Gramm Leach billey Act （GLBA）是一部适用于金融机构的法律，其中包括旨在保护消费者金融数据的隐私和信息安全条款。 该法适用于高等教育机构如何收集、存储和使用包含个人身份信息的学生财务记录（例如，有关学费支付和/或经济援助的记录）。 GLBA regulations include both a 隐私规则（16 CFR 313） and a 保障规则（16 CFR 314）, both of which are applicable to educational institutions. Universities are deemed in compliance with the GLBA Privacy Rule if they maintain compliance with the Family Educational Rights and Privacy Act (FERPA) (see TAMU-CC’s FERPA compliance information). The following information on this site shall summarize the Texas A&M University-Corpus Christi’s information relevant to the GLBA Safeguards Rule.

大学将实施和维护一个全面的信息安全计划。 该计划将包括基于风险实施的行政、技术和物理保障措施。 These safeguards may be included in existing 大学的规章、政策和程序 as well as the implementation of the 安全控制目录.

GLBA项目要素

• 职责指定： As defined in University Policy 29.01.99.C1, the 首席信息安全和隐私官 (CISPO) is responsible for coordinating and overseeing the University Information Security Program, including elements related to GLBA. 关于该计划的实施或本文件的解释的任何问题应直接向CISPO提出。
• 风险评估: 大学将定期进行风险评估，以识别和评估大学数据安全和机密性的风险。 应根据这些评估的结果对信息安全计划进行适当的更新。 参见网络安全控制标准 RA-3风险评估.
• 定期安全测试： 应定期进行安全测试和评估，例如漏洞评估和渗透测试，以识别和解决安全计划中的漏洞和弱点。 参见网络安全控制标准 PM-6绩效度量 and PM-14测试、培训和监控.
• 持续的监控: 持续监控信息安全计划对于及时发现和响应安全威胁和漏洞至关重要。 参见网络安全控制标准 PM-6绩效度量 and PM-14测试、培训和监控.
• 事件响应计划： 大学维持一个事件响应计划，以解决任何安全事件或数据泄露。 信息技术部门应保留一份事件响应计划的副本。 参见网络安全控制标准 事件应变控制系列（IR-1至IR-9）.

GLBA计划保障措施

• 访问控制: 访问大学数据将仅限于授权人员，他们需要访问作为其工作职责的一部分。 将实施访问控制，包括用户身份验证和授权，并定期进行审查。 参见网络安全控制标准 访问控制系列（AC-1至AC-22） and 识别和认证控制系列（IA-1到IA-11）.
• 系统和数据清单： IT部门应对用于关键业务功能的系统和数据进行适当的盘点。 参见网络安全控制标准 PM-5系统清单.
• 系统开发与获取： 大学应对所有内部开发采用安全的开发实践。 正式的采购流程包括适当的安全评估。 参见网络安全控制标准 系统和服务获取控制系列（SA-1到SA-22）.
• 多因素身份验证: 实现多因素身份验证（MFA）。 参见网络安全控制标准 IA-2(1)特权帐户的多因素身份验证 and IA-2(2)非特权帐户的多因素身份验证.
• 数据加密: 对敏感的财务数据应采用适当的数据加密。 参见网络安全控制标准 SC-13加密保护.
• 员工培训: 所有员工在入职时和每年接受一次信息安全意识（ISA）培训。 参见网络安全控制标准 安全意识和培训.
• 第三方服务提供商： 第三方服务提供商应签订书面合同，其中包括保护大学数据和遵守适用法律法规的条款。 参见网络安全控制标准 SA-4采集过程.
• 记录的保存和处理： The University has established a records retention and disposal process in accordance with Texas A&M University System records management regulation 61.99.01, and applicable Texas Records Management Law further implementation details are available in 61.99.01.C0.01. 所有物理介质的妥善处置应由信息技术部门记录和处理。 参见网络安全控制标准 SR-12组件处理.
• 变更管理: 对大学生产系统的更改应在实施前记录、审查、测试和批准。 参见网络安全控制标准 CM-4影响分析 and CM-5更改的访问限制.
• 事件日志记录: 大学应实施适当的监控和登录系统，以发现未经授权的访问和修改数据。 参见网络安全控制标准 Accountability Audit and Risk Management Controls Family (AU-1 through AU-12)

保单生效日期： 2024年12月5日