管理规则编号:5090-01
相关政策系列编号:5090
标题:身份盗窃预防程序
目的
建立身份盗窃预防计划. 该程序旨在检测,
防止和减轻身份盗窃. 这条规则适用于大学账户或程序
哪一个:
- 允许某人注册、接受经济援助、付款或被雇用 the 大学; or
- 存在身份盗窃的“合理可预见的风险”.
声明
学院特此建立身份盗窃预防计划,以发现,预防,
减少身份盗窃. 该计划包括以下程序:
- 识别已覆盖记录的危险信号,并将这些危险信号纳入程序;
- 检测已纳入程序的危险信号;
- 对发现的任何危险信号作出适当反应,以防止和减轻身份盗窃; 和
- 定期更新程序,以反映学生或员工风险的变化 并确保学院的安全和健全免受身份盗窃.
定义
- 覆盖帐户
- 学院提供或保存的主要用于注册、财务的记录 aid, accounts receivable or payable, or employment; 和
- 学院提供或保留的任何其他有合理理由的记录 可预见的身份被盗的风险或对人身安全和健康的风险 学院的记录,包括财务,运营,合规,声誉, 或者诉讼风险.
- 身份盗窃
欺诈行为或企图使用他人的身份信息,没有 权威.
- 红旗
模式:表明…可能存在的模式、实践或特定活动 身份盗窃.
- 识别信息
被定义为政府数据,披露这些数据可能会严重危及 识别信息的安全性.
项目管理
- 监督
开发、实施和更新该计划的责任在于 负责财务和运营的副校长以及身份盗窃委员会. 副总统将指定一名项目管理员. 委员会将组成 of:
- 招生服务处处长
- 人力资源总监
- 新闻处处长
- 财政援助助理主任
- 会计和预算主管
- 学院进修主任
- 安全和防损主管
- 项目管理员和委员会将负责:
- 项目资源和策划;
- 确保对学院员工进行适当的培训;
- 审核员工关于红旗检测和身份盗窃的报告 缓解和预防;
- 确定应特别采取哪些预防和缓解措施 circumstances commensurate with the risk posed; 和
- 考虑定期更改程序.
项目管理员和委员会将每年审查和更新该项目 反映学生或雇员面临的风险变化以及保护措施的有效性 身份盗窃的大学记录. 在这样做时,程序管理员和 委员会将根据学院的经验,对身份盗窃情况进行修改 在身份盗窃手段方面,身份盗窃检测和预防手段的变化; 以及学院与其他实体的业务安排的变化. 在考虑 这些因素,包括身份盗窃的程度,构成了程序管理员的风险 而委员会将决定是否对该计划进行修改,包括上市 新的危险信号,是有理由的. 如有必要,项目管理员和委员会 会更新课程或向学院理事会提出修改建议,他们 将决定是否接受、修改或拒绝这些更改 这个项目.
部门主管有责任熟悉这个项目. 部门 负责人应每年与员工会面,评估当前的合规情况. 员工负责 为实施该计划,将接受委员会的培训或指导. 工作人员会及时向委员会报告所有身份盗窃事件 或者出现危险信号.
识别危险信号
为了识别危险信号,学院会考虑其保存的记录类型,
它用来打开和访问记录的方法,以及它以前的经验
身份盗窃. 学院已经确定了以下危险信号在每一个
列出的类别:
- 信用报告或背景调查机构的通知和警告
- 红旗
- 附信用报告或背景报告的欺诈报告;
- 信用机构对学生、雇员或其他学生的信用冻结通知或报告 申请人;
- notice or report from a credit agency of an active duty alert for an 申请人; or
- 信用报告显示的活动与学生的不一致 或员工的日常模式或活动.
- 红旗
- 可疑的文件
- 红旗
- 识别看似伪造、变造或不真实的信息;
- 一个人的照片或身体描述所依据的信息 与出示单据的人不一致的;
- 其他与现有学生或员工信息不一致的文件 information (such as if a person's signature on a check appears forged); or
- 申请表被涂改或伪造的.
- 红旗
- 可疑的个人识别信息
- 红旗
- 识别信息与学生呈现的其他信息不一致 或雇员提供(e).g.出生日期不一致);
- 识别与其他信息来源不一致的信息( e.g.(与档案地址不匹配的);
- 标识显示的信息与其他应用程序显示的信息相同 被发现有欺诈行为的;
- 识别与欺诈活动相一致的提交信息(例如.g., 无效的电话号码或虚构的帐单地址);
- 出示的社会安全号码与另一名学生出示的号码相同 或员工;
- 未能在申请中提供完整的个人识别信息时 reminded to do so; or
- 识别与学生档案信息不一致的信息 或雇员.
- 红旗
- 可疑活动或异常使用帐户
- 红旗
- 更改记录的地址,随后要求更改记录持有人的地址 名称;
- 发送给记录保持者的邮件多次被退回为无法投递;
- 通知学院,学生或员工没有收到学校发送的邮件 大学;
- 通知学院一个帐户有未经授权的活动;
- breach in the college computer system security; or
- 未经授权访问或使用学生或员工帐户信息.
- 红旗
- 来自他人的提醒
- 红旗
- 学生或员工、身份盗窃受害者、执法部门、 或者其他学校已经开设或正在保持虚假记录的人 一个从事身份盗窃的人.
- 红旗
检测危险信号
- 新记录
以便检测上述与新记录相关的任何危险信号 或者存在可预见的身份被盗的风险,大学人员会选择 以下步骤获取并核实个人或企业的身份证件 帐户:
- 需要某些识别信息,包括:
- 全名;
- 出生日期(个人);
- previous 和 current residential or business address; 和
- 识别.
- U.S. 公民
- (a) social security number; 和/or
- (b)须附有相片的文件(正本),例如:
- state-issued driver's license; or
- state-issued 识别 card; or
- 美国护照.
- 班.S. 公民
- (a) social security number; 和/or
- (b)须附有相片的文件(正本),例如:
- state-issued driver's license; or
- state-issued 识别 card; or
- passport from any country; or
- documents containing an alien 识别 number 和 country of issuance; or
- 其他有照片的政府签发的国籍或居住地证明文件.
- U.S. 公民
- Review all documentation for red flags; 和/or independently contact the student or 员工.
- 需要某些识别信息,包括:
- 现有记录
为了检测上述现有记录的任何危险信号,人员 会采取以下步骤来监控事务吗. 学院人员有自由裁量权 确定所构成的风险程度并采取相应的行动.
- 核实个人的身份信息,如果有人要求提供任何信息 记录(可亲自、电话、传真或电子邮件);
- verify the validity of requests to change address; 和
- 核实为支付目的而提供的银行信息的更改.
防止和减轻身份盗窃
为了进一步防止身份被盗的可能性,人员将采取
以下步骤,与所构成的风险程度相称,关于正在进行的内部
操作程序. 学院人员有权决定学位
并采取相应的行动.
- 确保其网站是安全的,或提供明确的通知,说明网站是不安全的 安全.
- 确保完整和安全地销毁纸质文件和电脑文件,包括 一个人的身份信息.
- 确保办公室电脑有密码保护.
- 保持办公室远离包含个人信息的文件.
- 确保电脑病毒防护是最新的.
- 只要求和保留商业目的所必需的信息.
- 仅使用批准的方法传递识别信息,并包括以下内容
关于任何传送的识别资料的声明:
此信息可能包含机密和/或专有信息,并且是有意的 对于其最初所针对的个人/实体. 如果你收到了这个 邮件错误,请联系学院,然后删除原始文件. 严禁他人使用. - 不要使用或发布一个人的社会安全号码作为帐户标识符或在 任何其他文件,除非本人要求或联邦法律要求(如 如W-2表格).
- 当你发现危险信号时应该采取的步骤
如果学院工作人员发现了危险信号,他们将采取一个或多个 以下步骤与所构成的风险程度相称,以预防和减轻风险 身份盗窃.学院人员有权决定构成的风险程度并采取行动 相应的.
- 继续监控账户,寻找身份盗窃的证据;
- 通过书面通知或电话与当事人联系;
- 拒绝开立新帐户;
- 关闭现有帐户;
- 用新号码重新开户;
- 通知程序管理员确定应采取的适当步骤 based on the Oregon Identity Theft Act Best Practices; or
- 确定在特定情况下无需作出回应.
服务提供者安排
如果学院聘请服务提供者来执行相关活动
对于有保障的账户,学院将采取以下步骤之一来确保
服务提供者按照程序执行:
- 通过合同要求服务提供者有适当的政策和程序 在适当的地方设计,以检测,防止和减轻身份盗窃.
- 通过合同要求服务提供商审查该计划并报告任何错误 标志程序管理员.
- 要求合同包括赔偿条款,限制学院的责任 服务提供商未能检测、防止或减轻身份盗窃.
不披露具体做法
披露有关危险信号识别的具体信息或做法;
检测、缓解和预防措施可能仅限于指定的学院
工作人员和/或政策制定者. 为开发或实施程序而产生的文件
哪些描述的具体做法可能构成安全信息,可能是不可披露的
因为披露可能会危及身份信息的安全
而且可能会绕过学院的身份盗窃预防措施.
收养日期:4/13/09
修订日期:12/1/16
DATE OF LAST REVIEW: 12/1/16; 1/7/21