《迪士尼彩乐园》法案
《迪士尼彩乐园》法案, (GLBA)于5月23日生效, 2003, 解决银行和投资公司等金融机构持有的客户信息的保护和保密问题. GLBA不包括对学院或大学的豁免. 结果是, 从事财务活动的教育机构, 比如处理学生贷款, 都必须遵守. 《迪士尼彩乐园》和其他新兴立法可能导致在所有数据管理实践领域(包括电子和实体)制定信息安全注意标准, 学生, 客户, 校友, 捐赠, 等.). 因此, 位于帕克斯堡的迪士尼彩乐园采用了一项信息安全计划,用于某些高度关键的私人金融和相关信息. 本信息安全计划适用于大学根据GLBA的要求在业务过程中收到的客户财务信息,以及其范围内的其他机密财务信息.
本计划的目的是:
- • 确保客户信息的安全性和保密性符合联邦贸易委员会发布的适用的GLBA规则.
- • 防范受保护电子数据的安全或完整性可能受到的威胁.
- • 防止未经授权访问或使用受保护的数据,以免给任何客户造成伤害或不便.
项目的协调与责任
信息安全项目的协调员是位于帕克斯堡的迪士尼彩乐园的首席信息官. 协调员负责开发, 实现, 监督迪士尼彩乐园帕克斯堡分校遵守GLBA保障规则所要求的政策和程序. 尽管遵守的最终责任在于协调员, 每个操作区域的代表负责在其具体操作中实施和维护安全程序的规定要求.
资讯保安管治委员会
信息安全治理委员会的存在是为了确保本信息安全计划保持最新状态,并评估GLBA推动的潜在政策或程序变化. 委员会成员可不时变动,但至少包括首席信息官, 财务执行副总裁 & 行政人员,以及来自财政援助、商务办公室、档案和学院的代表. 必要时可以增加其他人员.
有关GLBA对业务流程和政策的影响的问题以及有关技术问题的问题, 风险评估, 信息技术安全政策应直接提交给信息安全项目协调员.
风险评估及保障措施
处理和存储任何必须保护的信息都存在固有的风险. 识别风险领域并维护适当的保障措施可以降低风险. 安全措施旨在减少处理受保护信息的固有风险,包括对信息系统和纸张存储的安全措施.
书面计划
保障规则要求迪士尼彩乐园帕克斯堡分校及其受影响的单位制定书面信息安全计划,描述其保护客户信息的计划. 该计划必须适合WVUP的规模和复杂性, 我们活动的性质和范围,以及我们所处理的客户信息的敏感性. 作为其计划的一部分,WVUP及其受影响的单位必须:
•指定一名或多名员工来协调其信息安全计划(首席信息官)
•识别和评估大学运营中每个相关领域的客户信息风险, 并评估当前控制已识别风险的保障措施的有效性
•设计和实施安全保障计划,并定期监控和测试该计划
•选择能够维护适当安全措施的第三方供应商, 确保与这些供应商签订的合同要求他们维护安全措施, 并允许大学监督他们对客户信息的处理
•根据相关情况定期评估和调整项目, 包括大学业务或运作的变化, 或者安全检测和监控的结果.
员工培训与教育
员工处理和访问受保护的信息是为了履行他们的工作职责. 这包括长期和临时雇员以及学生雇员, 谁的工作职责要求他们访问受保护的信息,或者谁的工作地点可以访问受保护的信息. 各部门有责任保持对保护受保护信息的高度意识和敏感性,并应定期提醒员工其重要性. 如果没有一种意识文化,办公室布局和实践的微小变化可能会严重损害受保护的信息.
部门代表负责确保员工接受GLBA相关概念和要求的培训. 有关GLBA和数据处理的培训材料可在网上找到. 经GLBA协调员批准后, 这些培训模板和其他材料可以由每个部门量身定制,以反映他们的个人培训需求. 培训可以以多种方式进行,以满足部门的目标. 各部门负责保存接受过培训的员工的记录,并且必须能够根据要求提供书面副本.
服务提供者和合同的监督
GLBA要求大学采取合理的步骤选择和保留对所涵盖的数据和信息进行适当保护的服务提供商. 应审查合同,以确保包括以下语言:
[服务提供商]同意实施并维护一份书面的综合信息安全计划,该计划包含以下内容, 客户信息安全和保护的技术和物理保障措施,并进一步包含§314中规定的每个要素.《迪士尼彩乐园》(16 C)第4条.F.R. § 314). [服务提供商]进一步同意根据其信息安全计划和《迪士尼彩乐园》保护在本协议项下提供给其的所有客户信息.
在合同谈判的各个方面都考虑到GLBA合同尽职调查, 包括安全控制审查.
信息安全计划的评估和修订
GLBA要求对该信息安全计划进行定期审查和调整. 这些审查中最频繁的将发生在信息技术安全和政策中,其中不断变化的技术和不断发展的风险表明定期审查是明智的. 大学其他有关办事处的程序,例如资料查阅程序和培训计划,应定期检讨.
本信息安全计划定期重新评估,以确保持续符合现行和未来的法律法规.
定义
• 覆盖组件
-帕克斯堡迪士尼彩乐园的任何区域, 哪些需要符合GLBA规定.
• 受控非机密信息
-法律信息, 监管, 或者政府范围内的政策要求有保障或传播控制, 不包括根据13526号行政命令分类的信息, 国家安全机密信息, 12月29日, 2009, 或者任何前驱或后继顺序, 或者1954年的原子能法案, 修订的.
• 客户信息
-任何包含16c中定义的非公开个人信息的记录.F.R. § 313.3(n), 关于一个金融机构的客户, 无论是在纸上, 电子, 或者其他形式, 由[金融机构]或[其]附属机构或其代表处理或维护的.
• 金融产品或服务
– (i) any product or service that a financial holding company could offer by engaging in a financial activity; and
- (ii)金融服务包括您对您根据消费者对金融产品或服务的请求或申请而收集的信息进行评估或经纪.
• 非公开个人信息
- (i)个人身份的财务信息和
-任何名单, 描述, 或其他消费者分组(以及与他们相关的公开可用信息),这些信息是使用任何未公开可用的个人可识别财务信息派生的. 16 C.F.R. § 313.3(n) (1).
• 个人身份财务信息
-任何资料:
(i)消费者向您提供金融产品或服务;
(ii) 关于 a consumer resulting from any transaction involving a financial product or service between you and a consumer; or
(iii)您以其他方式获得与向消费者提供金融产品或服务有关的消费者信息.
• 受保护的信息
-个人身份财务信息或受保护的健康信息, 哪些是GLBA所涵盖的.
• 联邦贸易委员会可能认为是金融产品或服务的活动包括:
-学生(或其他)贷款, 包括接收申请信息, 贷款:提供或偿还此类贷款
-财务或投资咨询服务
-信贷谘询服务
-税务筹划或税务准备
-收回拖欠贷款及帐款
-销售汇票、储蓄债券或旅行支票
—支票兑现业务
-提供与金融服务有关的旅行社服务
——房地产结算服务
-汇款服务
-发放信用卡或涉及利息的长期付款计划
-个人财产和房地产评估
-为寻求在金融、会计或审计领域就业的人士提供职业咨询服务
-由委托人提供的服务, 人寿方面的经纪人或代理人, 健康, 责任或伤残保险产品
-从消费者报告中获取信息
-提供或发放年金