Vertragsverlängerungsprozesses eine gründliche Überprüfung der Lieferantenbeziehungen durch, einschließlich einer Neubewertung des neuen HECVAT, der Geschäftsbedingungen und der Vertragssprache.
    3. Leistungsbewertung des Anbieters: Bewerten Sie die Leistung des Anbieters regelmäßig im Hinblick auf die festgelegten Service Level Agreements und Erwartungen.
    4. Reaktion auf Vorfälle: Befolgen Sie das Verfahren zur Reaktion auf Vorfälle, um Sicherheitsverletzungen oder Datenvorfälle, an denen Anbieter beteiligt sind, umgehend zu beheben.
    5. Offboarding von Lieferanten: Entwickeln Sie einen Prozess, um ein ordnungsgemäßes Offboarding von Lieferanten sicherzustellen, einschließlich der Rückgabe vertraulicher Informationen und der Beendigung des Systemzugriffs.
  4. Dokumentation und Berichterstattung
    1. Dokumentation
      1. Vertragsarchiv: Alle Lieferantenverträge, einschließlich ihrer Geschäftsbedingungen, Änderungen und zugehörigen Dokumente, sollten im Vertragsverwaltungssystem des Colleges gespeichert werden. Stellen Sie sicher, dass das Vertragsarchiv organisiert, leicht zugänglich und regelmäßig aktualisiert ist.
      2. Vollständige HECVAT- und Sicherheitsdokumentation: Führen Sie Aufzeichnungen über alle HECVATs und Sicherheitsaudits, die Sie von Anbietern erhalten haben, einschließlich aller unterstützenden Dokumentationen oder Klarstellungen, die von den Anbietern bereitgestellt werden.
      3. Risikobewertungen: Dokumentieren Sie die Ergebnisse der auf Grundlage des HECVAT durchgeführten Risikobewertungen sowie aller zusätzlich durchgeführten Bewertungen oder Prüfungen.
      4. Vorfallberichte: Führen Sie ein Protokoll über alle Sicherheitsvorfälle oder -verstöße, an denen Anbieter beteiligt sind, sowie über die entsprechenden Maßnahmen zur Reaktion auf den Vorfall.
    2. Reporting
      1. Executive Reporting: Bereitstellung regelmäßiger Berichte für die Geschäftsleitung, einschließlich des Chief Information Officer (CIO) und des Kabinetts, in denen die Risikolandschaft des Anbieters, die Bemühungen zur Risikominderung sowie wichtige Vorfälle oder Bedenken zusammengefasst werden.
      2. Vertragsverlängerungsbericht: Erstellen Sie einen umfassenden Bericht, der die Ergebnisse der Vertragsverlängerungsprüfung hervorhebt, einschließlich aller empfohlenen Änderungen oder Verbesserungen der Lieferantenbeziehungen.
      3. Compliance-Reporting: Erstellen Sie regelmäßige Berichte über die Einhaltung geltender Vorschriften, vertraglicher Verpflichtungen und vereinbarter Sicherheitsstandards durch Anbieter.
    3. Aufbewahrung von Aufzeichnungen
      1. Aufbewahrungsfrist: Für die Dokumentation der Lieferantenrisikobewertung gelten die Aufbewahrungsfristen für lieferantenbezogene Unterlagen. Damit wird die Einhaltung gesetzlicher, behördlicher und interner Anforderungen sichergestellt.
      2. Datenschutz und Datenschutz: Halten Sie sich bei der Speicherung und Handhabung von lieferantenbezogenen Dokumenten an die geltenden Datenschutz- und Datenschutzbestimmungen und stellen Sie sicher, dass angemessene Sicherheitsmaßnahmen vorhanden sind.

Vom Kabinett genehmigt: Mai 2023
Zugehörige Vorstandsrichtlinie: Informationstechnologiedienste

Zurück zur Seite Policies and Procedures