格雷姆-里奇-比利利法案政策

I. 目的

《澳门赌场在线娱乐》(GLB)于1999年颁布，影响所有金融机构. 作为金融贷款和校友流程的一部分，学院和大学属于GLB. GLB金融隐私规则要求金融机构提供隐私 建立消费者关系时通知，此后每年通知一次. 它定义了对非公开个人信息(NPI)的保护. 它还要求 机构要实施彻底的行政、技术和物质保障 防止任何对安全或完整性的预期威胁或危害 这些信息.

II. 范围

本政策适用于所有收集、存取、维护、分发、处理、 保护、存储、使用、传输、处置或以其他方式处理“涵盖信息”. 这些办公室具体包括但不限于信息技术部门 服务(ITS)，学生金融服务，注册办公室，财务办公室，宿舍 生活、业务运作、校友关系及人力资源(“涵盖办事处”).

3。. 定义

A “客户是指任何个人(学生、家长、教师、员工或其他第三方) (大学相互作用)谁从大学获得金融服务和 在接受这项服务的过程中，为大学提供了敏感的， 关于自己的非公开的个人信息.

“覆盖信息是敏感的，非公开的，个人身份信息包括，但可以 不限于，个人姓名与以下任何一项一起:

• 社会保险号
• 信用卡信息
• 收入和信用记录
• 银行账户信息
• 纳税申报表
• 资产声明

承保信息包括纸质和电子记录.

A "金融服务是由联邦法律定义的，包括但不限于下列活动 the lending of money; investing for others; providing or underwriting insurance; giving financial, investment or economic advisory 服务; marketing securities 和 the 就像.

IV. 政策 & 过程

该计划的目标如下:

• 确保员工只能访问大学所需的相关数据 业务;
• 确保客户记录和信息的安全性和保密性;
• 保护和防止未经授权的访问个人身份的财务 大学保存的纪录及资料;
• 遵守大学现行的政策、标准、指引及程序; 和
• 遵守适用的联邦、州和地方法规.

资讯安全计划协调员

主管是负责协调和监督本政策的指定员工 行政 & 企业服务部或其指定人员(“信息安全 计划协调员”或“协调员”). 协调员负责所有相关领域的工作 1)识别合理可预见的内外部风险 2)评估所涵盖信息的安全性、保密性和完整性 当前控制这些风险的保障措施的有效性，3)设计 并实施保障计划，4)对员工实施培训计划 谁有权访问覆盖信息，5)监督服务提供商和合同 6)定期评估和调整安全计划.

协调员，在运营助理副总裁的指导下 & 合规, 是否可以成立一个格雷姆-里奇-比利利工作委员会与协调员一起工作 执行政策的各项内容. 协调员也可指定其他大学 官员监督和协调政策的具体内容. 所有评论 询问学校的格雷姆-里奇-比利利政策应该通过电子邮件发送 给协调员 杰拉尔德.korea@dektinary.com.

风险评估

协调员向所涉办事处提供指导，以确定和评估内部 以及涉及信息的安全性、保密性和完整性的外部风险 这可能导致未经授权的访问，披露，滥用，更改，销毁 或以其他方式泄露该等信息

每个承保办事处负责按照规定确保承保信息的安全 有了这个政策. 受保办事处必须开发和记录自己的信息 所涵盖资料的保障措施. 这种评估和评价的范围可以 包括但不限于员工(包括学生)的管理和培训 employees) 和 volunteers; information systems (including network 和 software design, 以及信息的处理、存储、传输和处理，兼备纸张 和 electronic records); procedures for detecting, preventing 和 responding to attacks, 入侵或其他系统故障(包括数据处理和电话通信); 以及应急计划和业务连续性.

员工培训

每个承保办事处对其雇员进行有关政策和程序的培训和教育 保障所涵盖的资料. 协调员，还有风险办公室 & 合规管理，帮助各办事处制定评估程序 有关员工培训的程序和做法的有效性.

信息系统

协调员或其指定人员制定评估承保风险的程序 与大学信息系统相关的信息包括网络 以及软件设计，以及信息的处理、存储、传输、检索、 及有关资料的处理. 这项评估包括对该大学的 资讯科技实务及程序. 此外，协调器进行评估 监视与潜在信息安全威胁相关的程序 软件系统和更新这样的系统，除其他事项外，实施 为处理安全漏洞而设计的补丁或其他软件修复程序.

纸质记录的物理安全

承保办事处应制定和维持程序，合理地保证 纸质记录的安全，包括与大学记录有关的指导方针 保留和处置政策. 定期对这些程序进行物理评估 应进行纸质记录.

管理系统故障

大学维护系统，以防止，检测和响应攻击，入侵， 以及其他系统故障. 协调员，或他/她指定的人，维护的计划 detecting, preventing 和 responding to attacks or other system failures; 和 reviews 网络访问有安全策略和程序，以及相应的协议 网络攻击和入侵.

设计和实施保障措施

本文所述的风险评估和分析应适用于所有处理方法 或以电子、纸张或其他形式处置被掩盖的信息. 协调人应定期实施防范措施，控制风险 通过这样的评估确定，并定期测试或以其他方式监测 这些保障措施的有效性. 监测的水平将是适当的基础 所识别的风险的潜在影响和可能性，以及风险 所提供信息的敏感性.

服务供应商及合约

大学可能会不时与第三方共享涵盖信息 在正常的业务过程中. 这些活动可能包括收债活动、 传送文件、销毁文件或设备，或其他类似行为 服务. 所有合同必须包括针对第三方的条款 Bliley合规.

协调者与负责第三方服务采购的人员一起工作 活动和覆盖办事处，以提高认识，并制定方法 只选择和保留那些有能力维护适当的 所涵盖资料的保障措施.

V.异常

本政策的任何例外情况均应由信息安全部门审查和批准 计划协调员与风险办公室协商 & 合规管理, 根据需要.

V. 责任

信息安全计划协调员负责实施这些规定 这个政策.

有权访问涵盖信息的员工必须遵守大学政策和 管理“承保信息”的程序，以及任何其他做法或程序 在他们的单位建立.

VI. 交叉引用

该策略由以下政策、程序和/或指导方针支持.

• 帐户创建和删除策略 (.pdf)
• 可接受使用政策
• 电脑 & 电子资源政策
• 电子邮件策略
• 安全策略 (.pdf)
• 文档保留 & 毁灭的政策
• 健康保险流通与责任法案政策

7。. 资源

联邦贸易委员会保障规则 外部网站

生效日期:2018年6月1日|更新日期:2020年6月1日