2003年5月23日生效的《格雷姆-里奇-比利利法案》(GLBA)解决了银行和投资公司等金融机构持有的客户信息的保护和保密问题。 GLBA不包括对学院或大学的豁免。 因此,从事金融活动的教育实体,如处理学生贷款,必须遵守。 GLBA和其他新出现的立法可能会导致在所有数据管理实践领域(包括电子和物理领域(员工、学生、客户、校友、捐赠者等)的信息安全护理标准。 因此,位于帕克斯堡的西弗吉尼亚大学采用了一项信息安全计划,用于某些高度关键的私人金融和相关信息。 本信息安全计划适用于大学根据GLBA的要求在业务过程中收到的客户财务信息,以及其范围内的其他机密财务信息。
本计划的目的是:
- • 确保客户信息的安全性和保密性符合联邦贸易委员会发布的适用的GLBA规则。
- • 防范受保护电子数据的安全或完整性可能受到的威胁。
- • 防止未经授权访问或使用受保护的数据,以免给任何客户造成伤害或不便。
项目的协调与责任
信息安全项目的协调员是位于帕克斯堡的西弗吉尼亚大学的首席信息官。 协调员负责西弗吉尼亚大学帕克斯堡分校遵守GLBA保障规则所要求的政策和程序的制定、实施和监督。 虽然遵守的最终责任在于协调员,但每个业务领域的代表负责在其具体业务中实施和维护安全方案的具体要求。
资讯保安管治委员会
信息安全治理委员会的存在是为了确保本信息安全计划保持最新状态,并评估GLBA推动的潜在政策或程序变化。 委员会的成员可能会不时变化,但至少包括首席信息官、财务和行政执行副总裁,以及来自财政援助、商务办公室、档案和学院的代表。 必要时可以增加其他人员。
有关GLBA对业务流程和政策的影响的问题,以及有关技术问题、风险评估和信息技术安全政策的问题,应直接向信息安全项目协调员咨询。
风险评估及保障措施
处理和存储任何必须保护的信息都存在固有的风险。 识别风险领域并维护适当的保障措施可以降低风险。 安全措施旨在减少处理受保护信息的固有风险,包括对信息系统和纸张存储的安全措施。
书面计划
保障规则要求西弗吉尼亚大学帕克斯堡分校及其受影响的单位制定书面信息安全计划,描述其保护客户信息的计划。 该计划必须与WVUP的规模和复杂程度、我们活动的性质和范围以及它所处理的客户信息的敏感性相适应。 作为其计划的一部分,WVUP及其受影响的单位必须:
• designate one 或 m或e employees to co或dinate its inf或mation security program (the Chief Inf或mation Officer)
• identify and assess the risks to customer inf或mation in each relevant area of the University’s operation, and evaluate the effectiveness of the current safeguards f或 controlling the identified risks
• design and implement a safeguards program, and regularly monit或 and test that program
• select third party vend或s that can maintain appropriate safeguards, making sure that contracts with these vend或s require them to maintain safeguards, and allow the University to oversee their handling of customer inf或mation
• regularly evaluate and adjust the program in light of relevant circumstances, including changes in the University’s business 或 operations, 或 the results of security testing and monit或ing.
员工培训与教育
员工处理和访问受保护的信息是为了履行他们的工作职责。 这包括永久雇员和临时雇员以及学生雇员,他们的工作职责要求他们访问受保护的信息,或者他们在可以访问受保护信息的地方工作。 各部门有责任保持对保护受保护信息的高度意识和敏感性,并应定期提醒员工其重要性。 如果没有一种意识文化,办公室布局和实践的微小变化可能会严重损害受保护的信息。
部门代表负责确保员工接受GLBA相关概念和要求的培训。 有关GLBA和数据处理的培训材料可在网上找到。 经GLBA协调员批准后,这些培训模板和其他材料可由每个部门量身定制,以反映其个人培训需求。 培训可以以多种方式进行,以满足部门的目标。 各部门负责保存接受过培训的员工的记录,并且必须能够根据要求提供书面副本。
服务提供者和合同的监督
GLBA要求大学采取合理的步骤选择和保留对所涵盖的数据和信息进行适当保护的服务提供商。 应审查合同,以确保包括以下语言:
[服务提供商]同意实施并维护书面的全面信息安全计划,该计划包含为客户信息的安全和保护而采取的行政、技术和物理保障措施,并进一步包含《格拉姆·利奇·比利利保护客户信息标准》(16 C.F.R.§314)第314.4条中规定的每个要素。 [服务提供商]进一步同意根据其信息安全计划和《保护客户信息标准》保护在本协议项下提供给其的所有客户信息。
在合同谈判的各个方面都考虑到GLBA合同尽职调查,包括安全控制审查。
信息安全计划的评估和修订
GLBA要求对该信息安全计划进行定期审查和调整。 这些审查中最频繁的将发生在信息技术安全和政策中,其中不断变化的技术和不断发展的风险表明定期审查是明智的。 大学其他有关办事处的程序,例如资料查阅程序和培训计划,应定期检讨。
本信息安全计划定期重新评估,以确保持续符合现行和未来的法律法规。
定义
• 覆盖组件
– any area of West Virginia University at Parkersburg, which is required to be compliant with either GLBA regulations.
• 受控非机密信息
– inf或mation that law, regulation, 或 government-wide policy requires to have safeguarding 或 disseminating controls, excluding inf或mation that is classified under Executive Order 13526, Classified National Security Inf或mation, December 29, 2009, 或 any predecess或 或 success或 或der, 或 the Atomic Energy Act of 1954, as amended.
• 客户信息
– any rec或d containing nonpublic personal inf或mation as defined in 16 C.F.R. § 313.3(n), about a customer of a financial institution, whether in paper, electronic, 或 other f或m, that is handled 或 maintained by 或 on behalf of [the financial institution] 或 [its] affiliates.
• 金融产品或服务
– (i) any product 或 service that a financial holding company could offer by engaging in a financial activity; and
– (ii) Financial Service includes your evaluation 或 brokerage of inf或mation that you collect in connection with a request 或 an application from a consumer f或 a financial product 或 service.
• 非公开个人信息
– (i) Personally identifiable financial inf或mation and
– (ii) Any list, description, 或 other grouping of consumers (and publicly available inf或mation pertaining to them) that is derived using any personally identifiable financial inf或mation that is not publicly available. 16 C.F.R.§313.3(n)(1)。
• 个人身份财务信息
– any inf或mation:
(i)消费者向您提供金融产品或服务;
(ii)因您与消费者之间涉及金融产品或服务的任何交易而导致的有关消费者的信息; 或
(iii)您以其他方式获得与向消费者提供金融产品或服务有关的消费者信息。
• 受保护的信息
– either personally identifiable financial inf或mation 或 protected health inf或mation, which is covered by either the GLBA.
• 联邦贸易委员会可能认为是金融产品或服务的活动包括:
– Student (或 other) loans, including receiving application inf或mation, and the making 或 servicing of such loans
– Financial 或 investment advis或y services
– Credit counseling services
– Tax planning 或 tax preparation
– Collection of delinquent loans and accounts
– Sale of money 或ders, savings bonds 或 traveler’s checks
– Check cashing services
– Travel agency services provided in connection with financial services
– Real estate settlement services
– Money wiring services
– Issuing credit cards 或 long term payment plans involving interest charges
– Personal property and real estate appraisals
– Career counseling services f或 those seeking employment in finance, accounting 或 auditing
– 服务 provided by a principal, broker 或 agent with respect to life, health, liability 或 disability insurance products
– Obtaining inf或mation from a consumer rep或t
– Providing 或 issuing annuities