Cabrillo College Logo
3721 Procedimiento Administrativo (10/21) - Seguridad de la Información

Libro

Políticas y Procedimientos

Sección

Capítulo 3 Institución General

Título

Seguridad de la Información

Código

3721 Procedimiento Administrativo (10/21)

Estatus

Activo

Legal

Sección 70902 del Código de Educación; Sección 101 et seq. del Título 17 U.S.C.

Sección 502 del Código Penal

Código Civil de California 1798.29, 1798.82, 1798.3 y 1798.84

Ley de Derechos y Privacidad de la Educación Familiar (FERPA)

Artículo 1, Sección 1 de la Constitución de California

Sección 3543.1(b) del Código de Gobierno

Estándar de Seguridad de la Información de las Comunidades College de California

Cross References

ASC 6/17/21; Cab 9/21/21; CPC 10/2021

Aprobado

20 de octubre, 2021




1. DEFINICIONES. Las siguientes definiciones se aplicarán a este procedimiento:

  1. Datos Sensibles: Clasificación de Información que incluye Información Personalmente Identificable (PII), Información de Salud Protegida (PHI), información de tarjetas de crédito y cualquier dato considerado crítico para las operaciones continuas del Distrito Comunitario de la Universidad de Cabrillo.

  2. Cuenta Privilegiada: Una cuenta que puede tomar acciones administrativas en Datos Sensibles y servicios.

  3. Acceso Remoto: La capacidad de acceder a una computadora o red, como una computadora del Distrito o un recurso compartido de la red, desde una ubicación remota. El acceso remoto permite a los usuarios acceder a los sistemas que necesitan cuando no pueden conectarse directamente.

  4. Vulnerabilidad: Cualquier error de hardware/software u otros problemas que podrían afectar negativamente al Distrito.

2. Propósito y Alcance

Las regulaciones locales, estatales y federales exigen la protección de Datos Sensibles para estudiantes, personal, proveedores y otros. El Distrito Comunitario de la Universidad de Cabrillo (“Distrito”) toma en serio la responsabilidad de proteger los Datos Sensibles y reconoce que se debe tener una postura de seguridad sólida para proteger la privacidad y la seguridad de los Datos Sensibles. El Distrito está comprometido a proteger los Datos Sensibles que recopila, transmite, almacena, procesa o archiva.

En particular, Tecnología de Información deberá:

  1. Desarrollar y mantener un Programa de Seguridad de la Información que establezca las responsabilidades que todos los empleados o proveedores del Distrito deben seguir al acceder a Datos Sensibles.

  2. Inventariar, rastrear y mitigar activamente los dispositivos del Distrito que se conectan a recursos de red internos para asegurarse de que solo dispositivos autorizados tengan acceso.

  3. Trabajar con los departamentos del Distrito para garantizar que hayan inventariado, clasificado y almacenado adecuadamente los Datos Sensibles según las leyes estatales y federales, las mejores prácticas de la industria y las políticas relacionadas del Consejo.

  4. Realizar una evaluación de riesgos para cada sistema de Tecnología de Información regularmente o cuando sea necesario debido a un cambio significativo en los sistemas de Tecnología de Información. Documentar los riesgos y los controles de seguridad asociados.

  5. Gestionar activamente, inventariar y rastrear todo el software autorizado que se ejecuta en sistemas propiedad del Distrito. Prevenir, en la medida de lo posible, la instalación o ejecución de software no autorizado y malicioso.

  6. Configurar y mantener dispositivos de red, sistemas de computación de usuario final y sistemas informáticos empresariales para operar de manera segura, con autorización adecuada, autenticación e una capacidad de gestión de cambios auditable.

  7. Evaluarse continuamente las vulnerabilidades, incluyendo la adquisición de información sobre nuevas vulnerabilidades, escaneos periódicos, evaluaciones de vulnerabilidades y aplicación de actualizaciones y parches de software a tiempo.

  8. Asegurarse de que el software desarrollado internamente esté diseñado con controles de seguridad adecuados y probado adecuadamente antes de ser puesto en servicio. El software desarrollado internamente debe tener un proceso de gestión de cambios auditable.

  9. Evaluar regularmente o según sea necesario los sistemas y software de terceros para controles de seguridad adecuados antes de adquirir o renovar contratos de servicios.

  10. Proporcionar un entorno inalámbrico seguro a Internet para estudiantes, empleados y invitados. El entorno inalámbrico debe proporcionar un registro auditable del uso inalámbrico.

  11. Realizar copias de seguridad regulares y adherirse a las mejores prácticas de la industria de Seguridad de la Información para permitir la recuperación en caso de pérdida, corrupción u otros eventos similares que puedan ocurrir.

  12. Asegurar la continuidad operativa de los sistemas de Tecnología de Información del Distrito después de un desastre natural o provocado por el hombre, incluyendo la creación, mantenimiento y pruebas periódicas de un Plan de Continuidad Empresarial del Distrito y un Plan de Recuperación ante Desastres.

  13. Crear y mantener una fuerte conciencia sobre los riesgos de seguridad de la información y las técnicas de mitigación a través de la capacitación e incremento de la conciencia de sus empleados, estudiantes y proveedores para aumentar su conocimiento de sus responsabilidades en seguridad de la información y minimizar los riesgos de seguridad de la información.

  14. Asegurarse de que solo individuos autorizados accedan a los recursos del Distrito mediante la implementación de controles de seguridad de la información.

  15. Controlar, rastrear y auditar el uso de cuentas privilegiadas, restringiendo el uso de estas cuentas solo a usuarios con una necesidad verificable según su asignación laboral o supervisor. Proporcionar un registro de auditoría de los cambios realizados por cuentas privilegiadas para asegurar que solo se realicen cambios autorizados por usuarios autorizados.

  16. Controlar y monitorear la información que fluye a través de su red para detectar y prevenir la pérdida/exposición de datos a individuos no autorizados.

  17. Controlar el acceso a los activos de información según la necesidad de conocer. En particular, el acceso a la información personal/financiera de empleados y estudiantes, información de salud e información de pago con tarjetas de crédito/débito debe estar controlado y monitoreado estrechamente.

  18. Proporcionar para la creación y desactivación oportuna de cuentas para estudiantes, empleados, proveedores, visitantes, voluntarios e invitados.

  19. Asegurar la protección adecuada de los datos, según se define en el Programa de Seguridad de la Información, mediante control de acceso y/o cifrado mientras los datos están en tránsito a través de redes informáticas y mientras residen en medios de almacenamiento en sitio y fuera de sitio, en sistemas informáticos del distrito y dispositivos móviles del distrito incluyendo computadoras portátiles, tabletas y teléfonos móviles.

  20. Mantener los mecanismos físicos de seguridad adecuados para la protección de las instalaciones de procesamiento e información de almacenamiento que contienen Datos Sensibles, con el fin de proteger dichas instalaciones contra acceso no autorizado, daños o interferencia.

  21. Mantener medidas de responsabilidad y mecanismos de seguridad en todo momento para controlar el acceso remoto a los sistemas y redes del Distrito durante el uso externo de acceso remoto. Las conexiones externas a la red del Distrito deben establecerse de manera segura para preservar la integridad y disponibilidad de la red, incluida la integridad de los datos transmitidos a través de la red.

  22. Mantener procedimientos de respuesta a incidentes y responder a incidentes de ciberseguridad de manera oportuna, exhaustiva y conforme.

  23. Asegurarse de que las capacidades de ciberseguridad del Distrito estén actualizadas y efectivas mediante pruebas periódicas, auditorías e inspecciones internas y externas.

Find Your Path
Students
Faculty + Staff
Comunidad – Community
About Cabrillo
Academics
Just Report It ⚠
Contact Us
Athletics
Calendar
Title IX
Safety Resources
Admissions and Records
Canvas
Bookstore
Library
Self-Service
Job Opportunities
COVID-19
Privacy
Notice of Data Security Incident
Accessibility
Submit a Website Issue
Locations
Aptos Campus
6500 Soquel Drive
Aptos, CA 95003
(831) 479-6100
Watsonville Center
318 Union Street
Watsonville, CA 95076
(831) 786-4700
Apply / Register