跳到主要内容
保险

数据安全与高等教育

By 2021 年 11 月 17 日暂无评论

从历史上看,教育机构应对所有数据泄露事件负责,造成了天文数字的损失。采取措施防止这些损失至关重要。学术文化的复杂性以及信息和思想交流的重要性意味着高等教育机构在数据安全方面面临着比企业更复杂的情况。

虽然企业数据安全系统旨在保护企业的需求,但学院和大学必须维护思想自由交流的价值,同时确保学生的私人信息安全并遵守许多州和联邦法律,包括《家庭教育权利隐私法》 (FERPA)、健康信息可移植性和可访问性法案 (HIPAA)、Gramm Leach Bliley 法案 (GLBA)、公平信用报告法案、Sarbanes-Oxley (SOX)、联邦隐私法案等。

风险因素

大学信息系统的几个共同特征使您的机构面临数据泄露的风险:

  • 为了最大限度地提高可用性,大学网络系统通常配置为允许多个访问点。
  • 外包 IT 实体和其他注册BG真人馆提供商(例如,电子邮件系统、经济援助支付或身份证管理)可能可以直接访问网络,从而增加潜在风险。
  • 与中央 IT 脱节的分散部门独立运作并遵守松散定义的隐私和安全实践,增加了母公司的风险。
  • 学生普遍使用社交网络导致一些机构对行为进行监控,这可能会产生保护学生免受危险或犯罪行为侵害的注意义务。
  • 用于保护网络的资源有限,这导致广泛使用开源安全软件,这些软件可能不如定制解决方案有效。
  • 研究型大学通常在其系统中存储高度机密或敏感的信息,这可能成为网络攻击的有利可图的目标。
  • 举办临床试验或任何人体受试者研究的大学还必须遵守健康信息可移植性和可访问性法案 (HIPAA) 隐私和安全规则。

设计合理的安全性

IT 部门可以采取几个步骤来最大限度地提高大学信息系统的安全性。不幸的是,鉴于需要在学术界内自由交换信息,提高安全性通常意味着不便和实用性降低。为了保持这种平衡,教育机构应主动采取以下行动:

  • 建立安全基线并以此为基准对进度进行基准测试。
  • 了解不同部门如何共享信息。
  • 通过权限、访问控制、定义的角色和实时监控验证学生、研究人员、客座教授和其他管理专业人员的网络行为
  • 识别现有系统漏洞并优先消除这些漏洞。
  • 持续监控和维护系统。
  • 自动化安全流程,并安排日常任务和报告以随时了解性能。
  • 确保及时实施补丁。
  • 进行定期审计,以确保政策正常进行,并识别违规或潜在违规行为。
  • 通过对关键系统的实时入侵检测来支持审计活动。

发生违约时

尽管 FERPA、FACTA 和 HIPAA 下的联邦立法不包含在发生数据泄露事件时强制通知消费者的规定,但许多高等教育机构可能会受到州泄露通知法规的约束,其中大多数要求迅速公开披露任何潜在的违反个人身份信息。咨询律师以确定哪些法规可能适用于您的机构。

声称疏忽的潜在诉讼必须证明未达到公认的绩效标准,并且原告因疏忽而遭受某种直接伤害。

风险的合同分配

由于报告的大部分违规行为都归因于外部合作伙伴、顾问、外包商和承包商,因此在出于业务目的共享机密信息时确定责任界限至关重要。即使是普通的外包安排也可能导致与分包商打交道的复杂责任链。采取以下步骤来降低风险:

  • 明确责任
  • 当信息超出教育机构的控制范围时,确保采取适当的预防措施
  • 限制组织在发生数据泄露时的合同责任
  • 与法律顾问和 Robins Insurance 密切合作,确保保险要求、合同赔偿和您机构的保险政策协调一致

您的保险单

查看您的一般责任和财产政策以确定数据泄露的覆盖范围非常重要。由于一般责任承运人提供独立的网络安全和隐私政策,因此排除情况很常见。 Robins Insurance 可以帮助您确定需要哪些额外保险才能有效保护您的机构免受数据泄露责任风险的影响。

关闭菜单
田纳西州纳什维尔保险

30 伯顿山大道。 300套房
纳什维尔,田纳西州 37215