CSU个人信息保护程序
目的: CSU个人信息保护程序的目的是实施所有 程序和通知程序符合并根据个人 信息保护法,815 ILCS 530. 该法案旨在确保统一通知 致所有个人信息可能被泄露的人 未经授权的实体.
本程序适用于所有提供、接收或接触个人资料的人员 在188bet金宝搏官网登录网址履行职责的过程中获取信息.
定义:
数据收集器 188bet金宝搏官网登录网址是一所公立大学,被认为是“数据收集者”。.
违反 指未经授权获取危及安全的计算机数据; 数据收集者所维护的个人信息的保密性或完整性. “违反系统数据安全”不包括善意获取 数据收集者的雇员或代理人为合法的 数据收集者的目的,前提是不使用个人信息 为与资料收集者的业务无关或可能进一步未经授权的目的 信息披露.
个人信息 是指个人的名字或名字的首字母和姓氏的组合 任何一个或多个以下数据元素,当名称或数据元素 未加密或编辑的:
- 社会安全号码.
- 驾驶执照号码或州身份证号码.
- 帐户号码或信用卡或借记卡号码,或帐户号码或信用卡 与任何必需的安全码、访问码或密码组合的数字 会允许访问个人的金融账户吗.
违约可能包括以下任何一项或全部:
- 一种活跃的恶意软件感染,恶意软件允许未经授权的远程访问 系统或允许从未授权的机器中检索数据 已知包含个人信息的. 这还不包括入境检疫 在有问题的系统上并不实际执行的恶意软件.
- 任何计算设备(如笔记本电脑、个人电脑或备份介质)的丢失或被盗 包含未加密的个人信息.
- 任何包含个人信息的打印件的丢失或被盗.
资讯科技署的职责
- (1)当可以确定主动妥协时,过渡段将及时采取行动 通过采取诸如断开受影响系统的连接之类的操作来控制事件。 从校园网,执行网络封锁,或其他必要的行动.
- 大学官员、部门主管和部门计算机技术人员 应尽快通过电子邮件和电话通知ITD员工 是否意识到可能的安全威胁. ITD将记录这一事件 提供系统日志作为入侵的证据.
部门职责:
- 该部维持的系统属于这一类.
- 部门必须维护包含个人信息的系统清单. 该清单应仅供授权方查阅.
- 如果任何事件符合分类标准,部门将进行认证 并立即通知ITD. 然后ITD将遵循该课程 作为此记录事件的后续行动.
- 如果事件需要执法干预,适当的执法 必须立即与机构联系,并将指导保存过程 证据. 如果执法部门要介入,那么信息的监管链 相关的安全妥协必须通过特殊的程序来保存 是否超越了ITD提供的服务. 过渡时期发展署和新闻部也将跟进 执法机构在他们的指导下制定的程序.
- 如果该事件不值得执法部门干预,那么由本地计算机管理员 或者可以利用其他技术人员来确定安全事件的深度 并从中恢复过来.
- 部门将制定和实施预防未来事故的计划.
该程序是根据伊利诺伊州的个人信息保护实施的 法令,第815条,第530条
通知的过程:
- 如有未经授权取得电脑资料,将发出通知 危及个人信息的安全性、保密性或完整性的数据 由CSU维护.
- 通知应是适当的,不得无故延误(除非通知 会妨碍刑事调查).
- 通知应包括:消费者的免费电话号码和地址 reporting agencies; the toll-free number, address and website address for the Federal Trade Commission; and a statement that the individual can obtain information from 这些关于欺诈警报和安全冻结的来源. 通知不应包括 伊利诺斯州居民或CSU社区受影响人数的信息 在缺口处.
- 适当的通知可以是一致的书面或电子形式 USC第155条第7001条.
- 通知也可以通过替代通知发出,但该通知应包括
所有 下列的:
- 电子邮件通知,如果我们有个人的电子邮件;
- Conspicuous posting of the Notice on the data collector's web site; and
- 通知全州主要媒体.
- 一旦发生违规行为,必须在5个工作日内向 大会列出违反和概述纠正措施,以防止未来 违反.
- 每年必须提交一份年度报告,列出所有违反安全的行为 系统或书面材料及已采取的纠正措施 防止未来的违规行为.
- 材料的处理必须使信息不可读、不可用和不可破译.
- 电子材料可能被销毁或删除,使个人信息不能 被读取或重构.
- 纸质文件可能被编辑、烧毁、粉碎或粉碎,使个人信息 无法读取或重构.
- 如果违规行为影响超过1000人,犯罪现场调查组也应尽快通知 所有国家消费者报告机构的时间,分布和内容 通知的内容. 不应要求犯罪现场组识别的数字或名称 受影响方.
版权所有
