《世界著名博彩公司》法案

《世界著名博彩公司》法案

《世界著名博彩公司》法案, (GLBA)将于5月23日生效, 2003, 处理银行和投资公司等金融机构所拥有的客户资料的保护和保密问题. GLBA不包含对学院或大学的豁免. 结果是, 从事财务活动的教育机构, 比如处理学生贷款, 都必须遵守. GLBA和其他新兴立法可能导致在电子和物理数据管理实践的所有领域制定信息安全注意标准, 学生, 客户, 校友, 捐赠, 等.). 因此, 世界著名博彩公司帕克斯堡分校对某些高度关键的私人财务和相关信息采取了信息安全计划. 本信息安全计划适用于大学在GLBA要求的业务过程中收到的客户财务信息,以及包括在其范围内的其他保密财务信息.
本计划的目的是:

  • 根据联邦贸易委员会发布的适用的GLBA规则,确保客户信息的安全性和保密性.
  • 防止对受保护电子数据的安全或完整性的预期威胁.
  • 防止未经授权的访问或使用受保护的数据,这可能会对任何客户造成伤害或不便.

项目协调与责任

信息安全项目的协调员是世界著名博彩公司帕克斯堡分校的首席信息官. 协调员负责开发工作, 实现, 监督世界著名博彩公司帕克斯堡分校遵守GLBA保障规则所要求的政策和程序. 尽管遵守的最终责任在于协调员, 每个操作领域的代表负责在其具体操作中实施和维护安全计划的规定要求.

资讯保安管治委员会
信息安全治理委员会的存在是为了确保本信息安全计划保持最新,并评估由GLBA推动的潜在政策或程序变化. 委员会的成员可能会不时变化,但至少会包括首席信息官, 财务执行副总裁 & 行政部门,以及来自财政援助、商业办公室、记录和学院的代表. 如有必要,可增加其他人员.

关于GLBA对业务流程和政策影响的问题,以及关于技术问题的问题, 风险评估, 信息技术安全政策应提交给信息安全计划协调员.

风险评估及保障措施

处理和存储任何必须保护的信息都存在固有的风险. 确定风险领域并保持适当的保障措施可以降低风险. 安全措施旨在降低处理受保护信息所固有的风险,包括对信息系统和纸张存储的安全措施.

书面计划
保障规则要求世界著名博彩公司帕克斯堡分校及其受影响单位制定书面信息安全计划,描述其保护客户信息的计划. 计划必须适合WVUP的大小和复杂性, 我们活动的性质和范围,以及我们所处理的客户信息的敏感性. 作为其计划的一部分,WVUP及其受影响单位必须:

•指定一名或多名员工协调其信息安全计划(首席信息官)
•识别和评估在大学运营的每个相关领域对客户信息的风险, 并评估当前控制已识别风险的保障措施的有效性
•设计和实施保障程序,并定期监控和测试该程序
•选择能够维护适当安全措施的第三方供应商, 确保与这些供应商的合同要求他们维护安全措施, 并允许大学监督他们对客户信息的处理
•根据相关情况定期评估和调整项目, 包括大学业务或运作的改变, 或者安全测试和监控的结果.

员工培训与教育

员工处理并有权访问受保护的信息以履行其工作职责. 这包括永久员工和临时员工以及学生员工, 谁的工作职责要求他们访问受保护的信息,或者谁在可以访问受保护信息的位置工作. 各部门有责任保持对保护受保护信息的高度意识和敏感性,并应定期提醒员工其重要性. 如果没有意识到这一点的文化,对办公室布局和实践的微小改变可能会严重损害受保护的信息.
部门代表负责确保员工接受有关GLBA概念和要求的培训. 有关GLBA和数据处理的培训材料可在网上获得. 经GLBA协调人批准, 这些培训模板和其他材料可以由每个部门定制,以反映各自的培训需求. 培训可以以满足部门目标的多种方式进行. 各部门负责保存接受过培训的工作人员的记录,并应要求提供书面副本.

对服务提供者和合同的监督

GLBA要求大学采取合理步骤,选择和保留为所涵盖的数据和信息提供适当保障的服务提供商. 应审查合同,以确保包括以下语言:

[服务提供商]同意实施并维持一份书面的综合信息安全计划,其中包括管理和管理信息安全, 客户信息安全和保护的技术和物理保障措施,并进一步包含§314中规定的每一个要素.保护客户信息的Gramm Leach Bliley标准(16c.F.R. § 314). [服务提供商]进一步同意按照其信息安全计划和《世界著名博彩公司》保护在本协议项下提供给其的所有客户信息.
GLBA合同尽职调查在合同谈判的各个方面都得到了考虑, 包括安全控制审查.

信息安全计划之评估与修订

GLBA要求对本信息安全计划进行定期审查和调整. 其中最频繁的审查将发生在信息技术安全和政策部门,不断变化的技术和不断演变的风险表明定期审查是明智的. 大学其他相关办公室的程序,例如资料查阅程序和培训计划,应定期检讨.

本信息安全计划定期重新评估,以确保持续遵守现有和未来的法律法规.

定义

覆盖组件
-世界著名博彩公司帕克斯堡的任何区域, 哪些需要符合GLBA法规.

受管制非机密资料
-法律信息, 监管, 或者政府范围内的政策要求有保护或传播控制, 不包括13526号行政命令下的机密信息, 国家安全机密信息, 12月29日, 2009, 或任何前任或后继命令, 或者1954年的原子能法案, 修订的.

客户信息
-任何包含16c中定义的非公开个人信息的记录.F.R. § 313.3(n), 关于一家金融机构的客户, 无论是在纸上, 电子, 或其他形式, 由(金融机构)或(其)关联机构或其代表处理或维持的.

金融产品或服务
– (i) any product or service that a financial holding company could offer by engaging in a financial activity; and
- (ii)金融服务包括您对您根据消费者的金融产品或服务请求或申请而收集的信息进行评估或经纪.

非公开个人信息
- (i)个人可识别的财务信息和
-任何清单, 描述, 或使用任何不公开的个人身份财务信息派生的其他消费者分组(以及有关他们的公开可用信息). 16 C.F.R. § 313.3(n) (1).

个人财务信息
-任何资料:
(i)消费者向您提供金融产品或服务,以获取您提供的金融产品或服务;
(ii) 关于 a consumer resulting from any transaction involving a financial product or service between you and a consumer; or
(iii)你以其他方式获得有关向消费者提供金融产品或服务的消费者的资料.

受保护的信息
-个人身份的财务信息或受保护的健康信息, 是由GLBA所涵盖的.

联邦贸易委员会可能认为是金融产品或服务的活动包括:
-学生(或其他)贷款, 包括接收申请信息, 以及此类贷款的发放或服务
-财务或投资顾问服务
-信贷咨询服务
-税务筹划或税务准备
-收回拖欠贷款及帐目
-汇票、储蓄债券或旅行支票的销售
-支票兑现服务
-与金融服务有关的旅行社服务
-房地产结算服务
-汇款服务
-发行涉及利息的信用卡或长期付款计划
-个人财产和房地产评估
-为寻求在金融、会计或审计领域就业的人士提供职业咨询服务
—主体提供的服务, 关于生命的经纪人或代理人, 健康, 责任或伤残保险产品
—从消费者报告中获取信息
-提供或发放年金

相关政策及程序

帐户妥协政策和程序

帐户管理政策及程序

反病毒和反垃圾邮件策略

BYOD政策

数据泄露响应政策和程序

数据保护-授权控制策略

电子邮件政策

互联网使用政策

多因素认证策略

密码策略

特权帐户政策

马上申请