语法 - 莱希·巴利利法案(GLBA)合规性

概述

《语法 - 莱希·巴利利法案》(《公法106-102》)于1999年签署为法律,这是为增强金融服务行业竞争的一部分。该法第501条要求保护非公共个人信息。尽管它们不属于金融服务行业,但高等教育机构(例如创意研究学院(CCS))根据本法被认为是金融机构,因为它们在维修学生贷款中的重要作用。manbetx.ne官网联邦贸易委员会是实施GLBA的法定权力机构,发布了一项最终规则,题为《消费者财务信息的隐私》,以实施GLBA的隐私规定。

同样,高等教育机构受到美国教育部管理的1974年家庭教育权和隐私法(FERPA)的广泛隐私合规条款。理解FERPA要求在处理教育记录时覆盖任何其他合规活动。

2001年,联邦贸易委员会发布了一项最终规则,题为“保护客户信息”。该规则指出,金融机构必须“ […]开发,实施和维护一项全面的信息安全计划,该计划以一个或多个易于访问的零件编写,并包含适合您的规模和复杂性的管理,技术和物理保障措施,您的活动的性质和范围,以及任何客户信息的敏感性。”(16 CFR 314.3)在其作为金融机构的作用范围内,需要高等教育机构才能遵守该规则。

该计划协调员

该学院的信息技术服务总监被指定为计划协调员,他们应负责协调和监督该计划。该计划协调员将与隐私和安全委员会合作监督和协调该计划的特定要素。隐私和安全委员会由以下成员组成:行政管理和财务副总裁,入学和学生服务副总裁,副教务长,信息技术服务总监(计划协调员),商业服务总监,经济援助总监,主管人力资源,注册服务商,本科招生主任和研究生录取主任。有关计划的实施或本文档解释的任何问题,都应针对计划协调员或隐私和安全委员会成员。

程序范围

该计划适用于包含有关与学院有关系的学生或其他第三方的任何记录,无论是在纸质,电子或其他形式中,由大学或其分支机构处理或代表其处理或维护。出于这些目的,非公共财务信息一词是指任何信息(i)学生或其他第三方为了从机构获得金融服务,(ii)关于与与该机构的任何交易有关的学生或其他第三方的信息涉及金融服务的大学,或(iii)其他关于学生或其他第三方与为该人提供金融服务的信息。

程序的元素

风险标识和评估

该学院打算作为该计划的一部分,承诺识别和评估非公共财务信息的安全性,机密性和完整性的外部和内部风险,这可能导致未经授权的披露,滥用,更改,破坏或其他这种此类此类折衷信息。在实施该计划时,计划协调员以及隐私和安全委员会将建立识别和评估机构运营每个相关领域的此类风险的程序,包括:

  • 员工培训和管理。该计划协调员以及隐私和安全委员会将评估学院的程序和实践与访问和使用学生记录有关的程序和实践的有效性,包括经济援助信息。该评估将包括评估该学院当前政策和程序在该领域的有效性,包括所有员工手册(员工,全职教职员工和兼职),学生手册,CCS策略数据库和其他学生记录政策。
  • 信息系统和信息处理和处置。该计划协调员将与信息技术服务部的代表进行协调,以评估与大学信息系统相关的非公共财务信息的风险,包括网络和软件设计,信息处理以及存储,传输和处置非公开财务信息。该评估将包括评估学院的当前政策和程序,该政策与该大学网络安全性的可接受使用政策,文档保留和破坏有关。程序协调员将监视与软件系统相关的潜在信息安全威胁,并通过实施补丁程序或其他旨在处理已知安全缺陷的软件修复程序来更新此类系统。
  • 检测,防止和应对攻击。该计划协调员将评估检测,防止和响应其他系统故障以及现有网络访问以及安全策略和程序的程序和方法,以及协调对网络攻击以及开发题材响应响应响应团队和政策的响应的程序。该计划协调员将负责监视和传播与已知安全攻击的报告以及对学院使用网络完整性的其他威胁有关的信息。

设计和实施保障措施

上述的风险评估和分析应适用于所有处理或处置非公共财务信息的方法,无论是电子,纸张还是其他形式。计划协调员以及隐私和安全委员会将定期执行保障措施,以控制通过此类评估确定的风险,并定期测试或以其他方式监视此类保障措施的有效性。可以通过现有的网络监控和问题升级程序来完成此类测试和监视。

监督服务提供商

该计划协调员应与负责信息技术服务和其他受影响部门之间第三方服务采购活动的人员进行协调,以提高人们对方法的认识,并仅选择和保留那些能够维持适当保障措施的服务提供商有关学生和其他第三方的非公共财务信息,他们将可以访问。此外,该计划协调员将与行政和金融副总裁或入学率和学生服务副总裁合作,以开发和纳入适用于第三方服务提供商的标准,合同保护,这将要求此类提供者执行和维护适当保障措施。

调整程序

The Program Coordinator, along with the Privacy and Security Committee, is responsible for evaluating and adjusting the Program based on the risk identification and assessment activities undertaken pursuant to the Program, as well as any material changes to the College’s operations or other circumstances that may have a material impact on the Program.

生效日期
2019年6月3日

最后更新日期
2021年1月4日

批准办公室
行政和金融