Tài liệu CNTT hợp pháp [đã đóng]

10

Tôi đã tự hỏi trong tuần qua bởi vì ông chủ lớn của tôi nói với tôi rằng hãy bắt đầu theo dõi tất cả những điều tôi đã sửa chữa, cách khắc phục chúng, v.v ... Điều đó là hợp lý và dù sao cũng đã và đang làm. Nhưng rồi một câu hỏi liên quan xuất hiện trong đầu. Những loại tài liệu nào tôi nên có trong tay cho đến khi người dùng đi. Cụ thể hơn, tôi đang nói về EULA, ToC, v.v. (hãy sửa lại cho tôi nếu tôi đang sử dụng các thuật ngữ sai) Hay cụ thể hơn là một chính sách, có thể nói, đối với người dùng và như vậy. Không thể nói tôi là một chuyên gia pháp lý, nếu không tôi sẽ là một luật sư. Môi trường mà người dùng đang ở khá thoải mái nên tôi không thấy có vấn đề gì. Nhưng giả sử rằng có bao giờ phát sinh vấn đề, tôi nên viết gì / có gì trong tay?

EDIT: Tôi thực sự cần lưu ý rằng chúng tôi là một cơ sở vận chuyển y tế và có hồ sơ bệnh nhân để tôi biết rằng phải làm gì đó để tuân thủ các chính sách của HIPAA mà tôi tin. Tôi thực sự thích những gì anthonysomerset đã nói về Kịch bản "Nếu tôi đi bằng xe buýt" và muốn áp dụng nó không chỉ vào tài liệu tôi hiện đang viết mà còn nếu nói rằng một nhân viên đã ăn cắp thông tin từ máy chủ hoặc các vụ kiện cạnh, trộm cắp , v.v ... Theo như nhân viên của chúng tôi, nó tương đối nhỏ như một người nhân sự, không có bộ phận pháp lý nào ngoài luật sư của 2 chủ sở hữu và tôi là nhân viên IT duy nhất trong đội ngũ với một anh chàng không hơn một siêu nhân mac.

untagged 
Người bạn cùng bàn
nguồn
4
Tôi nghĩ rằng các yêu cầu về tài liệu pháp lý của bạn sẽ hoàn toàn phụ thuộc vào bối cảnh bạn đang sử dụng chúng cho. Bạn có phải là nhà cung cấp dịch vụ lưu trữ cần tài liệu cho khách hàng lưu trữ? Bạn có phải là một số loại nhà cung cấp dịch vụ cần tài liệu cho khách hàng của bạn? Bạn có phải là một anh chàng IT chỉ muốn người dùng của mình tuân theo các chính sách?
GregD
Hiện tại chúng tôi không lưu trữ bất cứ thứ gì, tất cả các máy chủ chỉ dành cho công việc nội bộ và trong vận chuyển y tế vì vậy chúng tôi có thông tin bệnh nhân và trên các máy chủ mà nhân viên điều phối và tất cả nhân viên văn phòng truy cập hàng ngày. Như tôi đã nói, nó khá thoải mái và các ông chủ không quan tâm quá nhiều khi nhân viên ở trên Facebook và miễn là họ làm việc đúng cách.
Tablemaker
1
Sau đó, trong trường hợp đó, tôi cho rằng HIPAA sẽ là nền tảng của tài liệu của bạn. Có nói rằng, ai đó đề cập dưới đây, và tôi sẽ nhắc lại, có lẽ đó không phải là trách nhiệm của IT đối với "tài liệu pháp lý". Điều đó tốt hơn để lại cho quản lý / nhân sự.
GregD
Câu hỏi này rất lạc đề.
Vô vọngN00b

Câu trả lời:

10

Bạn nên làm việc với sếp / nhân sự của mình để có một loạt các chính sách bằng văn bản, được các giám sát viên thông qua, phác thảo cách xử lý các vấn đề khác nhau và những gì được mong đợi của nhân viên. Chúng có thể khác nhau tùy thuộc vào doanh nghiệp, nhưng về cơ bản, bạn sẽ có các tài liệu chỉ định những gì được phép và không được phép trên mạng và hệ thống máy tính của bạn và những gì tiếp theo (cách khắc phục được xử lý, những gì có thể dẫn đến chấm dứt, v.v.) . Sau đó, nhân viên của bạn được cung cấp tài liệu như một phần của sổ tay nhân viên hoặc bản ghi nhớ, có thể để ký và lưu vào hồ sơ.

Hãy đưa ra các kịch bản mà bạn sẽ phải giải quyết về mặt sử dụng chấp nhận được trên các hệ thống máy tính và sau đó nói chuyện với sếp của bạn về nó; trừ khi bạn có thẩm quyền sa thải ai đó, bạn nên làm việc bằng ngôn ngữ của các chính sách với các trưởng phòng hoặc giám sát viên khác. Nếu bạn có một bộ phận pháp lý, bạn cũng sẽ muốn nó chạy qua họ để đảm bảo bạn không bước vào các vấn đề pháp lý liên quan đến quyền riêng tư hoặc chấm dứt trong khu vực của bạn.

Lý tưởng nhất là doanh nghiệp của bạn đã có một số sổ tay nhân viên hoặc tài liệu mà nhân viên phải biết và chống đỡ bàn làm việc của họ, vì vậy có thể có một số ý tưởng về một mẫu trong đó để làm việc cho bạn.

Bart Silverstrim
nguồn
2
Tôi đã viết khá nhiều điều tương tự nhưng bị đánh bại, điều khác là những thứ anh ấy yêu cầu bạn làm là cổ điển "nếu tôi bị xe buýt đâm" để che lấp những khoảng trống nếu bạn vì bất kỳ lý do gì không còn có thể hoàn thành nhiệm vụ của mình
anthonysomerset
+1 cho đạo cụ bàn. Tuy nhiên, với ông chủ lớn của tôi liên tục là MIA, điều này sẽ khó khăn hơn tôi nghĩ. Họ chắc chắn muốn tôi giới thiệu nhân viên mới với AUP và tương tự khi người đầu tiên làm tất cả tài liệu giới thiệu của họ (điều thú vị là) trong một biểu mẫu dựa trên web khi tôi nhận được một số trang web có cổng thông tin nhân viên đang chạy. Không chắc lắm nếu anh ta có bất kỳ cuốn sổ tay nghĩa đen nào, tôi chắc chắn ít nhất anh ta đã ký giấy tờ trong hồ sơ của họ.
Người đánh máy
4
Chỉ muốn nói thêm rằng trong khi bạn nên làm việc với sếp / nhân sự của mình về việc quả bóng ở tòa án của họ và CNTT không thể / không nên là động lực khi nói đến chính sách, thì nên từ chủ sở hữu / quản lý doanh nghiệp, nếu không thì bạn chỉ là BOFH tức giận và mọi người sẽ không tôn trọng chính sách của bạn.
mtinberg
3

Văn phòng của chúng tôi vừa trải qua điều này. Tuy nhiên, chúng tôi phải tuân thủ HIPAA. Chúng tôi đã lấy một khuôn khổ cho các tiêu chuẩn CNTT của chúng tôi từ một phiên bản trực tuyến và đưa ra. Cá nhân tôi đã viết phần lớn các chính sách. Như @Bart Silverstrim cho biết bạn sẽ cần làm việc với nhân sự của mình. Chúng tôi là một nhóm hai người cho tài liệu tiêu chuẩn của chúng tôi.

Nó không dễ dàng. Chỉ cần đi chậm và có phương pháp. Bắt đầu với thói quen hàng ngày của bạn và ghi lại trong danh sách gạch đầu dòng. Có một danh sách toàn bộ ý tưởng chỉ là một mẫu của chúng ta

  • Phân loại dữ liệu
  • Quản lý phân tích rủi ro
  • Id và tài khoản
  • nhân viên an ninh
  • Thay đổi kiểm soát / nhật ký kiểm toán
  • Phần cứng và phần mềm
  • BC / DR (mọi công ty nên có điều này bất kể)

Còn nhiều hơn thế nữa, tất cả phụ thuộc vào việc bạn muốn đi bao xa.

Chúng tôi có các tiêu chuẩn (quy tắc) này để trang trải cho chính mình trong trường hợp ai đó phá vỡ HIPAA. Vì vậy, chúng tôi có thể nói "này, chúng tôi có những quy tắc này và đã phá vỡ chúng".

Đây là khuôn khổ mà chúng tôi đã sử dụng. Nó có thể hoặc không thể làm việc cho bạn cũng.

Tỷ lệ kiểm soát
nguồn
Công cụ HIPAA chắc chắn áp dụng ở đây vì chúng tôi là một công ty vận tải y tế với rất nhiều thông tin bệnh nhân được truy cập hàng ngày.
Người làm bàn
1
Ôi chà, thật là tệ :) chúng tôi không xử lý bất kỳ khiếu nại hay thông tin bệnh nhân nào, vì vậy rất nhiều HIPAA không áp dụng cho chúng tôi (may mắn thay). Hỏi (các) nhà cung cấp để biết ví dụ về tài liệu của họ, chúng tôi đã hỏi chúng tôi và họ đã cho chúng tôi biết về nó.
RateControl
Nếu bạn cần thêm trợ giúp, chỉ cần gửi email cho tôi (email trong hồ sơ)
RateControl
Trên thực tế, nếu bạn có thể cho tôi liên kết cho khung đó, điều đó sẽ được đánh giá cao. :)
Người làm bàn
thực hiện chỉnh sửa để trả lời
RateControl
2

Hiện tại chúng tôi có bốn tài liệu mà chúng tôi sử dụng:

  • Chính sách sử dụng được chấp nhận - dành cho sinh viên
  • Chính sách sử dụng được chấp nhận - dành cho giảng viên / nhân viên
  • Tài liệu Giáo dục Bản quyền - đáp ứng yêu cầu liên bang mới cho ed cao hơn
  • Thỏa thuận cấp độ dịch vụ - chi tiết nơi trách nhiệm của CNTT bắt đầu và dừng lại, và kỳ vọng về thời gian hoạt động của các dịch vụ của chúng tôi (vẫn đang trong quá trình phát triển, nhưng tôi hy vọng đây là một quá trình không bao giờ kết thúc đối với nhiều người).

Tất nhiên chúng tôi cũng giữ nhiều hồ sơ khác, nhưng đây là số tiền cho các tài liệu pháp lý công cộng.

Hồ sơ bệnh nhân là một trò chơi bóng khác, và buổi biểu diễn cuối cùng của tôi là trong một phòng thanh toán y tế. Tất nhiên, có nhiều quy định bổ sung bạn phải tuân theo, nhưng tài liệu pháp lý duy nhất tôi vẫn nhớ là bạn phải có được và giữ một hồ sơ pháp lý cho phép của các cá nhân trước khi bạn có thể chia sẻ bất kỳ "thông tin nhận dạng cá nhân" nào với các bên khác.

Joel Coel
nguồn
1
Tôi thích điều SLA chủ yếu là vì tôi đã được một số người yêu cầu tôi đến nhà để sửa máy tính cá nhân của họ, nói rằng đó là công việc của tôi (như trong, sẽ không đền bù cho tôi vì lái xe hoặc thời gian). Phải yêu nó xD.
Tablemaker
1
@ Shads0 - Vâng, trường hợp duy nhất từng là một phần công việc của bạn là nếu bạn có một khách hàng vpn mà bạn cung cấp và hỗ trợ. Một SLA chứng minh điều này. Thậm chí sau đó, tôi thích chỉ làm điều này cho máy tính xách tay do công ty cấp khi tôi có thể thoát khỏi nó.
Joel Coel
1

Bạn đã nhận được một số lời khuyên tuyệt vời - một vài suy nghĩ cụ thể cho lĩnh vực y tế (không phải tất cả liên quan đến CNTT, nhưng nếu bạn đang lưu trữ dữ liệu bệnh nhân bằng điện tử thì có RẤT NHIỀU chảy máu):

  • Ngoài khuôn khổ Thoreau được liên kết ở trên, bạn có thể sử dụng Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán (PCI DSS) làm hướng dẫn để bảo mật thông tin bệnh nhân - bất cứ nơi nào có thông tin "thông tin chủ thẻ" hoặc các công cụ tương tự được bảo vệ bởi HIPAA, chủ yếu là PHI / ePHI.

  • Điều quan trọng là phải có đủ tài liệu để chứng minh việc tuân thủ các quy trình bảo mật hợp lý (chứng minh sự tuân thủ với các phần có liên quan của PCI-DSS hoặc các khung khác).

  • Bạn sẽ muốn một tuyên bố tuân thủ HIPAA và các chính sách tuân thủ HIPAA (nêu chi tiết ai có quyền truy cập PH / ePHII, trong những trường hợp nào, v.v.).
    Một phần của chính sách này sẽ bao gồm cách bạn xác minh danh tính của người yêu cầu thông tin.
    Một phần riêng biệt của chính sách này sẽ giải quyết cách bạn bảo vệ các bản sao lưu, thông tin đang vận chuyển, v.v.

  • Từ góc độ bảo vệ pháp lý của bạn, bạn cũng cần (và có thể đã có) các biểu mẫu bảo mật được ký bởi bất kỳ ai có quyền truy cập vào thông tin đó - Tại công ty của tôi, họ được xem xét và ký lại hàng năm khi xem xét hiệu suất của bạn.
    Đảm bảo rằng những điều này đủ rộng để bao gồm ePHI (hồ sơ điện tử).

voretaq7
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.