তথ্য নিরাপত্তা পরিকল্পনা পদ্ধতি

ভূমিকা

এই বিস্তৃত লিখিত তথ্য সুরক্ষা পরিকল্পনা পদ্ধতির ("পরিকল্পনা") বিকাশ এবং বাস্তবায়নের উদ্দেশ্য হল সম্ভাব্য ছাত্র, আবেদনকারী, ছাত্র, কর্মচারী, প্রাক্তন ছাত্রদের "ব্যক্তিগত তথ্য" সুরক্ষার জন্য কার্যকর প্রশাসনিক, প্রযুক্তিগত এবং শারীরিক সুরক্ষা তৈরি করা। , এবং হাডসন কাউন্টি কমিউনিটি কলেজের বন্ধুরা, এবং নিউ জার্সি রেগুলেশন 201 CMR 17.00 এর অধীনে আমাদের বাধ্যবাধকতা মেনে চলা। প্ল্যানটি কলেজের উপাদানগুলির "ব্যক্তিগত তথ্য" অ্যাক্সেস, সংগ্রহ, সঞ্চয়, ব্যবহার, প্রেরণ, এবং সুরক্ষার আমাদের ইলেকট্রনিক এবং শারীরিক পদ্ধতিগুলি মূল্যায়নের জন্য আমাদের পদ্ধতিগুলি নির্ধারণ করে৷

এই প্ল্যানের উদ্দেশ্যে, "ব্যক্তিগত তথ্য" একজন ব্যক্তির প্রথম নাম এবং পদবি, বা প্রথম প্রাথমিক এবং শেষ নাম হিসাবে সংজ্ঞায়িত করা হয়, নিম্নলিখিত যেকোন এক বা একাধিক ডেটা উপাদানের সাথে মিলিত হয় যা এই ধরনের বাসিন্দার সাথে সম্পর্কিত: (ক) সামাজিক নিরাপত্তা নম্বর; (খ) চালকের লাইসেন্স নম্বর বা রাষ্ট্র-প্রদত্ত শনাক্তকরণ কার্ড নম্বর; বা (গ) আর্থিক অ্যাকাউন্ট নম্বর বা ক্রেডিট বা ডেবিট কার্ড নম্বর, কোনও প্রয়োজনীয় নিরাপত্তা কোড সহ বা ছাড়াই, অ্যাক্সেস কোড, ব্যক্তিগত সনাক্তকরণ নম্বর বা পাসওয়ার্ড যা একজন বাসিন্দার আর্থিক অ্যাকাউন্টে অ্যাক্সেসের অনুমতি দেবে যেখানে হাডসন কাউন্টি কমিউনিটি কলেজ সেই ডেটার রক্ষক। ; যাইহোক, "ব্যক্তিগত তথ্য"-এর মধ্যে এমন তথ্য অন্তর্ভুক্ত থাকবে না যা আইনত সর্বজনীনভাবে উপলব্ধ তথ্য, বা ফেডারেল, রাজ্য বা স্থানীয় সরকারের রেকর্ড থেকে আইনত সাধারণ জনগণের জন্য উপলব্ধ করা হয়েছে।

উদ্দেশ্য

এই পরিকল্পনার উদ্দেশ্য হল:

1. 1. ব্যক্তিগত তথ্যের নিরাপত্তা এবং গোপনীয়তা নিশ্চিত করা;
   2. ব্যক্তিগত তথ্যের নিরাপত্তা বা অখণ্ডতার যেকোনো সম্ভাব্য হুমকি বা বিপদ থেকে রক্ষা করা; এবং,
   3. পরিচয় চুরি বা জালিয়াতির যথেষ্ট ঝুঁকি তৈরি করে এমনভাবে ব্যক্তিগত তথ্যে অননুমোদিত অ্যাক্সেস বা ব্যবহার থেকে রক্ষা করুন।

ব্যাপ্তি

পরিকল্পনা প্রণয়ন ও বাস্তবায়নে, প্রতিষ্ঠানটি করবে: (1) ব্যক্তিগত তথ্য সম্বলিত যেকোনো ইলেকট্রনিক, কাগজ বা অন্যান্য রেকর্ডের নিরাপত্তা, গোপনীয়তা এবং অখণ্ডতার জন্য যুক্তিসঙ্গতভাবে অভ্যন্তরীণ ও বাহ্যিক ঝুঁকি চিহ্নিত করবে; (2) ব্যক্তিগত তথ্যের সংবেদনশীলতা বিবেচনায় নিয়ে এই হুমকিগুলির সম্ভাব্যতা এবং সম্ভাব্য ক্ষতির মূল্যায়ন করুন; (3) বিদ্যমান নীতি, অনুশীলন, পদ্ধতি, তথ্য ব্যবস্থা এবং ঝুঁকি নিয়ন্ত্রণের জন্য অন্যান্য সুরক্ষা ব্যবস্থার পর্যাপ্ততা মূল্যায়ন করা; (4) 201 CMR 17.00-এর প্রয়োজনীয়তাগুলির সাথে সামঞ্জস্যপূর্ণ, সেই ঝুঁকিগুলিকে কমিয়ে আনার জন্য একটি পরিকল্পনা তৈরি এবং বাস্তবায়ন করা; এবং (5) নিয়মিত পরিকল্পনা পর্যবেক্ষণ করুন।

ডেটা নিরাপত্তা সমন্বয়কারী

পরিকল্পনা বাস্তবায়ন, তত্ত্বাবধান এবং রক্ষণাবেক্ষণের জন্য HCCC চিফ ইনফরমেশন অফিসার (CIO) এবং ব্যবসা ও অর্থ/CFO-এর ভাইস প্রেসিডেন্টকে মনোনীত করেছে। সিআইও এবং ভাইস প্রেসিডেন্ট ফর বিজনেস অ্যান্ড ফাইন্যান্স/সিএফও এর জন্য দায়ী থাকবেন:

1. 1. পরিকল্পনার প্রাথমিক বাস্তবায়ন;
   2. সমস্ত মালিক, ব্যবস্থাপক, কর্মচারী এবং স্বাধীন ঠিকাদার যাদের ব্যক্তিগত তথ্যে অ্যাক্সেস রয়েছে তাদের জন্য পরিকল্পনার উপাদান এবং প্রয়োজনীয়তার উপর চলমান কর্মচারী প্রশিক্ষণের তত্ত্বাবধান;
   3. পরিকল্পনার সুরক্ষা ব্যবস্থা পর্যবেক্ষণ করা;
   4. তৃতীয় পক্ষের পরিষেবা প্রদানকারীদের মূল্যায়ন করা যাদের ব্যক্তিগত তথ্যের অ্যাক্সেস এবং হোস্ট/ট্রান্সমিট/ব্যাকআপ/রক্ষণাবেক্ষণ করা, এবং ব্যক্তিগত তথ্য সুরক্ষিত করার জন্য এই ধরনের উপযুক্ত নিরাপত্তা ব্যবস্থা বাস্তবায়ন ও বজায় রাখার জন্য চুক্তির মাধ্যমে সেই পরিষেবা প্রদানকারীদের প্রয়োজন;
   5. বার্ষিক প্ল্যানে নিরাপত্তা ব্যবস্থার সুযোগ পর্যালোচনা করা, অথবা যখনই HCCC-এর ব্যবসায়িক অনুশীলনে কোনো বস্তুগত পরিবর্তন ঘটে যা ব্যক্তিগত তথ্য সম্বলিত রেকর্ডের নিরাপত্তা বা অখণ্ডতাকে প্রভাবিত করতে পারে; এবং,
   6. আইন ও আইন পর্যালোচনা করা এবং প্রয়োজন অনুযায়ী নীতি ও পদ্ধতি আপডেট করা।

অভ্যন্তরীণ ঝুঁকি

ব্যক্তিগত তথ্য সম্বলিত যেকোনো ইলেকট্রনিক, কাগজ বা অন্যান্য রেকর্ডের নিরাপত্তা, গোপনীয়তা এবং অখণ্ডতার অভ্যন্তরীণ ঝুঁকি মোকাবেলা করার জন্য এবং এই ধরনের ঝুঁকি সীমিত করার জন্য বর্তমান সুরক্ষা ব্যবস্থার কার্যকারিতা মূল্যায়ন ও উন্নত করার জন্য, নিম্নলিখিত ব্যবস্থাগুলি অবিলম্বে বাধ্যতামূলক এবং কার্যকর: 

প্রশাসনিক ব্যবস্থা

1. 1. 1. পরিকল্পনার একটি অনুলিপি রাষ্ট্রপতি, রাষ্ট্রপতির মন্ত্রিসভা, তথ্য প্রযুক্তি পরিষেবা (ITS) কর্মীদের এবং ব্যক্তিগত তথ্য পরিচালনাকারী অন্যান্য মনোনীত কর্মী সদস্যদের কাছে বিতরণ করা হবে। প্ল্যান প্রাপ্তির পর, প্রতিটি ব্যক্তিকে লিখিতভাবে স্বীকার করতে হবে যে তারা পরিকল্পনার একটি অনুলিপি পেয়েছে।
      2. প্রশিক্ষণের পরে, সমস্ত কর্মীদের গোপনীয়তা চুক্তিতে স্বাক্ষর করতে হবে যা ব্যক্তিগত তথ্য পরিচালনার বর্ণনা দেয়। গোপনীয়তা চুক্তির জন্য স্টাফ সদস্যদের CIO বা ভাইস প্রেসিডেন্ট ফর হিউম্যান রিসোর্সেসের কাছে "ব্যক্তিগত তথ্য" এর কোনো সন্দেহজনক বা অননুমোদিত ব্যবহারের প্রতিবেদন করতে হবে।
      3. সংগৃহীত ব্যক্তিগত তথ্যের পরিমাণ অবশ্যই বৈধ ব্যবসায়িক উদ্দেশ্যগুলি সম্পাদন করার জন্য যুক্তিসঙ্গতভাবে প্রয়োজনীয়তার মধ্যে সীমাবদ্ধ থাকতে হবে। ব্যক্তিগত তথ্য ব্যবহার বিভিন্ন এলাকায় অডিট মাধ্যমে সম্বোধন করা হয়.
      4. সমস্ত ডেটা সুরক্ষা ব্যবস্থাগুলি অন্তত বার্ষিক পর্যালোচনা করা হবে, বা যখনই HCCC-এর ব্যবসায়িক অনুশীলনে বা আইনে কোনও পরিবর্তন ঘটে যা ব্যক্তিগত তথ্য ধারণকারী রেকর্ডগুলির সুরক্ষা বা অখণ্ডতাকে যুক্তিসঙ্গতভাবে জড়িত করতে পারে৷ সিআইও এবং ভাইস প্রেসিডেন্ট ফর বিজনেস অ্যান্ড ফাইন্যান্স/সিএফও এই পর্যালোচনার জন্য দায়ী থাকবেন এবং সেই পর্যালোচনার ফলাফল এবং সেই পর্যালোচনা থেকে উদ্ভূত উন্নত নিরাপত্তার জন্য যেকোন সুপারিশ সম্পর্কে বিভাগীয় প্রধানদের সম্পূর্ণরূপে অবহিত করবেন।
      5. যখনই এমন কোনো ঘটনা ঘটে যার জন্য NJ Stat-এর অধীনে বিজ্ঞপ্তির প্রয়োজন হয়। § 56:8-163, নিউ জার্সির ব্যক্তিগত তথ্য ডেটা লঙ্ঘন রিপোর্টিং আইন, HCCC-এর নিরাপত্তা অনুশীলনে কোনো পরিবর্তন প্রয়োজন কিনা তা নির্ধারণ করার জন্য ঘটনা এবং গৃহীত পদক্ষেপগুলির অবিলম্বে একটি বাধ্যতামূলক পর্যালোচনা করা হবে। পরিকল্পনার অধীনে ব্যক্তিগত তথ্যের নিরাপত্তা।
      6. প্রতিটি বিভাগ নিয়ম তৈরি করবে (সেই বিভাগের ব্যবসায়িক প্রয়োজনের কথা মাথায় রেখে) যা নিশ্চিত করবে যে ব্যক্তিগত তথ্যের শারীরিক অ্যাক্সেসের উপর যুক্তিসঙ্গত বিধিনিষেধ রয়েছে, একটি লিখিত পদ্ধতি সহ যা বলে যে কীভাবে রেকর্ডের শারীরিক অ্যাক্সেস সীমাবদ্ধ করা হয়। প্রতিটি বিভাগকে অবশ্যই লক করা সুবিধা, নিরাপদ স্টোরেজ এলাকায় বা লক করা ক্যাবিনেটে এই ধরনের রেকর্ড এবং ডেটা সংরক্ষণ করতে হবে।
      7. সিস্টেম অ্যাডমিনিস্ট্রেশন অ্যাকাউন্ট ব্যতীত, ইলেকট্রনিকভাবে সঞ্চিত ব্যক্তিগত তথ্যের অ্যাক্সেস ইলেকট্রনিকভাবে সেই সমস্ত কর্মচারীদের জন্য সীমাবদ্ধ থাকবে যাদের উপযুক্ত অ্যাক্সেস সহ একটি অনন্য লগইন আইডি রয়েছে। যে কর্মচারীদের সিআইও নির্ধারণ করে তাদের ইলেকট্রনিকভাবে সঞ্চিত ব্যক্তিগত তথ্য অ্যাক্সেসের প্রয়োজন নেই তাদের অ্যাক্সেস দেওয়া হবে না।
      8. যখন একটি গোপনীয়তা চুক্তি না থাকে, তখন পরিদর্শক বা ঠিকাদারকে সংবেদনশীল ডেটার অ্যাক্সেস, যার মধ্যে পাসওয়ার্ড, এনক্রিপশন কী, এবং প্রযুক্তিগত বৈশিষ্ট্য সহ কিন্তু সীমাবদ্ধ নয়, যখন প্রয়োজন হয়, লিখিতভাবে সম্মত হতে হবে। প্রবেশাধিকার ন্যূনতম প্রয়োজনীয় পরিমাণে সীমাবদ্ধ থাকবে। যদি অ্যাক্সেসের জন্য দূরবর্তী লগইন প্রয়োজন হয়, তবে সেই অ্যাক্সেসটি অবশ্যই HCCC-এর ITS বিভাগের মাধ্যমে অনুমোদিত হতে হবে।

শারীরিক ব্যবস্থা

1. 1. 1. ব্যক্তিগত তথ্য সম্বলিত রেকর্ডগুলিতে অ্যাক্সেস সীমাবদ্ধ থাকবে যাদের HCCC-এর বৈধ ব্যবসায়িক উদ্দেশ্য পূরণের জন্য এই ধরনের তথ্য জানার যুক্তিসঙ্গত প্রয়োজন। অপ্রয়োজনীয় প্রকাশের বিরুদ্ধে প্রশমিত করার জন্য, সংবেদনশীল এবং ব্যক্তিগত তথ্য সংশোধন করা হবে, কাগজের রেকর্ডগুলি লক করা সুবিধাগুলিতে সংরক্ষণ করা হবে এবং ইলেকট্রনিক রেকর্ডগুলির জন্য ডেটা সুরক্ষা নিয়ন্ত্রণগুলি কার্যকর করা হবে৷
      2. কর্মদিবসের শেষে, সমস্ত নন-ইলেক্ট্রনিক ফাইল এবং ব্যক্তিগত তথ্য সম্বলিত অন্যান্য রেকর্ড অবশ্যই তালাবদ্ধ কক্ষ, অফিস বা ক্যাবিনেটে সংরক্ষণ করতে হবে।
      3. ব্যক্তিগত তথ্য সম্বলিত কাগজের রেকর্ড এমনভাবে নিষ্পত্তি করা হবে যা NJ Stat-এর সাথে সম্মত হয়। § 56:8-163, নিউ জার্সির ব্যক্তিগত তথ্য ডেটা লঙ্ঘন প্রতিবেদন আইন। এর অর্থ হল ক্রস-কাট শ্রেডার ব্যবহার করে রেকর্ডগুলি নিষ্পত্তি করা উচিত, বা অন্যান্য পদ্ধতি যা তথ্যকে অপাঠ্য করে।

প্রযুক্তিগত ব্যবস্থা

1. 1. 1. HCCC কর্মীদের পোর্টেবল মিডিয়াতে ব্যক্তিগত তথ্য সংরক্ষণ করার অনুমতি দেয় না। এতে ল্যাপটপ, ইউএসবি, সিডি ইত্যাদি অন্তর্ভুক্ত রয়েছে৷ যখন ব্যক্তিগত তথ্যে অ্যাক্সেস আছে এমন কর্মচারীদের বন্ধ করা হয়, তখন HCCC নেটওয়ার্ক সংস্থান এবং ব্যক্তিগত তথ্য ধারণকারী শারীরিক ডিভাইসগুলিতে তাদের অ্যাক্সেস বন্ধ করে দেবে৷ এর মধ্যে রয়েছে নেটওয়ার্ক অ্যাকাউন্ট, ডাটাবেস অ্যাকাউন্ট, কী, ব্যাজ, ফোন এবং ল্যাপটপ বা ডেস্কটপের সমাপ্তি বা সমর্পণ।
      2. কর্মচারীদের ব্যক্তিগত তথ্য ধারণ করে এমন সিস্টেমের জন্য নিয়মিতভাবে তাদের পাসওয়ার্ড পরিবর্তন করতে হবে।
      3. ব্যক্তিগত তথ্য অ্যাক্সেস সক্রিয় ব্যবহারকারীদের জন্য সীমাবদ্ধ থাকবে, এবং শুধুমাত্র সক্রিয় ব্যবহারকারী অ্যাকাউন্ট.
      4. যেখানে প্রযুক্তিগতভাবে সম্ভব, সমস্ত HCCCC রক্ষণাবেক্ষণ করা সিস্টেমগুলি যেগুলি ব্যক্তিগত তথ্য সঞ্চয় করে সেগুলি স্বয়ংক্রিয় লকিং বৈশিষ্ট্যগুলি নিয়োগ করবে যা একাধিক ব্যর্থ লগইন প্রচেষ্টার পরে অ্যাক্সেস লক করে।
      5. ব্যক্তিগত তথ্য সম্বলিত ইলেকট্রনিক রেকর্ড (হার্ড ড্রাইভ এবং অন্যান্য ইলেকট্রনিক মিডিয়াতে সংরক্ষিত রেকর্ড সহ) NJ স্ট্যাট মেনে চলার পদ্ধতি অনুসারে নিষ্পত্তি করা হবে। § 56:8-163, নিউ জার্সির ব্যক্তিগত তথ্য ডেটা লঙ্ঘন প্রতিবেদন আইন। এর জন্য তথ্য ধ্বংস বা মুছে ফেলা প্রয়োজন যাতে ব্যক্তিগত তথ্য ব্যবহারিকভাবে পড়া বা পুনর্গঠন করা না যায়।

বাহ্যিক ঝুঁকি

1. 1. 1. ব্যক্তিগত তথ্য সম্বলিত যেকোনো ইলেকট্রনিক, কাগজ বা অন্যান্য রেকর্ডের নিরাপত্তা, গোপনীয়তা এবং অখণ্ডতার বাহ্যিক ঝুঁকি মোকাবেলা করতে এবং এই ধরনের ঝুঁকি সীমিত করার জন্য বর্তমান সুরক্ষা ব্যবস্থার কার্যকারিতা মূল্যায়ন বা উন্নত করার জন্য, নিম্নলিখিত ব্যবস্থাগুলি বাধ্যতামূলক এবং অবিলম্বে কার্যকর:

ক.) ব্যক্তিগত তথ্য সহ সিস্টেমে ইনস্টল করা ব্যক্তিগত তথ্যের অখণ্ডতা বজায় রাখার জন্য যুক্তিসঙ্গতভাবে আপ-টু-ডেট ফায়ারওয়াল সুরক্ষা এবং অপারেটিং সিস্টেম সুরক্ষা প্যাচ রয়েছে।

খ.) সিস্টেম সিকিউরিটি এজেন্ট সফ্টওয়্যারের যুক্তিসঙ্গতভাবে আপ-টু-ডেট সংস্করণ রয়েছে যাতে ম্যালওয়্যার সুরক্ষা অন্তর্ভুক্ত থাকে এবং ব্যক্তিগত তথ্য প্রক্রিয়াকরণ সিস্টেমে যুক্তিসঙ্গতভাবে আপ-টু-ডেট প্যাচ এবং ভাইরাস সংজ্ঞা ইনস্টল করা হয়।

c.)HCCC-এর নেটওয়ার্ক শেয়ারে সংরক্ষণ করা হলে, ব্যক্তিগত তথ্য সম্বলিত ফাইলগুলিকে এনক্রিপ্ট করা উচিত৷ HCCC ব্যক্তিগত তথ্য ল্যাপটপ, PC, USB ডিভাইস বা অন্যান্য পোর্টেবল মিডিয়াতে সংরক্ষণ করার অনুমতি দেয় না। HCCC এই উদ্দেশ্য মেনে চলার জন্য এনক্রিপশন সফ্টওয়্যার স্থাপন করবে।

d.) তৃতীয় পক্ষের বিক্রেতাদের কাছে বৈদ্যুতিনভাবে প্রেরণ করা যেকোনো ব্যক্তিগত তথ্য বিক্রেতার এনক্রিপ্ট করা পরিষেবার মাধ্যমে বা নিরাপদ ট্রান্সমিশনের জন্য HCCC-এর মনোনীত এনক্রিপ্ট করা পরিষেবার মাধ্যমে পাঠানো উচিত। 

e.) সমস্ত নতুন পরিষেবা প্রদানকারী যারা HCCC-এর ব্যক্তিগত তথ্য ইলেকট্রনিক আকারে সংরক্ষণ করে তাদের পর্যাপ্তভাবে EDUCAUSE HECVAT বা অনুরূপ উপকরণের মাধ্যমে নিরাপত্তা ব্যবস্থা প্রদর্শন করতে হবে। এই বিক্রেতাদের অর্থ ও ব্যবসার জন্য HCCC-এর ভাইস প্রেসিডেন্ট/CFO দ্বারা অনুমোদিত হতে হবে।

f.) হিউম্যান রিসোর্স এবং ইনফরমেশন টেকনোলজি সার্ভিসের কর্মীদের পাসওয়ার্ড স্টোরেজ এবং ভূমিকা-ভিত্তিক নিরাপত্তার নীতি সহ অ্যাকাউন্ট তৈরি, স্থানান্তর বা সমাপ্তির সাথে সম্পর্কিত তথ্য প্রযুক্তি সিস্টেমের জন্য HCCCC গ্রহণযোগ্য ব্যবহারের পদ্ধতিতে বর্ণিত পদ্ধতিগুলি অনুসরণ করতে হবে।

ছ.) সমস্ত ব্যক্তিগত তথ্য HCCCC অনুসরণ করে নিষ্পত্তি করা হবে Policies and Procedures.

h.) সম্পদ এবং বাজেটের অনুমতি হিসাবে, HCCCC প্রযুক্তি প্রয়োগ করবে যা কলেজকে ব্যক্তিগত তথ্যের অননুমোদিত ব্যবহার বা অ্যাক্সেসের জন্য ডাটাবেস নিরীক্ষণ করতে এবং HCCC-এর পদ্ধতি অনুসারে নিরাপদ প্রমাণীকরণ প্রোটোকল এবং অ্যাক্সেস নিয়ন্ত্রণ ব্যবস্থা নিয়োগের অনুমতি দেবে।

মন্ত্রিসভা দ্বারা অনুমোদিত: জুলাই 2021
সম্পর্কিত বোর্ড নীতি: ITS

ফিরে Policies and Procedures