Юридичні ІТ-документи [закрито]

10

Мені це було цікаво на минулому тижні, тому що мій великий начальник сказав мені почати слідкувати за всіма речами, які я виправив, як їх виправити тощо. Що є розумним і все роблю. Але тоді на думку прийшло споріднене питання. Яку документацію я маю мати під рукою, що стосується користувачів. Більш конкретно, я розмовляю з точки зору EULA, ToC тощо. (Виправте мене, будь ласка, якщо я вживаю неправильні умови) Або, точніше, про політику, так би мовити, для користувачів та ін. Не можу сказати, що я юридичний експерт, інакше я буду юристом. Навколишнє середовище, в якому перебувають користувачі, досить відсторонено, тому я не бачу проблем. Але припустимо, що коли-небудь повинна виникати проблема, що я повинен написати / мати під рукою?

EDIT: Я дійсно мав би зазначити, що ми є медичним транспортом і маємо облік пацієнтів, тому я знаю, що потрібно щось робити для того, щоб відповідати політиці HIPAA, яку я вважаю. Мені подобається те, що сказав антонізомер набір сценарію "Якщо я дістанусь автобусом" і хочу застосувати це не лише до документації, про яку я зараз пишу, але також і для того, якщо, скажімо, співробітник повинен був викрасти інформацію з сервера або крайових випадків, крадіжка , і т. д. Щодо нашого персоналу, його відносно мало, як у однієї людини з персоналу, жоден юридичний відділ окрім юристів двох власників, і я є єдиною ІТ-персоною з персоналом з хлопцем, який не більше, ніж суперкомп'ютер Mac.

untagged 
Таблиця
джерело
4
Я думаю, що ваші вимоги до юридичної документації будуть повністю залежати від того, для якого контексту ви їх використовуєте. Ви хостинг-провайдер потребуєте документів для хостингу клієнтів? Вам потрібен якийсь постачальник послуг, необхідний документ для своїх клієнтів? Ви ІТ-хлопець, який просто хоче, щоб ваші користувачі дотримувалися політики?
GregD
Наразі у нас нічого не розміщено, усі сервери призначені лише для внутрішньої роботи та їхнього медичного транспорту, тому у нас є інформація про пацієнтів і така на серверах, до якої диспетчери та всі офісні працівники щодня отримують доступ. Як я вже говорив, його досить відсторонено, і начальство не надто переймається, коли співробітники працюють у Facebook і такі, доки вони роблять свою роботу належним чином.
Стільниця
1
Тоді я б припускав, що HIPAA буде основою вашої документації. Сказавши це, хтось згадує нижче, і я ще раз зазначу, це, мабуть, не несе відповідальність ІТ лише за "юридичну документацію". Це краще залишити керівництву / HR.
GregD
Це питання зараз дуже поза темою.
HopelessN00b

Відповіді:

10

Вам слід співпрацювати зі своїм начальником / персоналом, щоб мати ряд письмових політик, прийнятих наглядовими органами, які визначають, як вирішуються різні питання та що очікується від працівників. Вони можуть змінюватись залежно від бізнесу, але в основному у вас є документи, які б визначали, що є, а що заборонено у вашій мережі та комп'ютерних системах, а також які подальші дії (як проводиться відновлення, що може призвести до припинення тощо). . Тоді вашим працівникам надається матеріал як частина довідника або доповідної записки працівника, можливо, для підписання та зберігання у файлі.

Придумайте сценарії, з якими вам доведеться розібратися з точки зору прийнятного використання в комп'ютерних системах, а потім поговоріть зі своїм начальником про це; якщо у вас немає повноважень звільняти когось, ви повинні працювати над мовою політики разом з іншими керівниками департаментів чи наглядачами. Якщо у вас є юридичний відділ, ви хочете, щоб він також проходив через них, щоб переконатися, що ви не наступаєте на юридичні питання, пов’язані з конфіденційністю або припиненням у вашому регіоні.

В ідеалі у вашому бізнесі вже є деякі підручники з працівниками або матеріали, про які працівники повинні знати, і підтримувати свої столи, тому там може бути якась ідея шаблону, який може працювати для вас.

Барт Сільверстрім
джерело
2
я писав майже те саме, але був побитий, інша річ - це те, що він просив вас зробити - це класичне "якщо я потрапив на автобус" документацію для покриття прогалин, якщо ви з будь-якої причини не були більше зможете виконати свої обов'язки
anthonysomerset
+1 для реквізиту на столі. Однак, коли мій великий начальник постійно перебуває в МВС, це буде трохи жорсткіше, ніж я думав. Вони, безумовно, хочу, щоб я представив нових співробітників з AUP та подібним, коли перший зробить всю свою вступну документацію (весело, що це є) у веб-формі, як тільки я отримаю якийсь веб-сайт із запущеним порталом службовців. Не надто впевнений, чи є у нього будь-який буквальний посібник, я впевнений, що він принаймні підписав документи у їхні файли.
Стільниця
4
Просто хотів додати, що, хоча ви повинні працювати з вашим начальником / персоналом над цим, що м'яч знаходиться у їх суді, а ІТ не може / не повинен бути рушійною силою, коли справа стосується поліції, це повинно бути від власників бізнесу / керівництва, інакше ви - просто розлючена БОФХ, і люди будуть нульово поважати вашу політику.
mtinberg
3

Наш офіс щойно пройшов це. Однак ми повинні відповідати HIPAA. Ми взяли основу для наших ІТ-стандартів з онлайн-версії і розробили її. Я особисто написав переважну більшість політик. Як @Bart Silverstrim сказав, що вам потрібно буде співпрацювати зі своїм персоналом. Ми були двома особами для наших стандартів док.

Це непросто. Просто йдіть повільно та методично. Почніть зі свого розпорядку дня та запишіть це у списку з пунктиром. Є цілий список ідей, лише зразок нашого

  • Класифікація даних
  • Управління аналізом ризиків
  • Ідентифікатори та рахунки
  • безпека персоналу
  • Зміна журналу контролю / аудиту
  • Апаратне та програмне забезпечення
  • BC / DR (кожна компанія повинна мати це незалежно)

Є набагато набагато більше, все залежить від того, як далеко ви хочете зайти.

У нас є ці стандарти (правила), щоб охопити себе у випадку, якщо хтось порушить HIPAA. Тож ми можемо сказати "ей, у нас є ці правила, і ми їх порушили".

Це та рамка, яку ми використовували. Це може також не спрацювати і для вас.

RateControl
джерело
Інформація про HIPAA тут безумовно застосовується, оскільки ми - медична транспортна компанія з великою кількістю інформації про пацієнтів, до якої звертаються щодня.
Стільниця
1
О, вау, це справді відстійно :) ми не обробляємо жодної претензії чи інформації про пацієнта, тому багато HIPAA не стосується нас (на щастя). Попросіть постачальника (я) про приклади їх документації, ми попросили нашого, і вони дали нам це.
RateControl
Якщо вам потрібна додаткова допомога, просто напишіть мені (електронною поштою у профілі)
RateControl
Насправді, якщо ви могли б дати мені посилання на цю рамку, це було б дуже вдячно. :)
Tablemaker
внесла редагування у відповідь
RateControl
2

Зараз у нас є чотири документи, якими ми користуємося:

  • Прийнятна політика використання - для студентів
  • Прийнятна політика використання - для викладачів / співробітників
  • Документ про освіту авторських прав - відповідає новій федеральній вимозі до вищої редакції
  • Угода про рівень сервісу - детальна інформація про початок і припинення відповідальності ІТ та очікування на час роботи наших сервісів (все ще в стадії розробки, але я думаю, що для багатьох це нескінченний процес).

Звичайно, ми також зберігаємо багато інших записів, але це стосується публічно-правових документів.

Пацієнтські записи - це зовсім інша бальна гра, і моя остання концерт була в медичному рахунку. Звичайно, існує багато додаткових правил, яких ви повинні дотримуватись, але єдиний юридичний документ, який я все-таки нагадую, - це ви повинні отримати та вести юридичний облік дозволу від осіб, перш ніж ви зможете ділитися будь-якою "особою, яка може ідентифікувати інформацію" з іншими сторонами.

Джоел Коель
джерело
1
Мені подобається SLA, головним чином тому, що до мене вже звернулися деякі люди з проханням зайти до їхнього дому, щоб полагодити їхній персональний комп’ютер, сказавши, що це моя робота (як, наприклад, не компенсує мене за водіння чи час). Треба любити xD.
Стільниця
1
@ Shads0 - Так, єдиний випадок, коли це колись буде частиною вашої роботи, якщо у вас є клієнт vpn, який ви надаєте та підтримуєте. Це доказує угода про домовленості угод. Навіть тоді я вважаю за краще робити це лише для ноутбуків, що випускаються компанією, коли я можу з ним піти.
Joel Coel
1

Ви вже отримали чудову пораду - кілька думок, характерних для галузі медицини (не всі, що стосуються ІТ, але якщо ви зберігаєте дані пацієнтів в електронному вигляді, існує багато кровоточивості):

  • На додаток до вищезгаданої рамки Торе, ви можете використовувати Стандарти безпеки даних платіжних карток (PCI DSS) в якості керівництва для забезпечення інформації про пацієнтів - де б там не було написано "інформація про власників картки" або подібне, думаю, захищені HIPAA, в основному PHI / ePHI.

  • Важливо мати достатню документацію для підтвердження відповідності розумним процедурам безпеки (що підтверджує відповідність відповідним частинам PCI-DSS або інших рамок).

  • Ви хочете заяву про відповідність HIPAA та політику відповідності HIPAA (детально вказати, хто має доступ до PH / ePHII, за яких обставин тощо).
    Частина цієї політики повинна включати те, як ви підтверджуєте особу запитувачів інформації.
    Окрема частина цієї політики повинна стосуватися того, як ви захищаєте свої резервні копії, інформацію в дорозі тощо.

  • З юридичної точки зору, вам також потрібні (і, можливо, вже є) форми конфіденційності, підписані всіма, хто має доступ до цієї інформації - У моїй компанії вони переглядаються та повторно підписуються під час огляду вашої діяльності.
    Переконайтесь, що вони є достатньо широкими для покриття ePHI (електронних записів).

voretaq7
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.