Yasal BT belgeleri [kapalı]

10

Geçen hafta merak ediyordum çünkü büyük patronum sabitlediğim tüm şeyleri, bunları nasıl düzeltebileceğimizi vb. İzlemeye başlamamı söyledi. Bu da makul ve yine de yapıyor. Ama sonra aklıma bir soru geldi. Kullanıcıların eline geçtikçe ne tür belgelere sahip olmalıyım. Daha spesifik olarak EULA, ToC, vb. Açısından konuşuyorum (yanlış terimler kullanıyorsam lütfen beni düzeltin) Ya da daha spesifik olarak, bir kullanıcı için söz konusu politika. Hukuk uzmanı olduğumu söyleyemem, aksi takdirde avukat olurum. Kullanıcıların bulunduğu ortam oldukça geri döndü, bu yüzden bir sorun görmüyorum. Ama varsayalım ki bir sorun çıksın, ne yazmalıyım / elimde olmalı?

EDIT: Gerçekten bir tıbbi ulaşım tesisi olduğumuzu ve hasta kayıtlarımız olduğunu belirtmeliydim, bu yüzden inandığım HIPAA politikalarına uymak için orada bir şeyler yapılması gerektiğini biliyorum. Anthonysomerset'in "Bir otobüsle alırsam" Senaryosu hakkında söylediklerini beğeniyorum ve sadece şu anda yazdığım belgelere değil, aynı zamanda bir çalışanın sunucudan veya kenar vakalardan bilgi çalması gerektiğini söylerse, hırsızlık Personelimiz kadarıyla, tek bir İK kişide olduğu gibi nispeten küçük, 2 sahiplerinin avukatları dışında hiçbir hukuk departmanı ve beni bir mac süper kullanıcısı olmayan bir adamla personel üzerinde tek BT ​​kişisi olmak.

untagged 
Tablemaker
kaynak
4
Yasal dokümantasyon gereksinimlerinizin tamamen bunları hangi bağlamda kullandığınıza bağlı olacağını düşünüyorum. Müşterileri barındırmak için belgelere ihtiyaç duyan bir barındırma sağlayıcısı mısınız? Müşterileriniz için dokümanlara ihtiyaç duyan bir tür servis sağlayıcı mısınız? Kullanıcılarınızın yalnızca politikaları izlemesini isteyen bir BT kullanıcısı mısınız?
GregD
Şu anda hiçbir şey barındırmıyoruz, tüm sunucular sadece dahili çalışma içindir ve tıbbi taşımadadır, bu nedenle sevk görevlilerinin ve tüm ofis çalışanlarının günlük olarak eriştiği sunucularda hasta bilgileri vb. Dediğim gibi, geri döndü ve patronlar işlerini düzgün bir şekilde yaptıkları sürece çalışanlar Facebook'ta olduğu zaman çok fazla umursamıyorlar.
Tablemaker
1
Bu durumda, HIPAA'nın belgelerinizin temeli olacağını varsayabilirim. Bunu söyledikten sonra, biri aşağıda bahsediyor ve tekrar edeceğim, muhtemelen sadece BT'nin "yasal belgeler" konusundaki sorumluluğu değildir. Bu daha iyi yönetim / İK'ya bırakılır.
GregD
Bu soru şimdi çok konu dışı.
HopelessN00b

Yanıtlar:

10

Süpervizörler tarafından benimsenen, çeşitli konuların nasıl ele alındığını ve çalışanlardan ne beklendiğini belirten bir dizi yazılı politikaya sahip olmak için patronunuz / İK çalışanlarınızla birlikte çalışmalısınız. Bunlar işletmeye bağlı olarak değişebilir, ancak temel olarak ağınızda ve bilgisayar sistemlerinizde nelere izin verilip neye izin verilmediğini ve takip işleminin ne şekilde yapıldığını (düzeltmenin nasıl ele alınacağını, feshedilmesine yol açabilecek vb.) Belirten belgeleriniz olur. . Daha sonra çalışanlarınıza, muhtemelen imzalayıp dosyada tutmaları için bir çalışan el kitabı veya notunun bir parçası olarak materyal verilir.

Bilgisayar sistemlerinde kabul edilebilir kullanım açısından uğraşmanız gereken senaryolarla gelin ve patronunuzla bu konuda konuşun; birisini kovma yetkiniz yoksa, diğer departman başkanları veya amirleri ile politikaların dili üzerinde çalışmalısınız. Bir hukuk departmanınız varsa, bölgenizdeki gizlilik veya fesih ile ilgili yasal sorunlara adım atmadığınızdan emin olmak için de bu kurumların içinden geçmesini istersiniz.

İdeal olarak, işletmenizin çalışanların farkında olması ve masalarını desteklemesi gereken bazı çalışan el kitapları veya materyalleri vardır, bu nedenle sizin için çalışmak için orada bir şablon fikri olabilir.

Bart Silverstrim
kaynak
2
ben hemen hemen aynı şeyi yazıyordum ama ona dayak yedim, başka bir şey, sizden yapmasını istediğin şeyler klasik "bir otobüse çarptıysam" belgelerinin, herhangi bir nedenden ötürü boşlukları kapatmak için Artık görevlerinizi yerine getirebileceksiniz
anthonysomerset
Masa aksesuarları için +1. Ancak, büyük patronum sürekli olarak MIA olduğunda, bu düşündüğümden biraz daha zor olacak. Kesinlikle beni ilk çalışanlar portal çalışan bir tür web sitesi olsun bir kez web tabanlı bir form tüm ilk tanıtım belgeleri (eğlenceli olduğunu) ne zaman AUP ve benzeri ile yeni çalışanlar sunmak istiyorum. Gerçi herhangi bir gerçek el kitabı olup olmadığından emin değilim, eminim en azından dosyalarında evrak imzaladı.
Tablemaker
4
Sadece topun kendi mahkemesinde olduğu ve patronlar söz konusu olduğunda BT'nin itici güç olamayacağı / olamayacağı konusunda patronunuz / İK ile çalışmanız gerekirken, işletme sahiplerinden / yönetiminden olması gerektiğini eklemek istedim, aksi takdirde sadece öfkeli BOFH ve insanlar politikalarınıza saygı duymayacaklar.
mtinberg
3

Ofisimiz bunu geçti. Ancak HIPAA'ya uymak zorundayız. BT standartlarımız için bir çerçeveyi çevrimiçi bir sürümden aldık ve onayladık. Şahsen ben politikaların büyük çoğunluğunu yazdım. @Bart Silverstrim'in dediği gibi İK kişinizle çalışmanız gerekecektir. Standartlarımız için iki kişilik bir ekiptik.

Kolay değil. Sadece yavaş ve metodik olarak git. Günlük rutininizle başlayın ve madde işaretli bir listede not alın. Sadece bizim bir örnek fikirler listesi var

  • Verilerin sınıflandırılması
  • Risk Analizi yönetimi
  • Kimlikler ve Hesaplar
  • personel güvenliği
  • Kontrol / denetim günlüğünü değiştir
  • Donanım ve yazılım
  • BC / DR (ne olursa olsun her şirket buna sahip olmalı)

Çok daha fazlası var, hepsi ne kadar gitmek istediğinize bağlı.

Birisinin HIPAA'yı ihlal etmesi durumunda kendimizi kapsamak için bu standartlarımız (kurallarımız) vardır. "Hey, bu kurallara sahibiz ve onları çiğnedi" diyebiliriz.

Bu çerçeve biz kullandık. Sizin için de işe yarayabilir veya çalışmayabilir.

RateControl
kaynak
HIPAA şeyler kesinlikle burada geçerlidir, çünkü biz her gün erişilen birçok hasta bilgisi olan bir tıbbi nakliye şirketiyiz.
Tablemaker
1
Oh vay, bu gerçekten berbat :) biz herhangi bir iddia ya da hasta bilgi işlemiyoruz, bu yüzden bir sürü HIPAA bizim için geçerli değildir (neyse ki). Sağlayıcı (lar) dan belgelerine ilişkin örnekler isteyin, bizden sorduk ve bize bunu verdiler.
RateControl
Daha fazla yardıma ihtiyacınız varsa, bana e-posta
gönderin
Aslında, bana bu çerçevenin bağlantısını verebilirseniz, bu çok takdir edilecektir. :)
Tablemaker
cevaba düzenleme yaptı
RateControl
2

Şu anda kullandığımız dört belgemiz var:

  • Kabul Edilebilir Kullanım Politikası - öğrenciler için
  • Kabul Edilebilir Kullanım Politikası - fakülte / personel için
  • Telif Hakkı Eğitim belgesi - yüksek öğrenim için yeni bir federal gereksinimi karşılar
  • Hizmet Düzeyi Sözleşmesi - BT'nin sorumluluklarının başladığı ve durduğu ayrıntılar ve hizmetlerimizin çalışma süresi beklentisi (hala geliştirme aşamasındadır, ancak bunun birçokları için hiç bitmeyen bir süreç olmasını bekliyorum).

Tabii ki başka pek çok kayıt da tutuyoruz, ancak bu konu kamuya açık yasal belgelerin tutarı kadar önemli.

Hasta kayıtları başka bir top oyunudur ve son konserim tıbbi faturalandırma ofisinde idi. Tabii ki, izlemeniz gereken birçok ek düzenleme vardır, ancak hala hatırladığım tek yasal belge , "kişisel olarak tanımlanabilir bilgileri" diğer taraflarla paylaşmadan önce bireylerden yasal bir izin almanız ve bu kayıtları tutmanız gerektiğidir.

Joel Coel
kaynak
1
SLA işini daha çok seviyorum çünkü zaten bazı insanlar tarafından kişisel bilgisayarlarını düzeltmek için evlerine gelmemi isteyen, benim işim olduğunu söylediler (olduğu gibi, sürüş veya zaman için telafi etmeyeceğim). XD sevmeliyim.
Tablemaker
1
Shads0 @ - Evet, tek durum hiç bir vpn buna sağladığınız müşteri ve destek varsa işin parçası olmak olduğunu. Bir SLA bunu kanıtlar. O zaman bile, bunu sadece şirket tarafından verilen dizüstü bilgisayarlar için yapmayı tercih ederim.
Joel Coel
1

Zaten bazı harika tavsiyeler aldınız - tıp alanına özgü birkaç düşünce (BT ile ilgili değil, ancak hasta verilerini elektronik olarak saklıyorsanız, bir sürü kanama var):

  • Yukarıda bağlanan Thoreau çerçevesine ek olarak, Ödeme Kartı Endüstrisi Veri Güvenliği Standartlarını (PCI DSS) hasta bilgilerinin güvenliğini sağlamak için rehber olarak kullanabilirsiniz - "kart sahibi bilgileri" veya benzerleri HIPAA tarafından korunan şeyler, özellikle PHI / ePHI.

  • Makul güvenlik prosedürlerine uyulduğunu kanıtlamak için yeterli belgelere sahip olmak önemlidir (PCI-DSS veya diğer çerçevelerin ilgili bölümleriyle uyumluluğu kanıtlamak).

  • Bir HIPAA uyumluluk bildirimi ve HIPAA uyumluluk politikaları isteyeceksiniz (PH / ePHII'ye erişimi olan kişiler, hangi koşullar altında vs.).
    Bu politikanın bir kısmı, bilgi talep edenlerin kimliğini nasıl doğruladığınızı içermelidir.
    Bu politikanın ayrı bir parçası, yedeklerinizi, aktarılan bilgileri vb. Nasıl koruduğunuzla ilgilenmelidir.

  • Kendinizi yasal olarak ele alan bir bakış açısından, bu bilgilere erişimi olan herkes tarafından imzalanmış gizlilik formlarına da ihtiyacınız vardır (ve muhtemelen zaten vardır) - Şirketimde, performans incelemenizde yıllık olarak gözden geçirilir ve yeniden imzalanırlar.
    Bunların ePHI'yi (elektronik kayıtlar) kapsayacak kadar geniş olduğundan emin olun.

voretaq7
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.