管理规则编号:5090-01

相关政策系列编号:5090

标题:身份盗窃预防程序

目的
建立身份盗窃预防计划. 该程序旨在检测, 防止和减轻身份盗窃. 这条规则适用于大学账户或程序 哪一个:

  1. 允许某人注册、接受经济援助、付款或被雇用 the 大学; or
  2. 存在身份盗窃的“合理可预见的风险”.

声明
学院特此建立身份盗窃预防计划,以发现,预防, 减少身份盗窃. 该计划包括以下程序:

  1. 识别已覆盖记录的危险信号,并将这些危险信号纳入程序;
  2. 检测已纳入程序的危险信号;
  3. 对发现的任何危险信号作出适当反应,以防止和减轻身份盗窃; 和
  4. 定期更新程序,以反映学生或员工风险的变化 并确保学院的安全和健全免受身份盗窃.

定义

  1. 覆盖帐户
    1. 学院提供或保存的主要用于注册、财务的记录 aid, accounts receivable or payable, or employment; 和
    2. 学院提供或保留的任何其他有合理理由的记录 可预见的身份被盗的风险或对人身安全和健康的风险 学院的记录,包括财务,运营,合规,声誉, 或者诉讼风险.
  2. 身份盗窃

    欺诈行为或企图使用他人的身份信息,没有 权威.

  3. 红旗

    模式:表明…可能存在的模式、实践或特定活动 身份盗窃.

  4. 识别信息
    被定义为政府数据,披露这些数据可能会严重危及 识别信息的安全性.

项目管理

  1. 监督

    开发、实施和更新该计划的责任在于 负责财务和运营的副校长以及身份盗窃委员会. 副总统将指定一名项目管理员. 委员会将组成 of:

    1. 招生服务处处长
    2. 人力资源总监
    3. 新闻处处长
    4. 财政援助助理主任
    5. 会计和预算主管
    6. 学院进修主任
    7. 安全和防损主管
  2. 项目管理员和委员会将负责:
    1. 项目资源和策划;
    2. 确保对学院员工进行适当的培训;
    3. 审核员工关于红旗检测和身份盗窃的报告 缓解和预防;
    4. 确定应特别采取哪些预防和缓解措施 circumstances commensurate with the risk posed; 和
    5. 考虑定期更改程序.

项目管理员和委员会将每年审查和更新该项目 反映学生或雇员面临的风险变化以及保护措施的有效性 身份盗窃的大学记录. 在这样做时,程序管理员和 委员会将根据学院的经验,对身份盗窃情况进行修改 在身份盗窃手段方面,身份盗窃检测和预防手段的变化; 以及学院与其他实体的业务安排的变化. 在考虑 这些因素,包括身份盗窃的程度,构成了程序管理员的风险 而委员会将决定是否对该计划进行修改,包括上市 新的危险信号,是有理由的. 如有必要,项目管理员和委员会 会更新课程或向学院理事会提出修改建议,他们 将决定是否接受、修改或拒绝这些更改 这个项目.

部门主管有责任熟悉这个项目. 部门 负责人应每年与员工会面,评估当前的合规情况. 员工负责 为实施该计划,将接受委员会的培训或指导. 工作人员会及时向委员会报告所有身份盗窃事件 或者出现危险信号.

识别危险信号
为了识别危险信号,学院会考虑其保存的记录类型, 它用来打开和访问记录的方法,以及它以前的经验 身份盗窃. 学院已经确定了以下危险信号在每一个 列出的类别:

  1. 信用报告或背景调查机构的通知和警告
    1. 红旗
      1. 附信用报告或背景报告的欺诈报告;
      2. 信用机构对学生、雇员或其他学生的信用冻结通知或报告 申请人;
      3. notice or report from a credit agency of an active duty alert for an 申请人; or
      4. 信用报告显示的活动与学生的不一致 或员工的日常模式或活动.
  2. 可疑的文件
    1. 红旗
      1. 识别看似伪造、变造或不真实的信息;
      2. 一个人的照片或身体描述所依据的信息 与出示单据的人不一致的;
      3. 其他与现有学生或员工信息不一致的文件 information (such as if a person's signature on a check appears forged); or
      4. 申请表被涂改或伪造的.
  3. 可疑的个人识别信息
    1. 红旗
      1. 识别信息与学生呈现的其他信息不一致 或雇员提供(e).g.出生日期不一致);
      2. 识别与其他信息来源不一致的信息( e.g.(与档案地址不匹配的);
      3. 标识显示的信息与其他应用程序显示的信息相同 被发现有欺诈行为的;
      4. 识别与欺诈活动相一致的提交信息(例如.g., 无效的电话号码或虚构的帐单地址);
      5. 出示的社会安全号码与另一名学生出示的号码相同 或员工;
      6. 未能在申请中提供完整的个人识别信息时 reminded to do so; or
      7. 识别与学生档案信息不一致的信息 或雇员.
  4. 可疑活动或异常使用帐户
    1. 红旗
      1. 更改记录的地址,随后要求更改记录持有人的地址 名称;
      2. 发送给记录保持者的邮件多次被退回为无法投递;
      3. 通知学院,学生或员工没有收到学校发送的邮件 大学;
      4. 通知学院一个帐户有未经授权的活动;
      5. breach in the college computer system security; or
      6. 未经授权访问或使用学生或员工帐户信息.
  5. 来自他人的提醒
    1. 红旗
      1. 学生或员工、身份盗窃受害者、执法部门、 或者其他学校已经开设或正在保持虚假记录的人 一个从事身份盗窃的人.

检测危险信号

  1. 新记录

    以便检测上述与新记录相关的任何危险信号 或者存在可预见的身份被盗的风险,大学人员会选择 以下步骤获取并核实个人或企业的身份证件 帐户:

    1. 需要某些识别信息,包括:
      1. 全名;
      2. 出生日期(个人);
      3. previous 和 current residential or business address; 和
      4. 识别.
        1. U.S. 公民
          • (a) social security number; 和/or
          • (b)须附有相片的文件(正本),例如:
            • state-issued driver's license; or
            • state-issued 识别 card; or
            • 美国护照.
        2. 班.S. 公民
          • (a) social security number; 和/or
          • (b)须附有相片的文件(正本),例如:
            • state-issued driver's license; or
            • state-issued 识别 card; or
            • passport from any country; or
            • documents containing an alien 识别 number 和 country of issuance; or
            • 其他有照片的政府签发的国籍或居住地证明文件.
    2. Review all documentation for red flags; 和/or independently contact the student or 员工.
  2. 现有记录

    为了检测上述现有记录的任何危险信号,人员 会采取以下步骤来监控事务吗. 学院人员有自由裁量权 确定所构成的风险程度并采取相应的行动.

    1. 核实个人的身份信息,如果有人要求提供任何信息 记录(可亲自、电话、传真或电子邮件);
    2. verify the validity of requests to change address; 和
    3. 核实为支付目的而提供的银行信息的更改.

防止和减轻身份盗窃
为了进一步防止身份被盗的可能性,人员将采取 以下步骤,与所构成的风险程度相称,关于正在进行的内部 操作程序. 学院人员有权决定学位 并采取相应的行动.

  1. 确保其网站是安全的,或提供明确的通知,说明网站是不安全的 安全.
  2. 确保完整和安全地销毁纸质文件和电脑文件,包括 一个人的身份信息.
  3. 确保办公室电脑有密码保护.
  4. 保持办公室远离包含个人信息的文件.
  5. 确保电脑病毒防护是最新的.
  6. 只要求和保留商业目的所必需的信息.
  7. 仅使用批准的方法传递识别信息,并包括以下内容 关于任何传送的识别资料的声明:
    此信息可能包含机密和/或专有信息,并且是有意的 对于其最初所针对的个人/实体. 如果你收到了这个 邮件错误,请联系学院,然后删除原始文件. 严禁他人使用.
  8. 不要使用或发布一个人的社会安全号码作为帐户标识符或在 任何其他文件,除非本人要求或联邦法律要求(如 如W-2表格).
  9. 当你发现危险信号时应该采取的步骤
    如果学院工作人员发现了危险信号,他们将采取一个或多个 以下步骤与所构成的风险程度相称,以预防和减轻风险 身份盗窃.

    学院人员有权决定构成的风险程度并采取行动 相应的.

    1. 继续监控账户,寻找身份盗窃的证据;
    2. 通过书面通知或电话与当事人联系;
    3. 拒绝开立新帐户;
    4. 关闭现有帐户;
    5. 用新号码重新开户;
    6. 通知程序管理员确定应采取的适当步骤 based on the Oregon Identity Theft Act Best Practices; or
    7. 确定在特定情况下无需作出回应.

服务提供者安排
如果学院聘请服务提供者来执行相关活动 对于有保障的账户,学院将采取以下步骤之一来确保 服务提供者按照程序执行:

  1. 通过合同要求服务提供者有适当的政策和程序 在适当的地方设计,以检测,防止和减轻身份盗窃.
  2. 通过合同要求服务提供商审查该计划并报告任何错误 标志程序管理员.
  3. 要求合同包括赔偿条款,限制学院的责任 服务提供商未能检测、防止或减轻身份盗窃.

不披露具体做法
披露有关危险信号识别的具体信息或做法; 检测、缓解和预防措施可能仅限于指定的学院 工作人员和/或政策制定者. 为开发或实施程序而产生的文件 哪些描述的具体做法可能构成安全信息,可能是不可披露的 因为披露可能会危及身份信息的安全 而且可能会绕过学院的身份盗窃预防措施.

收养日期:4/13/09
修订日期:12/1/16
DATE OF LAST REVIEW: 12/1/16; 1/7/21