政策 保密信息安全计划

本安全计划描述了Westmont保护学生机密信息的安全措施, 工作人员, 校友, 捐款人、网站和服务器的访问者和用户.  根据1974年的《ag娱乐官网》, Gramm Leach billey法案, 《健康保险流通责任法案, 以及欧盟通用数据保护条例, 威斯蒙特执行以下政策和程序保障措施，以确保机密信息的安全和隐私.

保密信息的范围

家庭教育权和隐私权法案

《ag娱乐官网》(“FERPA”)赋予学生一定的权利, 学院对教育记录负有一定的责任. 学院维护学生教育记录的隐私, 除非有特定的法律例外允许, 在没有学生同意的情况下，不会泄露这些记录中的信息.  学院每年都会向学生公布FERPA规定的权利.^[1]

Gramm Leach billey法案

《ag娱乐官网》(GLB)旨在确保“非公开个人信息”的保护和机密性。, handled or maintained by or on behalf of the college; whether in paper, 电子或其他形式, 在提供金融产品或服务的过程中, 比如学生贷款.^[2]   

健康保险流通责任法案

健康保险可移植性和责任法案(HIPAA)要求韦斯特蒙特学院遵守有关员工私人健康信息的政策.  HIPAA要求Westmont维护您的受保护健康信息(PHI)的隐私。.  我们保护您的个人信息不被不当使用或披露. 我们的员工, 以及那些帮助我们提供员工福利的公司, 是否需要遵守我们保护PHI机密性的要求. 只有在有适当的理由时，他们才会考虑PHI, 比如管理计划.  我们不会向任何其他公司披露PHI以供其用于营销其产品. 但是，我们将出于与员工福利相关的商业目的使用和披露PHI.^[3]

欧盟一般数据保护条例

欧盟通用数据保护条例(GDPR)要求Westmont建立并维护某些保障措施，以保护在向位于欧盟的个人提供服务和商品时处理和收集的“个人数据”的机密性，并将为受影响的个人提供符合GDPR要求的某些权利.^[4]

本资讯保安计划提供以下机制:

• 确保所涵盖资料及资料的安全及保密;
• 防止这些信息的安全或完整性受到预期的威胁或危害;
• 防止未经授权访问或使用所涵盖的数据和信息，以免对任何客户或学生造成重大伤害或不便;
• 识别和评估可能威胁到学院所维护的涵盖数据和信息的风险;
• 培训员工维护所涵盖资料的私隐;
• Implement and review the plan; and
• 调整计划以反映技术的变化, 所涵盖的数据和信息的敏感性以及对信息安全的内部或外部威胁.

识别和评估机密信息的风险

Westmont认识到，本政策所涵盖的信息安全存在内部和外部风险. 这些风险包括但不限于:

• 非有关资料及资料的拥有人擅自查阅有关资料及资料及教育纪录;
• 未经授权人士访问系统，导致系统安全性受损;
• 在传输过程中截取数据;
• 丢失数据完整性;
• 灾难中物理数据的丢失;
• 引入系统的错误;
• 数据或系统损坏;
• 雇员在未经授权的情况下访问受保护的数据和信息;
• 未经授权索取有关资料及资料;
• Unauthorized access through hardcopy 文件 or reports; and
• 未经授权通过第三方转移所涵盖的数据和信息. 

学院认识到，这可能不是与保护所涵盖的数据和信息相关的风险的完整列表. 由于技术增长不是静态的，新的风险会定期产生. 相应的, 首席信息官, 谘询大学法律顾问, 主管行政的副总统将积极监督教育安全研究所等咨询团体, 用于识别新的风险. 

书院相信现时资讯科技的保障措施是合理及合理的, 鉴于目前的风险评估和学院的遵守程序保障下的法律涵盖本政策和任何适用的国家隐私法, 是否足以保障学院所保存的资料及资料的安全及保密. 另外, 这些保障措施防止当前预期的对此类信息完整性的威胁或危害.

保障计划的设计与实施

安全计划协调员

行政副总统, 咨询首席信息官和大学法律顾问, 将担任该计划的协调人. 在一起, 他们将评估与未经授权转移所涵盖的数据、信息和教育记录相关的风险，并实施程序以尽量减少对学院的风险.

员工管理与培训

学院检查新员工在经常涉及覆盖数据和信息以及教育记录的领域工作的推荐信.g. 商务处(注册主任、发展及财政援助).

在员工培训期间, 这些部门的每一位新员工都将接受有关学生档案保密重要性的适当培训, 学生财务资料, 以及其他类型的涵盖数据和信息. 每位新员工也将接受正确使用电脑信息和密码的培训. 培训还包括控制和程序，以防止员工向未经授权的个人提供机密信息, 包括"借口打电话"^[5] 以及如何正确处理包含覆盖数据和信息的文件. 将指示负责保存有关资料和资料的各部门采取措施，防止资料被销毁, 环境危害造成的损失或损坏, 例如火灾和水损坏或技术故障. 进一步, 负责维护所涵盖数据和信息的每个部门将与行政副校长和学院法律顾问合作，每年协调和审查适合本部门的额外隐私培训. 这些培训工作应有助于将风险降到最低，并保护所涵盖的数据和信息安全.

物理安全

学院通过限制只有那些有商业理由知道这些信息或根据《ag娱乐官网》对这些信息有合法教育利益的员工才能访问这些信息，解决了教育记录和涵盖数据和信息的物理安全问题.  贷款文件, 账户信息和其他纸质文件保存在文件柜里, 每晚都锁着的房间或金库. 只有经过授权的员工才知道密码和钥匙的位置.  包含覆盖数据和信息的纸质文件在处理时被粉碎.

信息系统

通过学院的计算机信息系统访问教育记录和涵盖的数据和信息仅限于那些有商业理由知道信息或合法教育利益的员工.  每个员工分配一个用户名和密码. 包含个人数据和信息的数据库, 包括, 但不限于, 账户, 平衡, 以及交易信息, 只适用于在适当部门和职位的学院员工.

校园里的一台电脑可以接入网络.  从调制解调器池访问学院网络在获得网络访问之前进行验证.  任何从Internet获得的访问都要经过防火墙来限制他们可以访问的资源.  大多数来自互联网的用户被限制在网站上提供的公共信息.

通过要求潜在用户提供有效的用户标识和密码来保护电子邮件等服务.  如果用户没有用户标识和密码的有效组合, 他们不被允许进入.  这种方法用于不被视为公开的服务和信息.  存储在存储财务数据的管理服务器上的所有数据都是如此.   除了, 一旦用户提供了有效的用户标识和密码组合，管理数据就得到了进一步的保护, 它们只显示与其功能相关的数据. 

当商业上合理时, 存储和传输都将采用加密技术. 所有涵盖的数据和信息将被维护在服务器后面的学院的防火墙. IT部门维护的所有防火墙软件和硬件都将保持最新状态.

选择合适的服务提供者

由于需要专门的专业知识来设计, 实现, 为新技术服务, 可能需要供应商提供学院决定不自行提供的资源. 在选择将维护或定期访问所涵盖的数据和信息的服务提供商的过程中, 评估过程应包括服务提供商保护机密财务信息的能力. 与服务提供商签订的合同应包括以下一项或多项条款:

• 明确承认合同允许合同伙伴获取机密信息;
• 对所提供的保密信息的具体定义或者说明;
• ag娱乐官网保密信息将严格保密并仅为合同明确的商业目的而访问的规定;
• 合同合作伙伴保证其将按照商业上可接受的标准保护其收到的机密信息，其严格程度不低于其保护自己的机密信息;
• ag娱乐官网合同提供方在合同完成或终止时归还或销毁其收到的所有机密信息的规定;
• An agreement that any violation of the contract’s confidentiality conditions may constitute a material breach of the contract and entitles the College to terminate the contract without penalty; and
• 确保合同的保密要求在任何终止协议后仍然有效的条款.

保安事故通知

Westmont应在发现任何违反保密信息的数据和信息安全行为后立即通知保密信息的所有者或被许可方, 如果信息, 是, 或被合理地认为曾经是, 未经授权的人获得的. 

持续评估与调整

本信息安全计划将定期审查和调整.  继续管理开发, 该计划的实施和维护将由行政副校长与学院法律顾问协商后负责，学院法律顾问将审查本政策中规定的标准，并在必要时提出更新和修订建议.  可能有必要调整计划以反映技术或法律的变化, 学生/客户资料的敏感性，以及内部或外部对资讯安全的威胁.