I. МЕТА

Метою цієї політики є надання повноважень та доручення начальнику відділу освіти забезпечувати дотримання заходів з інформаційної безпеки в окрузі.

II. ЗАГАЛЬНІ ПРИНЦИПИ ПОЛІТИКИ

У окрузі діє програма з кібербезпеки, яка забезпечує належний рівень доступу до інформації округу за допомогою відповідних технологічних систем та процедур. Правила щодо захисту даних поширюються на всіх співробітників округу, а також на всі операції та заходи округу. Несанкціонований доступ, використання, передача, поширення, розкриття або зміна даних округу будь-яким співробітником, учнем чи іншою особою може призвести до дисциплінарних заходів, які можуть включати рекомендацію про звільнення та інші правові заходи.

III. ВИМОГИ

З метою ефективної реалізації цієї політики керівник навчального закладу або призначена ним особа зобов’язується:

1. Впровадити стандарти та процедури для ефективного управління даними округу та забезпечення необхідного доступу до них, одночасно гарантуючи конфіденційність, цілісність та доступність інформації. Ця політика стосується використання та доступу до обчислювальних і мережевих ресурсів, а також даних державних шкіл Міннетонки. Застосовуються всі відповідні положення Політики щодо прийнятного використання електронних засобів округу та інших пов’язаних політик.
2. Забезпечувати функціонування програми інформаційної безпеки, що ґрунтується на оцінці ризиків та відповідає передовим практикам у сфері інформаційної безпеки. Це передбачає розробку плану реагування на інциденти (IRP) на випадок, якщо він може знадобитися. План IRP має містити процедури щодо належного інформування осіб у разі, якщо в окрузі трапиться інцидент, пов’язаний з даними.
3. Забезпечити структурований та узгоджений процес, що дозволяє працівникам, учням та опікунам отримувати доступ до даних, необхідних для забезпечення діяльності державних шкіл Міннетонки.
4. Забезпечити процедури оцінки та перевірки програмного забезпечення, яке взаємодіє з даними округу, включаючи процедури оцінки сторонніх організацій та їхніх заходів безпеки.
5. Створити посаду районного відповідального за безпеку даних, якого призначає керівник відділу освіти та якому надаються повноваження та обов’язки щодо забезпечення дотримання Політики інформаційної безпеки та відповідних процедур.

IV. СФЕРА ЗАСТОСУВАННЯ

1. Ці процеси та процедури безпеки застосовуються до інформації, що міститься в цифровому форматі або перетворена в нього.
2. Процедури та правила безпеки поширюються на всіх співробітників, працівників за контрактом, волонтерів та відвідувачів державних шкіл Міннетонки, а також на всі дані, що використовуються для забезпечення діяльності шкільного округу.
3. Процедури та правила безпеки поширюються на дані округу, доступ до яких здійснюється з будь-якого місця: внутрішнього, зовнішнього чи віддаленого.
4. Процедури та правила безпеки застосовуються до передачі будь-яких даних округу як у межах округу, так і за його межами з будь-якою метою.

V. ОСНОВНІ ПРИНЦИПИ

1. Начальник управління або призначена ним особа визначає відповідні права доступу.
2. Користувачам даних надаються права доступу до даних відповідно до їхньої ролі та службових обов’язків, і вони несуть відповідальність за свої дії під час використання цих прав. Тобто всі школи та інші заклади несуть відповідальність за дані округу, до яких вони отримують доступ, які вони створюють, змінюють та/або видаляють.
3. Кожна особа, якій надано доступ до даних округу, несе відповідальність за етичне використання цих даних. Доступ надаватиметься виключно відповідно до повноважень, делегованих цій особі для виконання службових обов’язків у державних школах Міннетонки.
4. Уповноважені користувачі несуть пряму відповідальність за збереження довірених їм даних та своїх облікових даних, а також за дотримання всіх положень цієї політики та додаткових пов’язаних з нею політик і/або процедур округу.
5. Ці заходи безпеки поширюються на дані округу незалежно від їхнього місцезнаходження. Користувачі, які з будь-яких причин вивозять або передають дані округу «за межі кампусу», повинні переконатися, що вони здатні дотримуватися відповідних заходів безпеки даних, перш ніж здійснювати їхнє перевезення або передачу.