Gramm-Leach-Bliley Act

Coordination and Responsibility of Program

信息安全项目的协调员是位于帕克斯堡的迪士尼彩乐园的首席信息官. 协调员负责开发, implementation, 监督迪士尼彩乐园帕克斯堡分校遵守GLBA保障规则所要求的政策和程序. 尽管遵守的最终责任在于协调员, 每个操作区域的代表负责在其具体操作中实施和维护安全程序的规定要求.

Information Security Governance Committee
信息安全治理委员会的存在是为了确保本信息安全计划保持最新状态，并评估GLBA推动的潜在政策或程序变化. 委员会成员可不时变动，但至少包括首席信息官, Executive Vice President of Finance & 行政人员，以及来自财政援助、商务办公室、档案和学院的代表. 必要时可以增加其他人员.

有关GLBA对业务流程和政策的影响的问题以及有关技术问题的问题, risk assessments, 信息技术安全政策应直接提交给信息安全项目协调员.

Risk Assessment and Safeguards

处理和存储任何必须保护的信息都存在固有的风险. 识别风险领域并维护适当的保障措施可以降低风险. 安全措施旨在减少处理受保护信息的固有风险，包括对信息系统和纸张存储的安全措施.

Written Plan
保障规则要求迪士尼彩乐园帕克斯堡分校及其受影响的单位制定书面信息安全计划，描述其保护客户信息的计划. 该计划必须适合WVUP的规模和复杂性, 我们活动的性质和范围，以及我们所处理的客户信息的敏感性. 作为其计划的一部分，WVUP及其受影响的单位必须:

•指定一名或多名员工来协调其信息安全计划(首席信息官)
•识别和评估大学运营中每个相关领域的客户信息风险, 并评估当前控制已识别风险的保障措施的有效性
•设计和实施安全保障计划，并定期监控和测试该计划
•选择能够维护适当安全措施的第三方供应商, 确保与这些供应商签订的合同要求他们维护安全措施, 并允许大学监督他们对客户信息的处理
•根据相关情况定期评估和调整项目, 包括大学业务或运作的变化, 或者安全检测和监控的结果.

Employee Training and Education

员工处理和访问受保护的信息是为了履行他们的工作职责. 这包括长期和临时雇员以及学生雇员, 谁的工作职责要求他们访问受保护的信息，或者谁的工作地点可以访问受保护的信息. 各部门有责任保持对保护受保护信息的高度意识和敏感性，并应定期提醒员工其重要性. 如果没有一种意识文化，办公室布局和实践的微小变化可能会严重损害受保护的信息.
部门代表负责确保员工接受GLBA相关概念和要求的培训. 有关GLBA和数据处理的培训材料可在网上找到. Upon approval by the Coordinator for GLBA, 这些培训模板和其他材料可以由每个部门量身定制，以反映他们的个人培训需求. 培训可以以多种方式进行，以满足部门的目标. 各部门负责保存接受过培训的员工的记录，并且必须能够根据要求提供书面副本.

服务提供者和合同的监督

GLBA要求大学采取合理的步骤选择和保留对所涵盖的数据和信息进行适当保护的服务提供商. 应审查合同，以确保包括以下语言:

[服务提供商]同意实施并维护一份书面的综合信息安全计划，该计划包含以下内容, 客户信息安全和保护的技术和物理保障措施，并进一步包含§314中规定的每个要素.《迪士尼彩乐园》(16 C)第4条.F.R. § 314). [服务提供商]进一步同意根据其信息安全计划和《迪士尼彩乐园》保护在本协议项下提供给其的所有客户信息.
在合同谈判的各个方面都考虑到GLBA合同尽职调查, including security control reviews.

信息安全计划的评估和修订

GLBA要求对该信息安全计划进行定期审查和调整. 这些审查中最频繁的将发生在信息技术安全和政策中，其中不断变化的技术和不断发展的风险表明定期审查是明智的. 大学其他有关办事处的程序，例如资料查阅程序和培训计划，应定期检讨.

本信息安全计划定期重新评估，以确保持续符合现行和未来的法律法规.

Definitions

• Covered Component
-帕克斯堡迪士尼彩乐园的任何区域, 哪些需要符合GLBA规定.

• CUI (Controlled Unclassified Information)
– information that law, regulation, 或者政府范围内的政策要求有保障或传播控制, 不包括根据13526号行政命令分类的信息, Classified National Security Information, December 29, 2009, or any predecessor or successor order, or the Atomic Energy Act of 1954, as amended.

• Customer Information
-任何包含16c中定义的非公开个人信息的记录.F.R. § 313.3(n), 关于一个金融机构的客户, whether in paper, electronic, or other form, 由[金融机构]或[其]附属机构或其代表处理或维护的.

• Financial Product or Service
– (i) any product or service that a financial holding company could offer by engaging in a financial activity; and
- (ii)金融服务包括您对您根据消费者对金融产品或服务的请求或申请而收集的信息进行评估或经纪.

• Non-Public Personal Information
- (i)个人身份的财务信息和
– (ii) Any list, description, 或其他消费者分组(以及与他们相关的公开可用信息)，这些信息是使用任何未公开可用的个人可识别财务信息派生的. 16 C.F.R. § 313.3(n) (1).

• 个人身份财务信息
– any information:
(i)消费者向您提供金融产品或服务;
(ii) About a consumer resulting from any transaction involving a financial product or service between you and a consumer; or
(iii)您以其他方式获得与向消费者提供金融产品或服务有关的消费者信息.

• Protected Information
-个人身份财务信息或受保护的健康信息, which is covered by either the GLBA.

• 联邦贸易委员会可能认为是金融产品或服务的活动包括:
– Student (or other) loans, including receiving application information, and the making or servicing of such loans
-财务或投资咨询服务
– Credit counseling services
– Tax planning or tax preparation
-收回拖欠贷款及帐款
-销售汇票、储蓄债券或旅行支票
– Check cashing services
-提供与金融服务有关的旅行社服务
– Real estate settlement services
– Money wiring services
-发放信用卡或涉及利息的长期付款计划
-个人财产和房地产评估
-为寻求在金融、会计或审计领域就业的人士提供职业咨询服务
– Services provided by a principal, broker or agent with respect to life, health, liability or disability insurance products
-从消费者报告中获取信息
– Providing or issuing annuities

Related Policies and Procedures

• Account Compromises Policy and Procedures

• Account Management Policy and Procedures

• Anti-Virus and Anti-Spam Policy

• BYOD Policy

• Data Breach Response Policy and Procedures

• 数据保护-授权控制策略

• Electronic Mail Policy

• Internet Usage Policy

• Multi-Factor Authentication Policy

• Password Policy

• Privileged Accounts Policy

• View Complete GLBA Handbook