GLBA政策
帕洛阿尔托大学
GLBA信息安全必修课程
概述:本文件总结了帕洛阿尔托大学的综合书面信息安全计划(“计划”)由联邦贸易委员会的保障规则和Gramm - Leach - Bliley法案(“GLBA”)授权。特别地,本文件描述了机构打算(i)确保所涵盖记录的安全性和保密性,(ii)防止对该等记录的安全性的任何预期威胁或危害,以及(iii)防止以可能对客户造成重大伤害或不便的方式未经授权访问或使用该等记录或信息的计划要素。本计划通过引用纳入了下列机构的政策和程序,并且是对根据其他联邦和州法律法规(包括但不限于FERPA)可能要求的任何机构政策和程序的补充。
指定代表:指定机构的首席信息官为项目官员,负责协调和监督项目。项目官员可指定机构的其他代表监督和协调项目的特定内容。有关项目实施或本文件解释的任何问题应直接向项目官员或其指定人员提出。
项目范围:该项目适用于任何包含与学院有关系的学生或其他第三方的非公开财务信息的记录,无论是纸质、电子还是其他形式,这些记录是由学院或其附属机构或其代表处理或维护的。
就上述目的而言,“非公开财务信息”一词系指以下任何信息:(i)学生或其他第三方为从学校获得金融服务而亚洲顶级在线投注平台提供的信息;(ii)学生或其他第三方因与学校进行涉及金融服务的任何交易而获得的信息;或(iii)以其他方式获得的与向学生或其他第三方亚洲顶级在线投注平台提供金融服务有关的信息。
项目内容:
1. 风险识别和评估。机构打算识别和评估非公开财务信息信息安全的内部/外部风险,这些风险可能导致未经授权的披露、滥用、更改、破坏或其他危害。在实施该计划时,计划官员将制定程序,以识别和评估机构运营各相关领域的此类风险,包括:
- 员工培训和管理。项目官员将与学校人力资源、财政援助和商务办公室的代表协调,评估学校在访问和使用学生记录(包括财政援助信息)方面的程序和做法的有效性。该评估将包括评估机构在该领域的现行政策和程序的有效性,包括包含FERPA、PII、PHI、HIPAA和PCI-DSS等受保护数据的任何领域或服务。
- 信息系统和信息处理与处置。项目官员将与机构信息技术部的代表协调,评估与机构信息系统相关的非公开财务信息的风险,包括网络和软件设计、信息处理以及非公开财务信息的存储、传输和处置。该评估将包括评估机构当前与信息安全和可接受使用政策相关的政策和程序。项目官员还将与机构的信息技术部协调,评估监控与软件系统相关的潜在信息安全威胁的程序,以及通过实施补丁或其他旨在处理已知安全漏洞的软件修复等方式更新该等系统的程序。
- 检测、预防和应对攻击。项目官员将与机构的信息技术部和其他相关单位协调,评估检测、预防和响应攻击或其他系统故障的程序和方法,以及现有的网络访问和安全政策和程序,以及协调响应网络攻击和制定事件响应团队和政策的程序。在这方面,项目官员可选择委托信息技术部的一名代表负责监督和参与传播与报告已知安全攻击及机构所使用网络完整性的其他威胁相关的信息。
2. 设计和实施保障措施。上述风险评估和分析适用于所有非公开财务信息的处理或处置方式,无论是电子、纸质还是其他形式。项目官员应定期实施保障措施,以控制通过该等评估确定的风险,并定期测试或以其他方式监测该等保障措施的有效性。这样的测试和监控可以通过现有的网络监控和问题升级程序来完成。
3. 监督服务亚洲顶级在线投注平台提供商。项目官员应与信息技术部和其他受影响部门中负责第三方服务采购活动的人员进行协调,以提高认识,并制定方法,选择和保留那些能够为学生和其他第三方的非公开财务信息亚洲顶级在线投注平台提供适当保护的服务亚洲顶级在线投注平台提供商。此外,项目官员将与商务事务副总裁和首席财务官合作,制定并纳入适用于第三方服务亚洲顶级在线投注平台提供商的标准合同保护措施,这将要求此类亚洲顶级在线投注平台提供商实施和维护适当的保护措施。对这些标准条款的任何偏离都需要商务事务副总裁和首席财务官的批准。这些标准应适用于与此类第三方服务亚洲顶级在线投注平台提供商签订的所有现有和未来合同。
4. 程序调整。项目官员负责根据根据项目开展的风险识别和评估活动,以及机构运营的任何重大变化或可能对项目产生重大影响的其他情况,对项目进行评估和调整。
联系人
| 主题 | 联系 | 电话 | 电子邮件 |
| GLBA政策 | 信息技术 | 650-433-3832 | support@paloaltou.edu |
| 联系 | 日期 |
| 大卫·莱维特——创造 | 05/06/19 |
| 大卫·莱维特——修订版 | 6/17/19 |