法律IT文件

过去一周我一直在想,因为我的大老板让我开始跟踪所有固定的东西,如何解决这些问题等。这是合理的,而且一直在做。 但是后来出现了一个相关的问题。 用户可以随身携带什么样的文档。 更具体地说,我是在EULA,ToC等方面进行交stream(如果我使用的是错误的话,请纠正我),或者更具体地说,就是针对用户等策略。 不能说我是法律专家,否则我会成为律师。 用户所处的环境相当悠闲,所以我不希望遇到问题。 但是假设应该出现一个问题,我应该写些什么?

编辑:我真的应该注意到,我们是医疗运输设施,并有病历,所以我知道必须做一些事情,以符合我相信的HIPAA政策。 我喜欢anthonysomerset对“如果我坐公共汽车”情景所说的东西,并且不仅希望将其应用到我目前正在撰写的文档中,而且还希望如果说员工从服务器或边缘情况中窃取信息,盗窃等等。就我们的员工而言,其人力资源相对较小,除了2位业主律师以外,没有任何法律部门,而我是唯一一名IT人员,只有一名不超过超级用户的人员。

您应该与您的老板/人力资源部门一起工作,制定一系列由主pipe采纳的书面政策,概述如何处理各种问题以及员工的期望。 这些可能会有所不同,这取决于业务,但基本上,您将拥有指定您的networking和计算机系统允许和不允许的文档,以及后续操作(如何处理修复,可能导致终止的操作等) 。 然后,您的员工会收到材料,作为员工手册或备忘录的一部分,可能需要签署并保留文件。

提出一些你可能需要在计算机系统上使用的scheme,然后和你的老板讨论一下。 除非你有权解雇你的人,你应该与其他部门主pipe或监督人员一起使用政策的语言。 如果你有一个法律部门,你也希望它能贯穿其中,以确保你不会涉及你所在地区的隐私或终止法律问题。

理想情况下,您的业务已经有一些员工手册或材料,员工必须注意并支持他们的办公桌,所以可能有一些模板在那里为你工作。

我们的办公室刚刚经历了这个。 但是我们必须遵守HIPAA。 我们从networking版本中为我们的IT标准制定了一个框架,并进行了充实。 我亲自写了绝大多数的政策。 正如@Bart Silverstrim所说,你需要和你的人力资源部门合作。 我们的标准文档是一个两人团队。

这并不容易。 只要缓慢而有条不紊地进行。 从一天到一天的日常工作开始,并将其logging在项目列表中。 有一整套的想法只是我们的一个样本

  • 数据分类
  • 风险分析pipe理
  • ID和帐户
  • 人员安全
  • 更改控制/审计日志
  • 硬件和软件
  • BC / DR(每个公司都应该有这个)

还有更多,这要看你想走多远。

我们有这些标准(规则)来覆盖自己,以防有人打破HIPAA。 所以我们可以说:“嘿,我们有这些规则,并打破了他们”。

这是我们使用的框架 。 它可能也可能不会为你工作。

我们现在有四个文件我们使用:

  • 可接受的使用政策 – 为学生
  • 可接受的使用政策 – 面向教职员工
  • 版权教育文件 – 符合新的联邦政府对高等教育的要求
  • 服务级别协议 – 详细说明IT职责的起止点,以及对服务正常运行的期望(仍在开发中,但我认为这对许多人来说是一个永无止境的过程)。

当然,我们也保留很多其他的logging,但是这相当于公共法律文件。

患者logging是另外一场球赛,而我最后的演出是在一个医疗帐单处。 当然,还有许多额外的法规是必须遵守的,但是我仍然记得的唯一法律文件就是,您必须先获得个人的许可才能获得合法的logging,然后才能与他人共享任何“个人身份信息”。

您已经收到了一些很好的build议 – 针对医疗领域的一些想法(不是所有与IT有关的想法,但是如果您以电子方式存储患者数据,则会有很多stream血事件):

  • 除了上面链接的梭罗架构之外,您还可以使用支付卡行业数据安全标准(PCI DSS)作为保护患者信息的指导 – 无论它在哪里写明“持卡人信息”或类似的认为HIPAA保护的内容,主要是PHI / ePHI。

  • 必须有足够的文档certificate符合合理的安全程序(certificate符合PCI-DSS或其他框架的相关部分)。

  • 您需要HIPAA合规性声明和HIPAA合规性政策(详细说明谁可以访问PH / ePHII,在什么情况下等)。
    这个政策的一部分应该包括你如何validation信息请求者的身份。
    这项政策的另一部分应处理如何保护您的备份,在途信息等。

  • 从法律上覆盖你的屁股的angular度来看,你也需要(也可能已经有)由有权访问这些信息的任何人签署的保密表格 – 在我的公司,他们每年都会在你的performance评审中被重新审核。
    确保这些内容足够广泛,涵盖ePHI(电子logging)。