Hướng dẫn chính sách và chương trình

Virginia Department of Social Services sử dụng thông tin nhạy cảm , chẳng hạn như dữ liệu cá nhân, tài chính và thuế, hàng ngày để phục vụ các cá nhân và gia đình trên khắp Virginia. Một số thông tin này là thông tin nhạy cảm. Nó bao gồm các chi tiết cá nhân và tài chính. 

Chính sách này giải thích cách chúng tôi bảo vệ thông tin đó và những gì cần làm đối với bất kỳ ai sử dụng hệ thống hoặc dữ liệu của VDSS. Việc giữ an toàn thông tin giúp bảo vệ mọi người, duy trì lòng tin và đảm bảo các dịch vụ tiếp tục hoạt động mà không bị gián đoạn. 

Nguyên tắc hướng dẫn của chúng tôi 

Chúng tôi tuân theo các nguyên tắc cốt lõi này khi bảo vệ thông tin: 

• Thông tin là một nguồn tài nguyên quý giá và phải được bảo vệ. 
• Quyền truy cập được giới hạn cho những người cần nó để làm công việc của họ. 
• Bảo mật thông tin hỗ trợ cả công việc và công nghệ của chúng tôi. 
• Các quyết định bảo mật dựa trên rủi ro và tính thực tế. 
• Các chính sách hướng dẫn công việc, nhưng các nhà lãnh đạo thực hiện chúng. 
• Mọi người đều có chung trách nhiệm giữ thông tin an toàn

Giữ thông tin an toàn giúp: 

• Bảo vệ khách hàng và nhân viên 
• Duy trì niềm tin của công chúng 
• Đảm bảo các dịch vụ vẫn có sẵn 

Bảo mật thông tin là trách nhiệm chung.

Ai phải tuân theo chính sách này 

Chính sách này áp dụng cho tất cả các cá nhân sử dụng hệ thống hoặc thông tin của VDSS, bao gồm: 

• Nhân viên và giám sát viên 
• Nhân viên bộ phận địa phương 
• Nhà thầu và nhà thầu phụ 
• Tình nguyện viên và thực tập sinh 
• Đối tác kinh doanh và nhà cung cấp 

 Nguyên tắc hướng dẫn của chúng tôi 

VDSS tuân theo các nguyên tắc cốt lõi sau: 

Thông tin là một tài sản có giá trị và phải được bảo vệ 

• Quyền truy cập được giới hạn cho những người cần thông tin để thực hiện công việc của họ 
• Bảo mật hỗ trợ cả công việc hàng ngày và công nghệ 
• Các quyết định bảo mật phải thực tế và dựa trên rủi ro 
• Các chính sách hướng dẫn công việc, nhưng các nhóm thực hiện nó 
• Mọi người đều đóng một vai trò trong việc bảo vệ thông tin 

 Trách nhiệm của bạn 

Nếu bạn sử dụng hệ thống hoặc thông tin VDSS, bạn cần phải: 

Thực hiện theo các chính sách bắt buộc 

• Tuân thủ tất cả các chính sách bảo mật, quyền riêng tư và sử dụng hợp lý của VDSS. 
• Hoàn thành khóa đào tạo bảo mật và quyền riêng tư cần thiết đúng hạn 
• Bảo vệ thông tin nhạy cảm mà bạn có thể truy cập 
• Giữ mật khẩu riêng tư và an toàn 
• Sử dụng mã hóa khi gửi hoặc lưu trữ dữ liệu nhạy cảm 
• Báo cáo các mối lo ngại về bảo mật ngay lập tức 
• Ký Thỏa thuận xác nhận chính sách bảo mật thông tin và không tiết lộ trước khi nhận quyền truy cập.
• Thừa nhận lại thỏa thuận này mỗi năm như một phần của khóa đào tạo bắt buộc. 

Bạn không được mong đợi sẽ tự mình khắc phục vấn đề. Báo cáo mối quan tâm nhanh chóng giúp hạn chế tác hại và bảo vệ mọi người. 

Hoàn thành khóa đào tạo bắt buộc

• Nhân viên mới phải hoàn thành khóa đào tạo bảo mật và quyền riêng tư trong vòng 30 ngày.
• Tất cả người dùng phải hoàn thành khóa đào tạo bồi dưỡng hàng năm.
• Đào tạo dựa trên vai trò công việc và quyền truy cập hệ thống.

Bảo vệ thông tin

• Sử dụng các phương pháp an toàn để lưu trữ và gửi thông tin nhạy cảm.
• Mã hóa dữ liệu nhạy cảm khi được lưu trữ hoặc chia sẻ.
• Không bao giờ chia sẻ mật khẩu hoặc thông tin đăng nhập.
• Bảo vệ các tập tin giấy và hồ sơ in.
• Giữ các cuộc trò chuyện riêng tư riêng tư. Đừng thảo luận về những trường hợp nhạy cảm mà người khác có thể nghe thấy.

Nói lên khi có điều gì đó không ổn

• Báo cáo bất kỳ vấn đề bảo mật nào đáng ngờ hoặc thực tế ngay lập tức.
• Bạn không được mong đợi sẽ tự khắc phục vấn đề.
• Báo cáo giúp bảo vệ mọi người và ngăn ngừa tổn hại thêm.

Những gì được coi là thông tin nhạy cảm

Thông tin nhạy cảm là bất kỳ dữ liệu nào có thể gây hại nếu nó bị mất, chia sẻ hoặc thay đổi mà không được phép.

Điều này bao gồm:

• Thông tin cá nhân có thể xác định ai đó
• Thông tin thuế liên bang
• Thông tin bí mật từ các đối tác bên ngoài
• Một số tài liệu lãnh đạo nội bộ

Thông tin nhạy cảm phải luôn được xử lý cẩn thận để bảo vệ quyền riêng tư và an toàn.

Thông tin nhận dạng cá nhân

Thông tin nhận dạng cá nhân bao gồm các chi tiết có thể xác định một người, chẳng hạn như:

• Tên và địa chỉ
• Số điện thoại và địa chỉ email
• Số an sinh xã hội
• Số tài khoản ngân hàng
• Ngày sinh và địa điểm
• Dữ liệu sinh trắc học

Thông tin này phải được bảo vệ mọi lúc.

Thông tin thuế liên bang 

Thông tin thuế liên bang có các yêu cầu đặc biệt. 

Những điểm chính cần biết: 

• Quyền truy cập bị hạn chế: Chỉ những người có nhu cầu liên quan đến công việc mới có thể truy cập thông tin này. 
• Nó không bao giờ được chia sẻ hoặc lưu trữ mà không có sự bảo vệ thích hợp 
• Thông tin nhận được trực tiếp từ khách hàng không được coi là Thông tin Thuế Liên bang. 
• Thông tin thuế liên bang không bao giờ được thay đổi để bỏ qua các quy tắc bảo mật. 
• Các hệ thống lưu trữ thông tin này thường xuyên được kiểm tra bảo mật 

Yêu cầu bảo vệ vẫn tiếp tục ngay cả sau khi công việc kết thúc. 

 Các biện pháp bảo vệ và đánh giá 

Các biện pháp bảo vệ giúp bảo vệ người nộp thuế và duy trì niềm tin. 

VDSS thường xuyên xem xét cách thức bảo vệ thông tin nhạy cảm . 

Những đánh giá này: 

• Có thể được tiến hành tại chỗ, từ xa hoặc kết hợp cả hai  
• Tập trung vào kiểm soát an ninh, không phải hiệu suất cá nhân hoặc công việc 
• Giúp đảm bảo các biện pháp bảo vệ vẫn hiệu quả 

Đánh giá diễn ra chu kỳ ba năm khi cần thiết để hỗ trợ cải thiện và trách nhiệm giải trình.  

 Báo cáo sự cố bảo mật 

Báo cáo những lo ngại về bảo mật càng sớm càng tốt.  

Điều này bao gồm: 

• Chia sẻ thông tin không đúng cách 
• Truy cập trái phép 
• Thiết bị bị mất hoặc bị đánh cắp 
• Hoạt động hệ thống đáng ngờ 
• Tràn hoặc vi phạm dữ liệu 

Phải làm gì: 

• Báo cáo sự cố ngay lập tức bằng cách sử dụng các kênh báo cáo đã được phê duyệt 
• Chỉ chia sẻ các chi tiết cần thiết 
• Sử dụng các phương pháp an toàn khi gửi thông tin nhạy cảm 

Báo cáo nhanh chóng giúp bảo vệ con người và hệ thống. 

Mốc thời gian báo cáo 

• Hầu hết các sự cố phải được báo cáo trong vòng 24 giờ. 
• Các sự cố liên quan đến một số loại dữ liệu nhất định có thể yêu cầu báo cáo nhanh hơn. 

Báo cáo nên bao gồm các chi tiết cơ bản và sử dụng các phương pháp được mã hóa khi chia sẻ thông tin nhạy cảm. 

Luật pháp và bảo vệ 

Một số luật tiểu bang và liên bang yêu cầu VDSS phải bảo vệ thông tin cá nhân và thông tin thuế. 

Việc lạm dụng thông tin có thể dẫn đến: 

• Hành động kỷ luật 
• Phạt tiền hoặc hình phạt 
• Tội hình sự trong các trường hợp nghiêm trọng 

Những luật này vẫn tiếp tục có hiệu lực ngay cả khi bạn không còn làm việc tại VDSS nữa, vì chúng tồn tại để bảo vệ cá nhân, chứ không phải để tạo ra nỗi sợ hãi. 

 Tuân thủ 

VDSS giám sát việc tuân thủ thông qua các đánh giá, kiểm toán và thanh tra. Hệ thống hoặc dữ liệu có thể bị xóa nếu cần thiết để bảo vệ thông tin. 

VDSS kiểm tra sự tuân thủ thông qua: 

• Đánh giá và kiểm toán 
• Hệ thống giám sát 
• Đánh giá và kiểm tra 

Tuân thủ giúp đảm bảo thông tin được bảo vệ và các dịch vụ tiếp tục. 

 Yêu cầu ngoại lệ 

Trong một số ít trường hợp, việc tuân theo một chính sách có thể gây ra những thách thức hoạt động nghiêm trọng. 

Khi điều này xảy ra: 

• Một yêu cầu bằng văn bản có thể được gửi 
• Yêu cầu phải giải thích lý do và cách quản lý rủi ro 
• Cần phải có sự chấp thuận trước khi sử dụng bất kỳ ngoại lệ nào 
• Yêu cầu bị từ chối có thể bị kháng cáo  

Các trường hợp ngoại lệ được xem xét cẩn thận để bảo vệ con người và hệ thống. 

Bảo mật thông tin là bảo vệ con người chứ không phải đổ lỗi. Đặt câu hỏi, làm theo hướng dẫn và báo cáo mối quan tâm giúp giữ an toàn cho mọi người. 

Hướng dẫn này giúp mọi người: 

• Hiểu vai trò của họ trong việc bảo vệ thông tin 
• Đưa ra những lựa chọn an toàn, sáng suốt 
• Báo cáo mối quan tâm mà không sợ hãi 
• Hãy ủng hộ sứ mệnh của VDSS. 

An ninh không phải là đổ lỗi. Đó là về sự quan tâm, nhận thức và trách nhiệm chia sẻ. Nếu bạn không chắc phải làm gì, hãy liên hệ. Liên hệ VDSS.Security@dss.virginia.gov.