Documenti IT legali [chiuso]

10

Mi sono chiesto la scorsa settimana perché il mio grande capo mi ha detto di iniziare a tenere traccia di tutte le cose che ho risolto, come risolverle, ecc. Che è ragionevole e lo sono stato comunque. Ma poi mi è venuta in mente una domanda correlata. Che tipo di documentazione dovrei avere a portata di mano per quanto riguarda gli utenti. Più specificamente sto parlando in termini di EULA, ToC, ecc. (Correggimi per favore se sto usando termini sbagliati) O più specificamente una politica, per così dire, per gli utenti e simili. Non posso dire di essere un esperto legale, altrimenti sarei un avvocato. L'ambiente in cui si trovano gli utenti è piuttosto rilassato, quindi non prevedo un problema. Ma supponiamo che dovrebbe mai sorgere un problema, cosa avrei dovuto scrivere / avere a portata di mano?

EDIT: Avrei davvero dovuto notare che siamo una struttura di trasporto medico e abbiamo i dati dei pazienti, quindi so che qualcosa deve essere fatto lì per rispettare le politiche HIPAA, credo. Mi piace quello che Anthonysomerset ha detto sullo scenario "Se arrivo in autobus" e voglio applicarlo non solo alla documentazione che sto attualmente scrivendo, ma anche se un dipendente dovesse rubare informazioni dal server o casi limite, furto , ecc. Per quanto riguarda il nostro personale, relativamente piccolo come in una singola persona delle risorse umane, nessun dipartimento legale a parte gli avvocati dei 2 proprietari e io sono l'unica persona IT del personale con un ragazzo che non è altro che un superutente di Mac.

untagged 
Tablemaker
fonte
4
Penso che i tuoi requisiti di documentazione legale dipenderanno totalmente dal contesto in cui li stai utilizzando. Sei un fornitore di hosting che necessita di documenti per i clienti di hosting? Sei un tipo di fornitore di servizi che necessita di documenti per i tuoi clienti? Sei un ragazzo IT che vuole solo che i tuoi utenti seguano le politiche?
GregD
Al momento non ospitiamo nulla, tutti i server sono destinati esclusivamente al lavoro interno e sono destinati al trasporto medico, pertanto disponiamo di informazioni sui pazienti e così via sui server a cui accedono quotidianamente gli spedizionieri e tutti gli impiegati dell'ufficio. Come ho detto, è piuttosto rilassato e ai capi non importa troppo quando i dipendenti sono su Facebook e cose del genere purché facciano il loro lavoro correttamente.
Tablemaker
1
Quindi, in tal caso, suppongo che l'HIPAA costituirà la base della tua documentazione. Detto questo, qualcuno menziona di seguito, e lo ripeterò, probabilmente non è esclusivamente responsabilità dell'IT per la "documentazione legale". È meglio che venga lasciato al management / alle risorse umane.
GregD,
Questa domanda è molto fuori tema ora.
HopelessN00b

Risposte:

10

Dovresti lavorare con il tuo capo / personale delle risorse umane per avere una serie di politiche scritte, adottate dai supervisori, che descrivono come vengono gestite le varie questioni e cosa ci si aspetta dai dipendenti. Questi possono variare a seconda del business, ma in sostanza si avrebbero documenti che specificano cosa è o non è permesso sulla rete e sui sistemi informatici e quali sono le azioni di follow-up (come viene gestita la riparazione, cosa può portare alla risoluzione, ecc.) . Quindi i tuoi dipendenti ricevono il materiale come parte di un manuale o di un memo dei dipendenti, possibilmente per firmare e conservare.

Elaborare scenari che dovresti affrontare in termini di uso accettabile sui sistemi informatici e poi parlarne con il tuo capo; a meno che tu non abbia l'autorità di licenziare qualcuno, dovresti lavorare sulla lingua delle politiche con altri capi dipartimento o supervisori. Se hai un dipartimento legale, vorrai che lo attraversi anche per assicurarti di non calpestare questioni legali che riguardano la privacy o la risoluzione nella tua zona.

Idealmente, la tua azienda ha già alcuni manuali o materiali dei dipendenti di cui i dipendenti devono essere consapevoli e che sostengono i loro banchi, in modo che ci possa essere qualche idea di un modello in cui lavorare per te.

Bart Silverstrim
fonte
2
stavo scrivendo praticamente la stessa cosa, ma mi è stato battuto, l'altra cosa è che la roba che ti ha chiesto di fare è la classica documentazione "se vengo investito da un autobus" per coprire le lacune se per qualsiasi motivo non fossi più in grado di adempiere ai tuoi doveri
anthonysomerset
+1 per gli oggetti di scena. Tuttavia, con il mio grande capo che è continuamente MIA, questo sarà un po 'più duro di quanto pensassi. Vogliono sicuramente che presenti i nuovi dipendenti con AUP e simili quando i primi fanno tutta la loro documentazione introduttiva (il divertimento che è) in un modulo basato sul web una volta che ottengo una sorta di sito Web con il portale dei dipendenti in esecuzione. Non sono sicuro che abbia un manuale letterale, sono sicuro che almeno ha firmato documenti nei loro file.
Tablemaker
4
Volevo solo aggiungere che mentre dovresti lavorare con il tuo capo / risorse umane su questo che la palla è nel loro campo e l'IT non può / non dovrebbe essere la forza trainante quando si tratta di politiche, dovrebbe essere dai proprietari / dirigenti aziendali, altrimenti tu sono solo arrabbiati BOFH e le persone avranno zero rispetto per le vostre politiche.
mtinberg,
3

Il nostro ufficio ha appena superato questo. Tuttavia, dobbiamo conformarci a HIPAA. Abbiamo preso un framework per i nostri standard IT da una versione online e l'abbiamo messo a punto. Personalmente ho scritto la stragrande maggioranza delle politiche. Come ha affermato @Bart Silverstrim, dovrai lavorare con il tuo responsabile delle risorse umane. Eravamo una squadra di due persone per i nostri standard doc.

Non è facile Vai lentamente e metodicamente. Inizia con la tua routine quotidiana e annotala in un elenco puntato. C'è un intero elenco di idee solo un nostro esempio

  • Classificazione dei dati
  • Gestione dell'analisi dei rischi
  • ID e account
  • sicurezza del personale
  • Registro delle modifiche / controllo delle modifiche
  • Hardware e software
  • BC / DR (ogni azienda dovrebbe avere questo indipendentemente)

C'è molto di più, tutto dipende da quanto lontano vuoi andare.

Abbiamo questi standard (regole) in atto per coprirci nel caso in cui qualcuno rompa HIPAA. Quindi possiamo dire "ehi, abbiamo queste regole e le abbiamo infrante".

Questo è il framework che abbiamo usato. Potrebbe funzionare o meno anche per te.

controllo della frequenza
fonte
Il materiale HIPAA si applica sicuramente qui poiché siamo una società di trasporto medico con molte informazioni sui pazienti a cui si accede quotidianamente.
Tablemaker
1
Oh wow, fa davvero schifo :) non gestiamo alcun reclamo o informazioni sul paziente, quindi un sacco di HIPAA non si applica a noi (per fortuna). Chiedere al / ai fornitore / i un esempio della loro documentazione, noi abbiamo chiesto alla nostra e loro ci hanno dato dei brividi.
RateControl
Se hai bisogno di ulteriore aiuto, inviami un'e-mail (e-mail nel profilo)
RateControl
In realtà, se tu potessi darmi il link per quel framework, sarebbe molto apprezzato. :)
Tablemaker
ha apportato la modifica alla risposta
RateControl
2

Al momento abbiamo quattro documenti che utilizziamo:

  • Politica di utilizzo accettabile - per gli studenti
  • Politica di utilizzo accettabile - per docenti / personale
  • Documento di educazione al copyright - soddisfa un nuovo requisito federale per l' educazione superiore
  • Accordo sul livello di servizio - dettagli su dove iniziano e si fermano le responsabilità dell'IT e le aspettative di aggiornamento dei nostri servizi (ancora in fase di sviluppo, ma mi aspetto che questo processo sia infinito per molti).

Ovviamente conserviamo anche molti altri documenti, ma ciò equivale a documenti legali pubblici.

Le registrazioni dei pazienti sono un altro gioco da baseball e il mio ultimo concerto è stato in un ufficio di fatturazione medica. Ci sono, ovviamente, molti regolamenti aggiuntivi che devi seguire, ma l'unico documento legale che ricordo ancora è che devi ottenere e conservare un registro legale dell'autorizzazione delle persone prima di poter condividere qualsiasi "informazione personale identificabile" con altre parti.

Joel Coel
fonte
1
Mi piace la cosa SLA principalmente perché sono già stato avvicinato da alcune persone che mi chiedono di venire a casa loro per riparare il loro personal computer, dicendo che è il mio lavoro (come in, non mi compenserà per la guida o il tempo). Devo adorarlo xD.
Tablemaker
1
@ Shads0 - Sì, l'unico caso in cui questo potrebbe mai far parte del tuo lavoro è se hai un client VPN che offri e supporti. Uno SLA lo dimostra. Anche in questo caso, preferisco farlo solo per i laptop emessi dall'azienda quando riesco a cavarmela.
Joel Coel,
1

Hai già ricevuto alcuni ottimi consigli - alcuni pensieri specifici per il settore medico (non tutti relativi all'IT, ma se stai memorizzando elettronicamente i dati dei pazienti c'è MOLTO bleed-over):

  • Oltre al framework Thoreau collegato sopra, è possibile utilizzare gli standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS) come guida per la protezione delle informazioni sui pazienti, ovunque si dice "informazioni sui titolari di carta" o cose simili ritenute protette da HIPAA, principalmente PHI / ePHI.

  • È importante disporre di una documentazione sufficiente per dimostrare la conformità a procedure di sicurezza ragionevoli (prova della conformità con le parti pertinenti di PCI-DSS o altri framework).

  • Desideri una dichiarazione di conformità HIPAA e politiche di conformità HIPAA (in dettaglio chi ha accesso a PH / ePHII, in quali circostanze, ecc.).
    Parte di questa politica dovrebbe includere il modo in cui si verifica l'identità dei richiedenti informazioni.
    Una parte separata di questa politica dovrebbe occuparsi di come proteggere i backup, le informazioni in transito, ecc.

  • Dal punto di vista legale che copre il tuo culo hai anche bisogno (e probabilmente hai già) dei moduli di riservatezza firmati da chiunque abbia accesso a tali informazioni - Nella mia azienda vengono rivisti e ri-firmati ogni anno al tuo esame delle prestazioni.
    Assicurati che siano abbastanza ampi da coprire ePHI (record elettronici).

voretaq7
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.