Юридические IT документы [закрыто]

10

Я размышлял на прошлой неделе, потому что мой большой начальник сказал мне начать отслеживать все, что я исправил, как их починить и т. Д. Это разумно и все равно делалось. Но затем возникла проблема, связанная с этим. Какую документацию я должен иметь под рукой, насколько пользователи идут. Более конкретно, я говорю с точки зрения EULA, ToC и т. Д. (Поправьте меня, пожалуйста, если я использую неправильные термины) Или, более конкретно, политику, так сказать, для пользователей и тому подобное. Не могу сказать, что я юрист, иначе я бы был юристом. Среда, в которой находятся пользователи, довольно спокойная, поэтому я не вижу проблем. Но предположим, что когда-нибудь возникнет проблема, что я должен был написать / иметь под рукой?

РЕДАКТИРОВАТЬ: Я действительно должен был отметить, что мы являемся медицинским транспортным учреждением и у нас есть записи о пациентах, поэтому я знаю, что что-то должно быть там сделано, чтобы соответствовать политике HIPAA, я считаю. Мне действительно нравится то, что anthonysomerset сказал о сценарии «Если я доберусь на автобусе», и хочу применить его не только к документации, которую я сейчас пишу, но и к тому, если, скажем, сотрудник должен был украсть информацию с сервера или крайние случаи, кража и т. д. Что касается нашего персонала, то он относительно небольшой, как у одного сотрудника отдела кадров, ни один юридический отдел, за исключением адвокатов двух владельцев, и я являюсь единственным сотрудником по ИТ с сотрудником, который не более чем суперпользователь Mac.

untagged Tablemaker
источник
4
Я думаю, что ваши требования к юридической документации будут полностью зависеть от того, в каком контексте вы их используете. Вам нужен хостинг-провайдер документы для хостинга клиентов? Вы какой-то поставщик услуг, которым нужны документы для ваших клиентов? Вы ИТ-специалист, который просто хочет, чтобы ваши пользователи следовали политикам?
GregD
В настоящее время мы ничего не размещаем, все серверы предназначены только для внутренней работы и находятся в медицинском транспорте, поэтому у нас есть информация о пациентах и ​​тому подобное на серверах, к которым диспетчеры и все сотрудники офиса получают доступ ежедневно. Как я уже сказал, это довольно непринужденно, и боссы не слишком заботятся, когда сотрудники находятся в Facebook и тому подобное, если они правильно выполняют свою работу.
Столовая машина
1
Тогда в этом случае я бы предположил, что HIPAA будет основой вашей документации. Сказав это, кто-то упоминает ниже, и я повторю, это, вероятно, не единственная ответственность ИТ-специалистов за «юридическую документацию». Это лучше оставить руководству / HR.
GregD
Этот вопрос сейчас очень не по теме.
HopelessN00b

Ответы:

10

Вы должны работать со своим начальником / сотрудниками отдела кадров, чтобы иметь ряд письменных политик, утвержденных руководителями, которые описывают, как решаются различные проблемы и что ожидается от сотрудников. Они могут различаться в зависимости от бизнеса, но в основном у вас есть документы, в которых указано, что разрешено и запрещено в вашей сети и компьютерных системах, и какие действия следует предпринять (как выполняется исправление, что может привести к прекращению и т. Д.). , Затем ваши сотрудники получают материал как часть справочника или памятки сотрудника, возможно, подписывают и хранят в файле.

Придумайте сценарии, с которыми вам придется иметь дело с точки зрения приемлемого использования в компьютерных системах, а затем поговорите с боссом об этом; если у вас нет полномочий увольнять кого-либо, вы должны работать на языке политик с другими руководителями департаментов или руководителями. Если у вас есть юридический отдел, вы также захотите, чтобы он проходил через них, чтобы убедиться, что вы не решаете юридические вопросы, связанные с конфиденциальностью или прекращением в вашем регионе.

В идеале в вашем бизнесе уже есть справочники или материалы для сотрудников, которые сотрудники должны знать и поддерживать на своих рабочих местах, так что может быть какая-то идея шаблона для вас.

Барт Сильверстрим
источник
2
я писал в значительной степени то же самое, но был побежден, другое дело, что он попросил вас сделать классическую документацию «если меня ударит автобус», чтобы закрыть пробелы, если вы по какой-либо причине не были больше не в состоянии выполнять свои обязанности
anthonysomerset
+1 за настольный реквизит. Однако, с моим большим боссом, постоянно являющимся МВД, это будет немного сложнее, чем я думал. Они определенно хотят, чтобы я представлял новым сотрудникам AUP и тому подобное, когда первые делают всю их вводную документацию (самое интересное) в веб-форме, как только я получаю какой-то веб-сайт с работающим порталом для сотрудников. Не слишком уверенный, если у него есть буквальный справочник, я уверен, что он, по крайней мере, подписал документы в своих файлах.
Столовая машина
4
Я просто хотел добавить, что, хотя вы должны поработать с вашим боссом / персоналом над этим, чтобы мяч находился на их поле, и ИТ не могут / не должны быть движущей силой, когда дело доходит до политики, это должны делать владельцы бизнеса / руководство, иначе вы просто злой BOFH, и люди будут иметь нулевое уважение к вашей политике.
Мтинберг
3

Наш офис только что прошел через это. Однако мы должны соблюдать HIPAA. Мы взяли основу для наших ИТ-стандартов из онлайн-версии и усовершенствовали ее. Я лично написал подавляющее большинство политик. Как сказал @Bart Silverstrim, вам нужно будет поработать с персоналом. Мы были командой из двух человек для нашего стандарта документации.

Это не легко. Просто иди медленно и методично. Начните с повседневной рутины и запишите это в маркированном списке. Существует целый список идей, просто образец нашего

  • Классификация данных
  • Управление анализом рисков
  • Идентификаторы и учетные записи
  • безопасность персонала
  • Контроль изменений / журнал аудита
  • Железо и софт
  • BC / DR (каждая компания должна иметь это независимо)

Существует гораздо больше, все зависит от того, как далеко вы хотите пойти.

У нас есть эти стандарты (правила), чтобы покрыть себя на случай, если кто-то нарушит HIPAA. Таким образом, мы можем сказать «эй, у нас есть эти правила, и они их нарушили».

Это структура, которую мы использовали. Это может или не может работать для вас также.

битпоток
источник
Материал HIPAA определенно применяется здесь, поскольку мы являемся медицинской транспортной компанией с большим количеством информации о пациентах, доступ к которой осуществляется ежедневно.
Столовая машина
1
Ого, это действительно отстой :) Мы не обрабатываем какие-либо претензии или информацию о пациентах, поэтому большая часть HIPAA к нам не относится (к счастью). Спросите у поставщика (ов) примеры их документации, мы спросили нашу, и они дали нам кусочки этого.
RateControl
Если вам нужна дополнительная помощь, просто напишите мне (электронная почта в профиле)
RateControl
На самом деле, если бы вы могли дать мне ссылку на эту структуру, это было бы очень ценно. :)
Столовая машина
внес изменения в ответ
RateControl
2

Сейчас у нас есть четыре документа, которые мы используем:

  • Политика допустимого использования - для студентов
  • Политика допустимого использования - для преподавателей / сотрудников
  • Документ об авторском праве - соответствует новым федеральным требованиям для высшего образования
  • Соглашение об уровне обслуживания - подробности, с которых начинаются и останавливаются обязанности ИТ-специалистов, а также ожидаемое время работоспособности наших услуг (все еще в разработке, но я ожидаю, что для многих это бесконечный процесс).

Конечно, мы ведем и много других записей, но это касается как публичных юридических документов.

Записи о пациентах - это совсем другая игра, и мой последний концерт был в медицинском биллинге. Конечно, существует множество дополнительных правил, которым вы должны следовать, но единственный юридический документ, который я до сих пор вспоминаю, заключается в том, что вы должны получить и вести юридический учет разрешений от отдельных лиц, прежде чем вы сможете передавать любую «личную информацию» другим сторонам.

Джоэл Коэль
источник
1
Мне действительно нравится SLA, потому что ко мне уже обращались некоторые люди, которые просили меня прийти к ним домой, чтобы починить их персональный компьютер, говоря, что это моя работа (например, не будет компенсировать меня за вождение или время). Должен любить это XD.
Столовая машина
1
@ Shads0 - Да, единственный случай, когда это будет частью вашей работы, - это если у вас есть vpn-клиент, которого вы предоставляете и поддерживаете. SLA доказывает это. Даже тогда я предпочитаю делать это только для выпущенных компанией ноутбуков, когда мне это удается.
Джоэл Коэль
1

Вы уже получили несколько полезных советов - несколько мыслей, специфичных для медицинской области (не все, связанные с ИТ, но если вы храните данные о пациентах в электронном виде, возникает много утечек):

  • В дополнение к описанной выше платформе Thoreau вы можете использовать Стандарты безопасности данных индустрии платежных карт (PCI DSS) в качестве руководства для защиты информации о пациенте - где бы она ни говорилась «информация о владельце карты» или что-то подобное, например, защищенные HIPAA, в основном PHI / ePHI.

  • Важно иметь достаточно документации, чтобы доказать соответствие разумным процедурам безопасности (подтверждение соответствия соответствующим частям PCI-DSS или другим платформам).

  • Вам понадобится заявление о соответствии HIPAA и политики соответствия HIPAA (в которых подробно описывается, кто имеет доступ к PH / ePHII, при каких обстоятельствах и т. Д.).
    Часть этой политики должна включать способ проверки личности запрашивающих информацию.
    Отдельная часть этой политики должна касаться того, как вы защищаете свои резервные копии, информацию в пути и т. Д.

  • С точки зрения юридического покрытия вашей задницы вам также нужны (и, вероятно, уже есть) бланки конфиденциальности, подписанные любым, кто имеет доступ к этой информации - в моей компании они проверяются и ежегодно подписываются в ходе вашей проверки эффективности.
    Убедитесь, что они достаточно широки, чтобы охватить ePHI (электронные записи).

voretaq7
источник