大学信息-love爱博-love爱博

love爱博的短信条款和条件

目的

本页提供了有关从love爱博短信通信的条款和条件.

love爱博, “We”, “GSCC”)使用短信服务发送文本信息，与学生沟通申请和注册截止日期, 应用程序更新, 事件, 提醒, 以及其他重要信息. 申请或被学院录取并不需要使用该服务. 该服务通过短信向您提供学院认为有用和相关的信息.

可选

love爱博的学生或未来的学生可以选择接收短信(i.e.，短信)通过选择是的在申请过程中，回答“我希望收到有关love爱博入学过程的短信”. 你可以选择 NO 要退出. 您也可以随时通过回复选择退出停止任何来自GSCC的短信.

通讯成本

您的无线运营商的标准消息和数据速率可能适用. 当您选择接收短信时, 您负责支付任何运营商费用，例如数据计划费用, 短信收费, 通行费, 赴漫游, 还有其他收费. 每个月的消息频率根据你的学生状态和行为而变化. 向你的流动电话营办商查询有关接收短讯的详情.

隐私政策

您对短信服务的使用受学院信息安全政策(见下文)的约束。, M-1.11，涵盖与隐私有关的问题. love爱博不会要求你, 您也不应该提供个人身份信息, 密码, 或短信中的任何其他机密或敏感信息. 除非学院信息安全政策允许，否则GSCC不会与第三方共享您的信息. 您与学院分享的所有移动信息将保密，仅供学院代表使用，以更有效地帮助您. 学院不与外部资源共享电话号码.

资讯保安政策

1. 目的

此策略的目的是定义敏感信息, 最大限度地减少丢失或暴露由love爱博(GSCC)维护的敏感信息的风险，并遵守州和联邦对保护数据和报告数据泄露的要求.

2. 范围

此政策适用于所有GSCC员工, 学生, 供应商, 承包商和其他可能使用电脑的人, 服务器, 或包含或可能访问GSCC机密或个人身份信息(PII)的任何其他数据系统。.

3. 政策

3.1公共和敏感数据

GSCC承认其有义务保护与学生有关的个人身份信息(PII)的隐私, 教师, 工作人员, 和其他人. 指导信息的分类，并制定处理和披露各类信息的指南, GSCC定义了两种类型的信息:“公共”和“敏感”."

公共信息是指GSCC在本政策下未归类为敏感信息的任何信息. 公共信息一般对任何提出要求的人开放，但必须在发布前核实其准确性. 已聚合以删除PII的汇总数据在默认情况下被视为公共数据. 只有经授权的GSCC员工才能根据政策M-1发布公共信息.员工手册中列出的第13条.

敏感信息是指GSCC控制下包含PII的任何信息. 对这些信息的访问由相应的数据管理员授权. 数据管理员需要定期审查授予其权限范围内的数据的访问权限. 除了, 数据管理员还负责在存储的法规要求结束后处理客户数据.

敏感信息只能存储在学院拥有的数据系统中，或存储在首席信息官(CIO)批准的服务提供商的数据系统中。. 批准的服务提供者必须提供文件，表明他们已经实施了可接受的保障措施. 这些保障的适当性将作为第3节所述年度报告的一部分每年进行评估.本文件第2条.

敏感数据只能发布给信息的主体和授权的GSCC员工，这些员工根据其目前的职责有合法的需要知道. 在某些情况下, 如果信息主体提供书面许可或法律另有许可，则外部实体可获准访问敏感信息. 这些信息的使用通常受到州或联邦法律的保护, 包括但不限于:

1999年的《love爱博体育平台》(GLBA)——管理财务信息的隐私和使用
1996年《love爱博体育平台》(HIPAA)——管理医疗保健信息的隐私和使用
1974年《love爱博体育平台》(FERPA)——管理学生信息的隐私和使用

需要注意的是，敏感数据, 在此策略和相关策略中定义, 不仅包括GSCC数据系统中使用的和静止的数据，还包括论文, 的声音, 或任何其他可储存或传送gscc控制资料的形式.

3.2信息安全计划

为了确保敏感数据得到保护，并满足某些GLBA要求, GSCC根据本政策制定了信息安全计划. 本计划由系统管理员-网络安全负责维护，并由首席信息官提供监督和指导. 该计划以信息安全计划为指导，该计划将由首席信息官和网络安全系统管理员每年进行评估和更新. 另外, 该计划建立了包括系统/网络渗透测试在内的年度风险评估, 定期漏洞扫描, 补丁管理.

系统管理员-网络安全将向首席信息官提交一份年度报告，概述信息安全计划的总体状况及其对本政策和信息安全计划的遵守情况. 这份报告将讨论风险评估等问题, 风险管理和控制决策, 服务提供者安排, 测试结果, 安全事件或违规行为及管理层对此的回应, 以及对信息安全程序变更的建议.

3.3数据泄露应对

数据泄露是指PII和/或敏感数据泄露的安全事件. 这包括但不限于受到威胁的数据, 损坏, 复制, 传播, 查看, 被任何未经授权的人窃取或使用. 任何已知或可疑的数据泄露必须报告给信息技术服务(ITS)信息安全团队(在信息安全计划中定义)，以启动适当的调查. 可疑的数据泄露应通过电子邮件报告 infosec@squirreltrapping.net 或致电ITS服务台256-549-8341.

一旦收到可疑数据泄露的通知，系统管理员-网络安全将评估报告，以确定是否发生了实际的泄露. 如果发生了泄露，系统管理员-网络安全将开始调查并通知首席信息官. 信息安全团队的成员将与数据所有者合作，确保立即删除对受损资源的所有访问. 如果入侵发生在GSCC网络之外, 适当的ITS部门成员将与第三方供应商协调消除对受损数据的访问, 个人, 等.

信息泄露的严重程度将由首席信息官决定. 如果违规行为被认为是严重的，那么CIO将被授权创建一个关键响应团队. 该团队的成员将由ITS的选定员工组成, 受影响的单位, 基于数据类型的其他部门, 或首席信息官或系统管理员-网络安全认为必要的任何个人. 关键响应小组将由首席信息官和信息安全小组委派职责，为事件响应过程提供额外的帮助. 如果违规行为涉及犯罪嫌疑人, 信息保障小组将通知加兹登州安全部门. 将决定是否需要执法通知. 如果是这样，将会发出通知.

信息安全团队将根据信息安全计划的事件响应部分进行操作，以减轻威胁并恢复对数据的正常访问.

3.4信息安全培训

所有新员工在入职时都必须完成信息安全培训. 现有员工将有权获得第3条制定的信息安全计划中定义的培训材料.本政策第2条.

确保信息安全人员采取措施，保持与不断变化的信息安全威胁相关的最新知识和培训, 首席信息官和系统管理员-网络安全将被要求每年至少参加两次与信息安全相关的专业发展会议.

3.5 ITS变更管理

必须规划ITS系统和服务的重大变化, 记录, 并在实施前获得授权. ITS部门的工作单系统将用于请求和记录这些系统的重大变更. 在实施之前，变更将由适当的利益相关者和适当的ITS员工进行审查和批准. 紧急变更必须在实施后尽快记录并授权. 影响安全性的更改, 完整性, 或ITS系统和服务的可用性必须在实施前由信息安全保证团队审核和批准(该团队的定义见第6条).GSCC资讯安全计划第0条). 任何未经授权对ITS系统和服务的更改必须立即报告给信息安全保证小组.

3.6笔记本电脑和便携式设备加密

不应将属于love爱博的敏感信息存储在便携式设备和/或可移动媒体上，除非在执行指定职责或提供州或联邦机构要求的信息时绝对需要. 便携式设备包括但不限于笔记本电脑, 平板电脑, 智能手机, jump-drives, 等.

当敏感信息存储在便携式设备或可移动媒体上时, 它必须按照当前批准的加密标准进行加密. 已批准的加密标准包括Windows系统的BitLocker, macOS的FileVault, Linux的全磁盘加密(FDE), 以及任何其他符合或超过美国采用的AES-128加密标准的加密.S. 政府.

属于love爱博的敏感信息绝不能存储在个人便携式设备和/或可移动媒体上. 另外, 包含属于love爱博的敏感信息的便携式设备和/或可移动媒体可能无法连接, 或与…一起使用, 个人电脑和其他私人设备.

3.7 .智能手机和平板电脑电子邮件安全

在某些情况下，可以在智能手机和/或平板电脑设备上使用love爱博的电子邮件帐户，以方便与GSCC相关的公务. 例如, 如果要将电子邮件存储在设备上的帐户中, GSCC要求使用适当的PIN, 密码, 或其他安全锁定方法. 在这种情况下, 学院保留远程清除丢失设备内容的权利, 偷来的, 或恶意使用GSCC的电子邮件帐户.

不希望在设备上存储电子邮件的用户, 或者不想启用安全功能的用户仍然可以使用智能手机或平板电脑上的网络浏览器访问电子邮件，而无需输入相关的PIN码. 另外, 用户可以使用Microsoft Outlook Web Access (OWA)应用程序, 在这种情况下，学院保留远程擦除OWA应用程序内容的权利，但在丢失手机的情况下，不会擦除整个手机, 被盗或恶意使用的GSCC电子邮件帐户.

3.8工作站安全

为了保密, 完整性, GSCC对包含或可以访问PII的所有工作站实施了物理和技术保障措施，并限制授权用户的访问.

部门应该做出合理的努力，限制对提供给授权用户的域加入工作站的物理访问. 当工作站长时间无人值守时，负责该工作站的员工应锁定屏幕以防止未经授权的访问. 锁定工作站不会关闭文件或注销工作会话，但需要输入工作站密码才能恢复会话. IT部门被授权通过电子策略更新在MIS域工作站强制执行15分钟的屏幕不活动超时.

工作站只能由授权用户自己访问. 任何用户不得使用任何已由他人登录的工作站进行日常工作.

不允许在工作站上安装任何未经授权的软件.

笔记本电脑或任何其他包含PII或其他敏感数据的非固定设备在不使用时应加以保护. 保护这些设备的方法包括电缆锁, 上锁的抽屉, 锁柜, 或任何其他合理的方法，以防止个人能够轻松窃取包含敏感数据的设备.
面向公众区域的工作站应安装隐私屏幕过滤器或其他物理屏障，以防止暴露敏感数据.

建议所有与关键或敏感数据交互的工作站使用不间断电源(UPS)，以在电力丢失或退化的情况下保护数据的完整性.

信息技术服务(ITS)人员必须确保所有Windows工作站都运行某种形式的病毒防护. 工作站还应运行端点检测和响应(EDR)软件，以实时识别威胁. 基于EDR对学院功能所必需的特定程序的干扰，可以免除工作站的EDR要求. 这些豁免是罕见的，必须由系统管理员-网络安全或首席信息官批准. 工作站不允许在没有病毒保护的情况下运行.

当工作站不再服务时，ITS部门将在将系统发送到盈余之前拆除并粉碎所有硬盘驱动器.

3.9服务器安全

资讯科技服务(ITS)职员必须确保所有Windows伺服器都有某种形式的防毒装置. Windows服务器还应运行端点检测和响应(EDR)软件，以实时识别威胁. 系统管理员-网络安全可随时自行决定暂时禁用服务器上的EDR，以便在适当时重新启用该功能. 不允许服务器在没有病毒保护的情况下运行.

所有Linux和Windows服务器必须保持最新. Windows服务器应该在发布后60天内安装适当的更新, 允许ITS管理员有足够的时间测试更新与GSCC系统的兼容性. Linux系统应该在120天内安装更新. 如果一个重要的更新是已知的，以保护学院的功能, 它必须在ITS管理员或首席信息官的建议下立即安装，以避免将学院置于危险之中.

启用RDP访问的Windows服务器必须使用多因素身份验证. 如果无法为任何这些服务器启用多因素身份验证, 那么必须禁用RDP访问.

3.10禁用帐户

雇员的Active Directory帐户将在其雇佣关系正式终止后的下一个工作日被禁用. 如果人力资源部门提出请求，也可以立即禁用Active Directory帐户. 另外, 如果ITS管理员或服务台员工认为活动目录帐户可能危及机密性，则该管理员或服务台员工可以暂时禁用该帐户, 完整性, 或GSCC数据或数据系统的可用性. 如果ITS员工因此原因禁用活动目录帐户, 然后要求他们尽快将此操作报告给CIO.

当用户的Active Directory帐户被禁用时，对员工电子邮件帐户的访问将自动终止. 院长批准后，被解雇员工的电子邮件可以转发给其他员工.