Gadsden State Community College's SMS Terms and Conditions
目的
本页提供了有关从十大赌博app短信通信的条款和条件.
Gadsden State Community College (the “College”, “We”, “GSCC”)使用短信服务发送文本信息,与学生沟通申请和注册截止日期, 应用程序更新, 事件, 提醒, and other important information. 申请或被学院录取并不需要使用该服务. 该服务通过短信向您提供学院认为有用和相关的信息.
可选
十大赌博app的学生或未来的学生可以选择接收短信(i.e., SMS messages) by selecting 是的 在申请过程中,回答“我希望收到有关十大赌博app入学过程的短信”. 你可以选择 NO 要退出. You may also opt-out at any time by replying 停止 to any text message from GSCC.
通讯成本
Standard messages and data rates from your wireless carrier may apply. When you opt-in to receive SMS messages, you are responsible for any carrier fees such as data plan charges, 短信收费, 通行费, 赴漫游, 还有其他收费. 每个月的消息频率根据你的学生状态和行为而变化. 向你的流动电话营办商查询有关接收短讯的详情.
隐私政策
您对短信服务的使用受学院信息安全政策(见下文)的约束。, M-1.11, which covers privacy-related issues. Gadsden State Community College will not ask you for, nor should you provide personally identifiable information, 密码, or any other confidential or sensitive information in SMS messages. 除非学院信息安全政策允许,否则GSCC不会与第三方共享您的信息. 您与学院分享的所有移动信息将保密,仅供学院代表使用,以更有效地帮助您. The College does not share phone numbers with external sources.
信息rmation 安全 政策
1. 目的
The purpose of this policy is to define sensitive information, 最大限度地减少丢失或暴露由十大赌博app(GSCC)维护的敏感信息的风险,并遵守州和联邦对保护数据和报告数据泄露的要求.
2. 范围
This policy applies to all GSCC employees, 学生, 供应商, contractors 和其他人 that may use a computer, 服务器, 或包含或可能访问GSCC机密或个人身份信息(PII)的任何其他数据系统。.
3. 政策
3.1 Public and Sensitive Data
GSCC承认其有义务保护与学生有关的个人身份信息(PII)的隐私, 教师, 工作人员, 和其他人. 指导信息的分类,并制定处理和披露各类信息的指南, GSCC has defined two types of information: "public" and "sensitive."
公共信息是指GSCC在本政策下未归类为敏感信息的任何信息. 公共信息一般对任何提出要求的人开放,但必须在发布前核实其准确性. 已聚合以删除PII的汇总数据在默认情况下被视为公共数据. 只有经授权的GSCC员工才能根据政策M-1发布公共信息.13 outlined in the Employee Handbook.
敏感信息是指GSCC控制下包含PII的任何信息. 对这些信息的访问由相应的数据管理员授权. 数据管理员需要定期审查授予其权限范围内的数据的访问权限. 除了, 数据管理员还负责在存储的法规要求结束后处理客户数据.
敏感信息只能存储在学院拥有的数据系统中,或存储在首席信息官(CIO)批准的服务提供商的数据系统中。. 批准的服务提供者必须提供文件,表明他们已经实施了可接受的保障措施. 这些保障的适当性将作为第3节所述年度报告的一部分每年进行评估.本文件第2条.
敏感数据只能发布给信息的主体和授权的GSCC员工,这些员工根据其目前的职责有合法的需要知道. 在某些情况下, 如果信息主体提供书面许可或法律另有许可,则外部实体可获准访问敏感信息. The use of this information is often protected by state or federal laws, including but not limited to:
- 1999年的《十大赌博app》(GLBA)——管理财务信息的隐私和使用
- 1996年《十大赌博app》(HIPAA)——管理医疗保健信息的隐私和使用
- 1974年《十大赌博app》(FERPA)——管理学生信息的隐私和使用
It is important to note that sensitive data, as defined in this policy and associated policies, 不仅包括GSCC数据系统中使用的和静止的数据,还包括论文, 的声音, 或任何其他可储存或传送gscc控制资料的形式.
3.2 信息rmation 安全 Program
为了确保敏感数据得到保护,并满足某些GLBA要求, GSCC establishes with this policy an 信息rmation 安全 Program. 本计划由系统管理员-网络安全负责维护,并由首席信息官提供监督和指导. 该计划以信息安全计划为指导,该计划将由首席信息官和网络安全系统管理员每年进行评估和更新. 另外, 该计划建立了包括系统/网络渗透测试在内的年度风险评估, regular vulnerability scanning, 补丁管理.
系统管理员-网络安全将向首席信息官提交一份年度报告,概述信息安全计划的总体状况及其对本政策和信息安全计划的遵守情况. This report will address issues such as risk assessment, risk management and control decisions, service provider arrangements, 测试结果, security 事件 or violations and management's responses thereto, as well as recommendations for changes to the information security program.
3.3 Data Breach Response
数据泄露是指PII和/或敏感数据泄露的安全事件. This includes but is not limited to data that is endangered, 损坏, 复制, 传播, 查看, 偷来的 or used by anyone unauthorized to do so. 任何已知或可疑的数据泄露必须报告给信息技术服务(ITS)信息安全团队(在信息安全计划中定义),以启动适当的调查. Suspected data breaches should be reported by emailing infosec@ah5z.net or by calling the ITS 帮助 Desk at 256-549-8341.
一旦收到可疑数据泄露的通知,系统管理员-网络安全将评估报告,以确定是否发生了实际的泄露. 如果发生了泄露,系统管理员-网络安全将开始调查并通知首席信息官. 信息安全团队的成员将与数据所有者合作,确保立即删除对受损资源的所有访问. If a breach occurs outside of the GSCC network, 适当的ITS部门成员将与第三方供应商协调消除对受损数据的访问, 个人, 等.
Severity of the breach will be determined by the CIO. 如果违规行为被认为是严重的,那么CIO将被授权创建一个关键响应团队. Members of this team will be comprised of selected employees in ITS, 受影响的单位, additional departments based on data type, 或首席信息官或系统管理员-网络安全认为必要的任何个人. 关键响应小组将由首席信息官和信息安全小组委派职责,为事件响应过程提供额外的帮助. If the breach involves a suspected crime, 信息保障小组将通知加兹登州安全部门. 将决定是否需要执法通知. If so, the notification will be made.
信息安全团队将根据信息安全计划的事件响应部分进行操作,以减轻威胁并恢复对数据的正常访问.
3.4 信息rmation 安全 Training
所有新员工在入职时都必须完成信息安全培训. 现有员工将有权获得第3条制定的信息安全计划中定义的培训材料.本政策第2条.
确保信息安全人员采取措施,保持与不断变化的信息安全威胁相关的最新知识和培训, 首席信息官和系统管理员-网络安全将被要求每年至少参加两次与信息安全相关的专业发展会议.
3.5 ITS Change Management
Major changes to ITS systems and services must be planned, 记录, and authorized before implementation. ITS部门的工作单系统将用于请求和记录这些系统的重大变更. 在实施之前,变更将由适当的利益相关者和适当的ITS员工进行审查和批准. 紧急变更必须在实施后尽快记录并授权. Changes that affect the security, 完整性, 或ITS系统和服务的可用性必须在实施前由信息安全保证团队审核和批准(该团队的定义见第6条).0 of the GSCC 信息rmation 安全 Plan). 任何未经授权对ITS系统和服务的更改必须立即报告给信息安全保证小组.
3.6 Laptop and Portable Device Encryption
不应将属于十大赌博app的敏感信息存储在便携式设备和/或可移动媒体上,除非在执行指定职责或提供州或联邦机构要求的信息时绝对需要. Portable devices include but are not limited to laptop computers, 平板电脑, 智能手机, jump-drives, 等.
当敏感信息存储在便携式设备或可移动媒体上时, 它必须按照当前批准的加密标准进行加密. Approved encryption standards include BitLocker for Windows systems, macOS的FileVault, Full Disk Encryption (FDE) for Linux, 以及任何其他符合或超过美国采用的AES-128加密标准的加密.S. 政府.
属于十大赌博app的敏感信息绝不能存储在个人便携式设备和/或可移动媒体上. 另外, 包含属于十大赌博app的敏感信息的便携式设备和/或可移动媒体可能无法连接, 或与…一起使用, personal computers and other personally owned devices.
3.7 Smartphone and Tablet Email 安全
在某些情况下,可以在智能手机和/或平板电脑设备上使用十大赌博app的电子邮件帐户,以方便与GSCC相关的公务. 例如, if email is to be stored in an account on the device, GSCC requires the use of an appropriate PIN, 密码, or other security locking method. 在这种情况下, 学院保留远程清除丢失设备内容的权利, 偷来的, or maliciously using a GSCC email account.
Users who do not wish to store email on their device, 或者不想启用安全功能的用户仍然可以使用智能手机或平板电脑上的网络浏览器访问电子邮件,而无需输入相关的PIN码. 另外, a user may use the Microsoft Outlook Web Access (OWA) app, 在这种情况下,学院保留远程擦除OWA应用程序内容的权利,但在丢失手机的情况下,不会擦除整个手机, 偷来的 or a maliciously used GSCC email account.
3.8工作站安全
In order to protect the confidentiality, 完整性, GSCC对包含或可以访问PII的所有工作站实施了物理和技术保障措施,并限制授权用户的访问.
部门应该做出合理的努力,限制对提供给授权用户的域加入工作站的物理访问. 当工作站长时间无人值守时,负责该工作站的员工应锁定屏幕以防止未经授权的访问. 锁定工作站不会关闭文件或注销工作会话,但需要输入工作站密码才能恢复会话. IT部门被授权通过电子策略更新在MIS域工作站强制执行15分钟的屏幕不活动超时.
Workstations should only be accessed by authorized users themselves. 任何用户不得使用任何已由他人登录的工作站进行日常工作.
It is not permitted to install any unauthorized software on workstations.
笔记本电脑或任何其他包含PII或其他敏感数据的非固定设备在不使用时应加以保护. Methods of securing these devices could include cable locks, 上锁的抽屉, 锁柜, 或任何其他合理的方法,以防止个人能够轻松窃取包含敏感数据的设备.
面向公众区域的工作站应安装隐私屏幕过滤器或其他物理屏障,以防止暴露敏感数据.
建议所有与关键或敏感数据交互的工作站使用不间断电源(UPS),以在电力丢失或退化的情况下保护数据的完整性.
信息技术服务(ITS)人员必须确保所有Windows工作站都运行某种形式的病毒防护. 工作站还应运行端点检测和响应(EDR)软件,以实时识别威胁. 基于EDR对学院功能所必需的特定程序的干扰,可以免除工作站的EDR要求. 这些豁免是罕见的,必须由系统管理员-网络安全或首席信息官批准. Workstations are never permitted to run without virus protection.
当工作站不再服务时,ITS部门将在将系统发送到盈余之前拆除并粉碎所有硬盘驱动器.
3.9服务器安全
资讯科技服务(ITS)职员必须确保所有Windows伺服器都有某种形式的防毒装置. Windows服务器还应运行端点检测和响应(EDR)软件,以实时识别威胁. 系统管理员-网络安全可随时自行决定暂时禁用服务器上的EDR,以便在适当时重新启用该功能. Servers are never permitted to run without virus protection.
All Linux and Windows 服务器 must be kept up-to-date. Windows服务器应该在发布后60天内安装适当的更新, 允许ITS管理员有足够的时间测试更新与GSCC系统的兼容性. Linux systems should have updates installed within 120 days. If a critical update is known to protect the function of the college, 它必须在ITS管理员或首席信息官的建议下立即安装,以避免将学院置于危险之中.
启用RDP访问的Windows服务器必须使用多因素身份验证. If multifactor authentication cannot be enabled for any of these 服务器, then RDP access must be disabled.
3.10禁用帐户
雇员的Active Directory帐户将在其雇佣关系正式终止后的下一个工作日被禁用. 如果人力资源部门提出请求,也可以立即禁用Active Directory帐户. 另外, 如果ITS管理员或服务台员工认为活动目录帐户可能危及机密性,则该管理员或服务台员工可以暂时禁用该帐户, 完整性, or availability of GSCC data or data systems. If an ITS employee disables an Active Directory account for this reason, 然后要求他们尽快将此操作报告给CIO.
当用户的Active Directory帐户被禁用时,对员工电子邮件帐户的访问将自动终止. 院长批准后,被解雇员工的电子邮件可以转发给其他员工.
3.11数据保存
十大赌博app将保留员工的电子邮件5年,从员工与学院终止雇佣之日起算. After five years the employee’s email will be permanently deleted.
Data stored on college owned desktops, 笔记本电脑, 平板电脑, 前雇员留下的电话可以直接保存在这个设备上如果这个设备将被填补空缺职位的其他雇员使用.
学院不再使用的台式电脑和笔记本电脑的硬盘驱动器将被移除并销毁. 学院不再使用的平板电脑和手机将根据制造商的规格进行安全擦除.
所有其他资料, 生产, or stored by the college such as financial records, 人事记录, 学生记录, 等. 是否应该为每个特定的数据类型保留法律所要求的时间. 每种类型数据的数据所有者有责任确保其控制下的数据根据相关法律法规被删除.
3.12数据加密
十大赌博app将确保存储和传输中的敏感数据被加密. Sensitive college data at rest must be stored on encrypted drives. 以任何形式传输的敏感数据都必须使用利用加密来保证数据安全的协议.
4. 政策合规
4.1执行
首席信息官有权在任何时候直接或通过授权给工作人员缓解任何不遵守本政策的情况.
4.2例外
本政策的任何例外情况必须经首席信息官批准.