I. ЦЕЛЬ

Цель этой политики - уполномочить и направить суперинтенданта на поддержание практики информационной безопасности в округе.

II. ОБЩЕЕ ЗАЯВЛЕНИЕ О ПОЛИТИКЕ

В округе действует программа кибербезопасности, которая поддерживает соответствующий уровень доступа к информации округа с помощью технологических систем и практик. Практика обеспечения безопасности данных распространяется на всех сотрудников округа и на все операции и виды деятельности округа. Несанкционированный доступ, использование, передача, распространение, компрометация или изменение данных округа любым сотрудником, учеником или любым другим лицом может привести к дисциплинарным мерам, которые могут включать рекомендацию об увольнении и другие юридические действия.

III. ТРЕБОВАНИЯ

Для эффективной реализации данной политики суперинтендант или уполномоченное им лицо будет:

1. Внедрять стандарты и процедуры для эффективного управления и предоставления необходимого доступа к данным округа, одновременно обеспечивая конфиденциальность, целостность и доступность информации. Данная политика касается использования и доступа к вычислительным ресурсам, сетевым ресурсам и данным государственных школ Миннетонки. Применяются все соответствующие элементы Политики допустимого использования электронных средств округа и других связанных политик.
2. Поддерживать программу информационной безопасности, основанную на оценке рисков, которая соответствует передовым методам в области информационной безопасности. Это включает в себя разработку плана реагирования на инциденты (IRP) на случай, если он может понадобиться. В IRP будут включены процедуры надлежащего уведомления лиц в случае, если в округе произойдет инцидент с данными.
3. Обеспечить структурированный и последовательный процесс для сотрудников, учащихся и опекунов по получению необходимого доступа к данным для осуществления деятельности государственных школ Миннетонки.
4. Обеспечить процессы оценки и проверки программного обеспечения, которое взаимодействует с данными округа, включая процессы оценки третьих сторон и их методов обеспечения безопасности.
5. Учредить должность окружного специалиста по безопасности данных, назначаемого суперинтендантом, с обязанностями и полномочиями по обеспечению соблюдения политики и процедур в области информационной безопасности.

IV. СФЕРА ПРИМЕНЕНИЯ

1. Эти процессы и процедуры безопасности применяются к информации, находящейся в цифровом формате или преобразованной в него.
2. Процедуры и правила безопасности распространяются на всех сотрудников, контрактных работников, волонтеров и посетителей государственных школ Миннетонки, а также на все данные, используемые для ведения деятельности округа.
3. Процессы и процедуры безопасности применяются к данным округа, доступ к которым осуществляется из любого места: внутреннего, внешнего или удаленного.
4. Процессы и процедуры безопасности применяются к передаче любых данных округа внутри или за пределы округа для любых целей.

V. РУКОВОДЯЩИЕ ПРИНЦИПЫ

1. Суперинтендант или уполномоченное им лицо определяет соответствующие права доступа.
2. Пользователям данных предоставляются права доступа к данным, соразмерные их роли и должностным обязанностям, и они несут ответственность за свои действия при использовании этих прав. То есть все школы или другие учреждения несут ответственность за данные округа, к которым они получают доступ, которые они создают, изменяют и/или удаляют.
3. Любое лицо, получившее доступ к данным округа, несет ответственность за этичное использование этих данных. Доступ будет предоставлен только в соответствии с полномочиями, делегированными данному лицу для выполнения функций государственных школ Миннетонки.
4. Уполномоченные пользователи несут прямую ответственность за защиту вверенных им данных, своих учетных данных и соблюдение всех аспектов настоящей политики и дополнительных связанных с ней политик и/или процедур округа.
5. Эти меры безопасности применяются к данным округа независимо от их местонахождения. Пользователи, которые по любой причине передают или транспортируют данные округа «за пределы кампуса», должны убедиться, что они могут соблюдать соответствующие меры безопасности данных перед транспортировкой или передачей данных.