综合资讯科技服务
数据泄露通知
按此下载:
政策:
范围:
政策原因:
定义:
过程:
执行:
资源/问题:
综合资讯科技署设有资讯事故应变计划,以保障资讯保安, 保密, 以及教员个人信息的完整性, 工作人员, 学生, 和校友. 作为这个计划的一部分, Utica大学将根据当地相关要求通知受影响的个人数据安全漏洞, 状态, 或者联邦法律. 用户必须向信息安全总监报告所有事故. 所有法律要求的报告将由信息安全总监完成, 负责大学基础设施的副校长兼首席信息官, 或法律事务副总裁和总法律顾问或其指定人员.
范围:
这一政策适用于利记sbo收集的所有领域, 访问, 维护, 分配过程, 保护, 商店, 使用, 传输, 处理, 或以其他方式处理受保护的教师信息, 工作人员, 学生, 或校友.
政策原因:
本政策为利记sbo社区提供了一般指导,以报告利记sbo受保护的信息已经或可能已经被泄露的事件.
此过程符合所有联邦和州法律,例如:
此过程符合所有联邦和州法律,例如:
- 格拉姆·利奇·比利法案15u.S.C. §§ 6801
《利记sbo》指出:
“当金融机构意识到未经授权访问敏感客户信息的事件时, 组织应进行合理的调查,以迅速确定信息已被或将被滥用的可能性. 如果组织确定客户信息的滥用已经发生或有合理的可能性, 应尽快通知受影响的客户.
如果适当的执法机构确定此类通知将干扰刑事调查,则该指南允许延迟通知.”
- 1996年健康保险流通与责任法案(HIPAA) 45 CFR§§160.103, 164.400-414
影响500人以上的违规行为
“如果不安全的健康信息泄露影响到500人或更多人, 受保实体必须将违规行为通知卫生与公众服务部部长,不得无故拖延,且无论如何不得迟于发现违规行为后60个日历日. 受保护实体必须通过点击下面的链接并填写违规通知表格的所有必需字段以电子方式提交通知.”
对影响500人以上的违规行为提交通知 (由资讯保安署署长填写), 负责信息技术和机构研究的副总裁, 或主管法律事务的副总裁、总领事或其指定人员)
影响不到500人的违规行为
“如果不安全的健康信息泄露影响不到500人, 受保实体必须在发现违规行为的日历年结束后60天内将违规行为通知卫生与公众服务部长. (A covered entity is not required to wait until the end of the calendar year to report breaches affecting fewer than 500 individuals; a covered entity may report such breaches at the time they are discovered.)受保护实体可以在一个日期内报告影响少于500人的所有违规行为, 但是,受保实体必须为每个违规事件填写单独的通知. 受保护实体必须通过点击下面的链接并填写违规通知表格的所有字段以电子方式提交通知.”
对影响少于500人的违规行为提交通知 (由资讯保安署署长填写), 负责信息技术和机构研究的副总裁, 或主管法律事务的副总裁、总领事或其指定人员)
- 纽约州信息安全漏洞和通知法(NYSISBNA) - N.Y. 创. 公共汽车. 法律第899-aa条
根据NYSISBNA规定的要求, 大学将在发现或通知包含私人信息的系统的任何安全漏洞后,向其私人信息被泄露的纽约州任何居民披露该漏洞, 或被合理地认为曾经是, 未经有效授权而获得的. 披露应在最合适的时间进行,不得有不合理的延误, 符合合法的执法需要或任何必要的措施,以确定违约的范围和恢复系统的合理完整性. 根据NYSISBNA, 如果执法机构确定所要求的通知妨碍了刑事调查,则可延迟通知. 如果已经作出这样的决定, 然后,在该执法机构确定该通知不影响该调查后,应发出通知. 另外, 违规通知将发送给纽约州消费者保护委员会, 网络安全和关键基础设施协调办公室(CSCIC), 和纽约州总检察长使用CSCIC纽约州办公室在本网站概述的方法:
http://its.ny.gov/incident-reporting
定义:
通知. 通知受违约影响的人并向适用的政府机构提供所需报告的行为.
私人信息. 如果获得的信息包含一个名字(姓和名或姓和名的首字母缩写),并结合以下任何一种情况, 而且这些信息并不是加密的, 在下列情况下,可能需要公开通知:
私人信息. 如果获得的信息包含一个名字(姓和名或姓和名的首字母缩写),并结合以下任何一种情况, 而且这些信息并不是加密的, 在下列情况下,可能需要公开通知:
- 社会安全号码
- 驾驶执照号码
- 银行账户, 信贷, 或者借记卡账号, 访问, 销, 或者允许访问该账户的密码
公众可以公开和合法获得的个人信息, 比如地址, 电话号码, 和电子邮件地址, 在本政策中不被视为私人信息吗.
受保障的个人资料. 包括, 但不限于, 个人身份信息(PII), 受保护的健康信息(PHI), 并保护学生信息(PSI),如下所述. PPD包括保存在任何电子或硬拷贝介质中的数据.
受保障的个人资料. 包括, 但不限于, 个人身份信息(PII), 受保护的健康信息(PHI), 并保护学生信息(PSI),如下所述. PPD包括保存在任何电子或硬拷贝介质中的数据.
- 个人可识别信息(PII):个人的名字或名字的首字母和姓氏与以下任何一个或多个数据元素的组合, 当名称或数据元素未被加密或编校或使用其他方法保护,使其无法被未经授权的人读取或使用时:
- 社会保险号码;
- 机动车驾驶证号码或者非驾驶人身份证号码;
- 金融账户号码或信用卡或借记卡号码, 在没有额外识别信息的情况下使用该号码, 接入码, 或密码;
- 账户密码或个人识别码或其他金融账户的访问码.
- 受保护的健康信息(PHI):包括45 CFR§160中定义的可识别的健康信息.103 that is 传输ted or 维护ed by the University’s covered HIPAA components; PHI also includes identifiable health information that is obtained by a University employee or someone working on behalf of the University pursuant to an agreement with another organization or governmental entity that is 保护ed under the HIPAA/HITECH Act.
- 受保护的学生信息(PSI):由大学维护的学生教育记录, 无论是学术单位还是行政单位, 受到《利记sbo》(FERPA)的保护,并在《利记sbo》中有更详细的描述 利记sboFERPA权利披露政策.
安全漏洞
- 未经授权取得电子数据,或有理由相信未经授权取得电子数据会危及安全, 保密, 根据纽约州信息安全漏洞和通知法案(NYSISBNA)的定义,利记sbo维护的PII的完整性- N.Y. 创. 公共汽车. 法律第899-aa条;
- 泄露不安全的受保护健康信息, 无论信息的形式和格式如何(i.e.(电子、纸质)符合HIPAA违规通知规则,45 CFR§164.402和HITECH法案(P.L. 111-5, § 13407); or
- 未经授权收购或合理相信未经授权收购PII或PSI,大学官员认为值得通知受影响的人,尽管没有监管义务这样做.
安全事故. 用户有理由相信可能存在安全漏洞的事件.
用户: 任何使用者,包括任何教员、职员、顾问、承包商、学生或其代理人.
用户: 任何使用者,包括任何教员、职员、顾问、承包商、学生或其代理人.
过程:
识别和报告安全事件
任何办公室或个人意识到包含受保护信息的潜在安全漏洞,必须立即向信息安全和网络专家(DISNS)主任报告潜在的安全漏洞,电话:(315)223-2386或发送电子邮件至 infosec@daehanserver.net.
由DISNS指挥, 报告人应当遵循有关保护数据和保存证据的指示. 如果需要对安全漏洞进行公开通知, DISNS将与负责法律事务的副总统和总法律顾问进行磋商, 负责总统事务的副总裁兼首席营销和通信官, 以及其他各方根据所有联邦和州法律法规正式启动违约通知计划. 有关资料外泄过程的详情,请参阅大学的资讯事件应变计划.
通知要求
根据决定,利记sbo将采取以下步骤之一:
任何办公室或个人意识到包含受保护信息的潜在安全漏洞,必须立即向信息安全和网络专家(DISNS)主任报告潜在的安全漏洞,电话:(315)223-2386或发送电子邮件至 infosec@daehanserver.net.
由DISNS指挥, 报告人应当遵循有关保护数据和保存证据的指示. 如果需要对安全漏洞进行公开通知, DISNS将与负责法律事务的副总统和总法律顾问进行磋商, 负责总统事务的副总裁兼首席营销和通信官, 以及其他各方根据所有联邦和州法律法规正式启动违约通知计划. 有关资料外泄过程的详情,请参阅大学的资讯事件应变计划.
通知要求
根据决定,利记sbo将采取以下步骤之一:
- 如果违反了PPD,需要或值得通知, 受影响的个人应收到事件通知, 在最合适的时间内完成,不得无故拖延, 符合执法机构的合法需要.
- 如果个人信息被泄露, 必须根据法律要求向受影响的个人发出通知.
- 如果违反了PHI, 受影响的个人必须在不合理延迟的情况下收到通知,且在任何情况下不得迟于发现违规行为后60天.
注意违反PPD的方法可能因受影响的个人数量而异, 通知的成本, 以及与受影响个体的正常沟通方式, 但在所有情况下都要遵循适用的法律要求.
Utica大学可以根据违规的性质和程度,外包部分或全部违规通知要求.
文档
利记sbo将记录所有报告的信息安全事件. 文件编制职责包括:
Utica大学可以根据违规的性质和程度,外包部分或全部违规通知要求.
文档
利记sbo将记录所有报告的信息安全事件. 文件编制职责包括:
- 收到的事故记录
- 评价过程和评价结果
- 建议的纠正措施,以控制事件和防止未来的事件
- 违约判定结果
- 责任部门认定
- 向受影响个人发出通知的文件, 联邦办公室, 国家办事处, 以及商业伙伴, 在适用情况下
所有员工都有责任通过电话(315)792-3115或电子邮件通知IITS任何可疑的安全漏洞 helpdesk@daehanserver.net. 将通知信息安全主任(ISO). ISO将与负责法律事务的副总裁和总法律顾问协调工作, 负责总统事务的副总裁兼首席营销和通信官, 以及其他合适的人员.
执行:
执行Utica大学的政策是每个政策的“资源/问题”部分列出的办公室或办公室的责任. 负责办公室将联系有关教职员工的适当当局, 学生, 供应商, 或者违反政策的游客.
利记sbo承认,大学的政策可能无法预料到可能出现的每一个问题. 因此,大学保留就本政策的执行作出合理和相关决定的权利. 所有这些决定都必须得到大学官员的批准.e. 总统, 教务长兼学术事务高级副校长, 财务副总裁, 负责学生生活和招生管理的高级副总裁, 或法律事务副总裁兼总法律顾问).
利记sbo承认,大学的政策可能无法预料到可能出现的每一个问题. 因此,大学保留就本政策的执行作出合理和相关决定的权利. 所有这些决定都必须得到大学官员的批准.e. 总统, 教务长兼学术事务高级副校长, 财务副总裁, 负责学生生活和招生管理的高级副总裁, 或法律事务副总裁兼总法律顾问).
资源/问题:
了解更多信息, 联系信息安全和网络专家主任(DISNS),电话:(315)223-2386或电子邮件至 infosec@daehanserver.net.
请注意,其他利记sbo的政策可能适用或与此政策相关. 如果需要查询相关策略,请使用在线策略手册中的“关键字查询”功能.
请注意,其他利记sbo的政策可能适用或与此政策相关. 如果需要查询相关策略,请使用在线策略手册中的“关键字查询”功能.
| 有效日期: | 10/16/2017 |
| 发布日期: | 11/03/2017 |