Prawne dokumenty informatyczne [zamknięte]

10

Zastanawiałem się w tym tygodniu, ponieważ mój wielki szef powiedział mi, żebym zaczął śledzić wszystkie rzeczy, które naprawiłem, jak je naprawić itp. Co jest rozsądne i tak czy inaczej. Ale potem przyszło mi do głowy powiązane pytanie. Jaką dokumentację powinienem mieć pod ręką, jeśli chodzi o użytkowników. Mówiąc dokładniej, mówię w kategoriach EULA, ToC itp. (Popraw mnie, jeśli używam niewłaściwych warunków), a dokładniej, zasady, że tak powiem, dla użytkowników i tym podobne. Nie mogę powiedzieć, że jestem ekspertem prawnym, w przeciwnym razie byłbym prawnikiem. Środowisko, w którym przebywają użytkownicy, jest dość wyluzowane, więc nie przewiduję problemu. Ale załóżmy, że kiedykolwiek powinien pojawić się problem, co powinienem napisać / mieć pod ręką?

EDYCJA: Naprawdę powinienem był zauważyć, że jesteśmy placówką transportu medycznego i posiadamy dokumentację pacjentów, więc wiem, że należy tam coś zrobić, aby zachować zgodność z zasadami HIPAA. Podoba mi się to, co anthonysomerset powiedział o scenariuszu „Jeśli dostanę się autobusem” i chcę zastosować to nie tylko do dokumentacji, którą obecnie piszę, ale także, jeśli powiedzmy, że pracownik ma ukraść informacje z serwera lub skrzynek, kradzież , itd. Jeśli chodzi o naszych pracowników, jest stosunkowo niewielki jak u jednego pracownika działu HR, nie ma działu prawnego oprócz prawników 2 właścicieli, a ja jestem jedyną informatyką w zespole z facetem, który jest niczym więcej niż tylko superużytkownikiem Mac.

untagged 
Tablemaker
źródło
4
Myślę, że twoje wymagania dotyczące dokumentacji prawnej będą całkowicie zależeć od kontekstu, w którym ich używasz. Czy jesteś dostawcą usług hostingowych potrzebującym dokumentów do obsługi klientów? Czy jesteś usługodawcą potrzebującym dokumentów dla swoich klientów? Czy jesteś informatykiem, który chce tylko, aby użytkownicy przestrzegali zasad?
GregD
Obecnie nie hostujemy niczego, wszystkie serwery służą wyłącznie do pracy wewnętrznej i znajdują się w transporcie medycznym, dlatego mamy informacje o pacjentach i takie na serwerach, do których dyspozytorzy i wszyscy pracownicy biurowi mają dostęp codziennie. Jak powiedziałem, jest dość wyluzowany, a szefowie nie przejmują się zbytnio, gdy pracownicy są na Facebooku i tak długo, jak wykonują swoją pracę prawidłowo.
Tablemaker
1
W takim przypadku zakładam, że HIPAA będzie podstawą twojej dokumentacji. Powiedziawszy to, ktoś wspomina poniżej, a powtarzam, prawdopodobnie nie jest to wyłącznie odpowiedzialność IT za „dokumentację prawną”. Lepiej pozostaw to kierownictwu / HR.
GregD
To pytanie jest teraz bardzo nie na temat.
HopelessN00b

Odpowiedzi:

10

Powinieneś współpracować z szefem / pracownikami działu HR, aby opracować szereg pisemnych zasad przyjętych przez przełożonych, które określają, w jaki sposób różne sprawy są obsługiwane i czego oczekuje się od pracowników. Mogą się one różnić w zależności od firmy, ale w zasadzie będziesz mieć dokumenty, które określają, co jest dozwolone i niedozwolone w sieci i systemach komputerowych oraz jakie są działania następcze (w jaki sposób obsługiwane są środki zaradcze, co może prowadzić do rozwiązania umowy itp.) . Następnie twoi pracownicy otrzymują materiał jako część poradnika dla pracownika lub notatki, być może do podpisania i przechowywania.

Wymyśl scenariusze, z którymi musiałbyś sobie poradzić w zakresie dopuszczalnego użytkowania w systemach komputerowych, a następnie porozmawiaj o tym z szefem; chyba że masz uprawnienia do zwolnienia kogoś, powinieneś pracować nad językiem polis z innymi szefami departamentów lub przełożonymi. Jeśli masz dział prawny, chcesz, aby działał również przez nie, aby upewnić się, że nie zajmujesz się kwestiami prawnymi dotyczącymi prywatności lub rozwiązania umowy w Twojej okolicy.

Idealnie, jeśli Twoja firma ma już podręczniki lub materiały dla pracowników, o których pracownicy muszą wiedzieć i podpierać swoje biurka, więc może być jakiś pomysł na szablon dla ciebie.

Bart Silverstrim
źródło
2
pisałem prawie to samo, ale zostałem pobity, druga rzecz to, że to, o co poprosił, to klasyczna dokumentacja „jeśli dostanę autobusu”, aby zaspokoić luki, jeśli z jakiegokolwiek powodu nie byłeś już w stanie wypełniać swoje obowiązki
anthonysomerset
+1 za rekwizyty na biurku. Jednak z uwagi na to, że moim wielkim szefem wciąż jest MIA, będzie to trochę trudniejsze, niż myślałem. Zdecydowanie chcą, żebym przedstawił nowym pracownikom AUP i tym podobne, kiedy po raz pierwszy zrobią całą wstępną dokumentację (co jest zabawne) w formie internetowej, gdy tylko otworzę jakąś stronę internetową z uruchomionym portalem pracowniczym. Nie jestem jednak pewien, czy ma on dosłowny podręcznik, jestem pewien, że przynajmniej podpisał dokumenty w swoich aktach.
Tablemaker
4
Chciałem tylko dodać, że chociaż powinieneś współpracować z szefem / HR nad tym, że piłka jest na ich boisku, a IT nie może / nie powinna być siłą napędową, jeśli chodzi o zasady, powinna pochodzić od właścicieli firm / kierownictwa, w przeciwnym razie to tylko zły BOFH, a ludzie nie będą szanować twoich zasad.
mtinberg
3

Nasze biuro właśnie to przeszło. Musimy jednak przestrzegać HIPAA. Wzięliśmy ramy naszych standardów IT z wersji online i dopracowaliśmy je. Osobiście napisałem ogromną większość zasad. Jak powiedział @Bart Silverstrim, będziesz musiał współpracować z osobą z działu HR. Byliśmy dwuosobowym zespołem dla naszego dokumentu standardów.

To nie jest łatwe. Po prostu idź powoli i metodycznie. Zacznij od codziennej rutyny i zanotuj to na liście wypunktowanej. Istnieje cała lista pomysłów, tylko jedna z naszych

  • Klasyfikacja danych
  • Zarządzanie analizą ryzyka
  • Identyfikatory i konta
  • bezpieczeństwo personelu
  • Zmień dziennik kontroli / audytu
  • Sprzęt i oprogramowanie
  • BC / DR (każda firma powinna to mieć niezależnie od tego)

Jest o wiele więcej, wszystko zależy od tego, jak daleko chcesz się posunąć.

Mamy te standardy (zasady) na wypadek sytuacji, w których ktoś złamie HIPAA. Możemy więc powiedzieć „hej, mamy te zasady i je złamaliśmy”.

To jest struktura , której użyliśmy. To może, ale nie musi, działać również dla Ciebie.

RateControl
źródło
Rzeczy HIPAA zdecydowanie mają tutaj zastosowanie, ponieważ jesteśmy firmą transportową z dużą ilością informacji o pacjencie, które są dostępne codziennie.
Tablemaker
1
Och, wow, to naprawdę do bani :) nie zajmujemy się żadnymi roszczeniami ani informacjami o pacjencie, więc wiele HIPAA nas nie dotyczy (na szczęście). Poproś usługodawcę (-ów) o przykłady ich dokumentacji, poprosiliśmy o naszą, a oni dali nam jej mnóstwo.
RateControl
Jeśli potrzebujesz dodatkowej pomocy, po prostu napisz do mnie (e-mail w profilu)
RateControl
Byłoby bardzo mile widziane, gdybyś mógł podać link do tego frameworka. :)
Tablemaker
dokonał edycji odpowiedzi
RateControl
2

W tej chwili mamy cztery dokumenty, których używamy:

  • Zasady dopuszczalnego użytkowania - dla studentów
  • Zasady dopuszczalnego użytkowania - dla wykładowców / pracowników
  • Dokument dotyczący edukacji praw autorskich - spełnia nowy federalny wymóg dotyczący wyższej wersji
  • Umowa o gwarantowanym poziomie usług - szczegóły dotyczące początku i końca odpowiedzialności IT oraz oczekiwania na czas dostępności naszych usług (wciąż w fazie rozwoju, ale sądzę, że dla wielu jest to proces niekończący się).

Oczywiście prowadzimy również wiele innych rejestrów, ale chodzi tu o to, jak o publiczne dokumenty prawne.

Dane pacjentów to zupełnie inna gra, a mój ostatni występ odbył się w biurze rachunków medycznych. Istnieje oczywiście wiele dodatkowych przepisów, których musisz przestrzegać, ale jedynym dokumentem prawnym, który wciąż pamiętam, jest to, że musisz uzyskać i prowadzić rejestr prawny zezwoleń od osób fizycznych, zanim będziesz mógł udostępnić jakiekolwiek „dane osobowe” innym stronom.

Joel Coel
źródło
1
Najbardziej podoba mi się umowa SLA, ponieważ niektórzy ludzie proszą mnie, żebym przyjechał do ich domu, aby naprawić komputer osobisty, mówiąc, że to moja praca (jak w, nie zrekompensuje mi jazdy ani czasu). Uwielbiam to xD.
Tablemaker
1
@ Shads0 - Tak, tylko w tym przypadku kiedykolwiek być częścią twojej pracy jest, jeśli masz klienta VPN, które zapewniają i wsparcie. SLA to potwierdza. Nawet wtedy wolę robić to tylko w przypadku laptopów wydawanych przez firmę, gdy mogę sobie na to pozwolić.
Joel Coel
1

Otrzymałeś już kilka świetnych porad - kilka przemyśleń specyficznych dla dziedziny medycyny (nie wszystkie związane z IT, ale jeśli przechowujesz dane pacjenta w formie elektronicznej, istnieje DUŻO krwawień):

  • Oprócz wyżej wymienionych ram Thoreau, możesz użyć Standardów bezpieczeństwa danych branżowych dotyczących kart płatniczych (PCI DSS) jako wskazówek do zabezpieczenia informacji o pacjencie - wszędzie tam, gdzie jest napisane „informacje o posiadaczu karty” lub podobne, uważaj na rzeczy chronione przez HIPAA, głównie PHI / ePHI.

  • Ważne jest, aby mieć wystarczającą dokumentację, aby udowodnić zgodność z rozsądnymi procedurami bezpieczeństwa (potwierdzającymi zgodność z odpowiednimi częściami PCI-DSS lub innymi platformami).

  • Będziesz potrzebować oświadczenia o zgodności z HIPAA i zasad zgodności z HIPAA (określających, kto ma dostęp do PH / ePHII, w jakich okolicznościach itp.).
    Część tych zasad powinna obejmować sposób weryfikacji tożsamości osób żądających informacji.
    Oddzielna część tych zasad powinna dotyczyć sposobu ochrony kopii zapasowych, informacji w transporcie itp.

  • Z prawnego punktu widzenia obejmującego twoją dupę potrzebujesz również (i prawdopodobnie już) formularzy poufności podpisanych przez każdego, kto ma dostęp do tych informacji - w mojej firmie są one corocznie sprawdzane i ponownie podpisywane podczas przeglądu wyników.
    Upewnij się, że są one wystarczająco szerokie, aby objąć ePHI (zapisy elektroniczne).

voretaq7
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.