เอกสารด้านกฎหมายด้านกฎหมาย [ปิด]

10

ฉันสงสัยในสัปดาห์ที่ผ่านมาเพราะหัวหน้าใหญ่ของฉันบอกให้ฉันเริ่มต้นติดตามทุกสิ่งที่ฉันได้แก้ไขวิธีการแก้ไข ฯลฯ ซึ่งมีเหตุผลและทำอยู่แล้ว แต่แล้วคำถามที่เกี่ยวข้องก็นึกขึ้นได้ ฉันควรมีเอกสารประเภทใดในมือตราบเท่าที่ผู้ใช้ไป โดยเฉพาะอย่างยิ่งฉันกำลังพูดในแง่ของ EULA, ToC ฯลฯ (โปรดแก้ไขให้ถูกต้องหากฉันใช้คำที่ผิด) หรือมากกว่านโยบายที่เฉพาะเจาะจงดังนั้นเพื่อพูดสำหรับผู้ใช้และเช่นนั้น ไม่สามารถพูดได้ว่าฉันเป็นผู้เชี่ยวชาญด้านกฎหมายไม่เช่นนั้นฉันจะเป็นทนายความ สภาพแวดล้อมที่ผู้ใช้อยู่นั้นค่อนข้างจะถูกวางไว้ดังนั้นฉันจึงไม่เห็นปัญหา แต่สมมติว่าควรจะมีปัญหาเกิดขึ้นฉันควรเขียน / มีอะไรในมือ?

แก้ไข:ฉันควรสังเกตว่าเราเป็นสถานที่ขนส่งทางการแพทย์และมีประวัติผู้ป่วยดังนั้นฉันรู้ว่าสิ่งที่ต้องทำที่นั่นเพื่อให้สอดคล้องกับนโยบาย HIPAA ที่ฉันเชื่อ ฉันชอบสิ่งที่ anthonysomerset พูดเกี่ยวกับสถานการณ์ "ถ้าฉันเดินทางด้วยรถบัส" และต้องการนำไปใช้ไม่เพียง แต่กับเอกสารที่ฉันกำลังเขียน แต่สำหรับพนักงานที่ขโมยข้อมูลจากเซิร์ฟเวอร์หรือกรณีการโจรกรรม เป็นต้นสำหรับพนักงานของเรามันค่อนข้างเล็กเหมือนใน HR คนเดียวไม่มีแผนกกฎหมายนอกเหนือจากทนายความของเจ้าของ 2 คนและฉันก็เป็นคนไอทีคนเดียวกับพนักงานที่มีผู้ชายคนหนึ่งซึ่งไม่ได้เป็น superuser แม็ค

untagged 
Tablemaker
แหล่งที่มา
4
ฉันคิดว่าข้อกำหนดด้านเอกสารของคุณจะขึ้นอยู่กับบริบทที่คุณใช้ คุณเป็นผู้ให้บริการโฮสต์ที่ต้องการเอกสารสำหรับการโฮสต์ลูกค้าหรือไม่ คุณเป็นผู้ให้บริการบางประเภทที่ต้องการเอกสารสำหรับลูกค้าของคุณหรือไม่? คุณเป็นคนไอทีที่ต้องการให้ผู้ใช้ของคุณทำตามนโยบายหรือไม่?
GregD
เราไม่ได้โฮสต์อะไรในปัจจุบันเซิร์ฟเวอร์ทั้งหมดใช้สำหรับงานภายในเท่านั้นและในการขนส่งทางการแพทย์ดังนั้นเราจึงมีข้อมูลผู้ป่วยและสิ่งนี้บนเซิร์ฟเวอร์ที่ผู้แจกจ่ายและพนักงานสำนักงานทุกคนเข้าถึงได้ทุกวัน อย่างที่ฉันบอกไว้มันเป็นการวางที่ค่อนข้างดีและผู้บังคับบัญชาไม่สนใจมากเกินไปเมื่อพนักงานอยู่บน Facebook และตราบใดที่พวกเขาทำงานได้อย่างถูกต้อง
สร้างโต๊ะ
1
จากนั้นในกรณีนี้ฉันจะสมมติว่า HIPAA จะเป็นพื้นฐานของเอกสารของคุณ ต้องบอกว่ามีคนพูดถึงด้านล่างและฉันจะย้ำว่ามันอาจไม่ใช่ความรับผิดชอบของฝ่ายไอทีสำหรับ "เอกสารทางกฎหมาย" เท่านั้น นั่นเป็นสิ่งที่ดีกว่าสำหรับฝ่ายบริหาร / ทรัพยากรบุคคล
GregD
คำถามนี้ไม่ได้อยู่ในหัวข้อนี้มากนัก
HopelessN00b

คำตอบ:

10

คุณควรทำงานร่วมกับหัวหน้าคน / ทรัพยากรบุคคลของคุณเพื่อให้มีนโยบายเป็นลายลักษณ์อักษรที่ได้รับการยอมรับจากหัวหน้างานซึ่งจะอธิบายถึงวิธีการจัดการปัญหาต่างๆและสิ่งที่พนักงานคาดหวัง สิ่งเหล่านี้อาจแตกต่างกันไปขึ้นอยู่กับธุรกิจ แต่โดยทั่วไปแล้วคุณจะมีเอกสารที่ระบุว่าอะไรคืออะไรและไม่ได้รับอนุญาตในเครือข่ายและระบบคอมพิวเตอร์ของคุณและการติดตามผล (การจัดการวิธีแก้ไข . จากนั้นพนักงานของคุณจะได้รับเนื้อหาเป็นส่วนหนึ่งของคู่มือพนักงานหรือบันทึกช่วยจำซึ่งอาจเป็นสัญญาณและเก็บไว้ในไฟล์

หาสถานการณ์ที่คุณต้องจัดการในแง่ของการใช้งานที่ยอมรับได้ในระบบคอมพิวเตอร์แล้วพูดคุยกับหัวหน้าของคุณเกี่ยวกับเรื่องนี้ เว้นแต่คุณมีอำนาจในการไล่คนที่คุณควรทำงานกับภาษาของนโยบายกับหัวหน้าแผนกหรือหัวหน้างานอื่น ๆ หากคุณมีแผนกกฎหมายคุณจะต้องให้ฝ่ายนั้นดำเนินการเพื่อให้แน่ใจว่าคุณไม่ได้เหยียบย่ำประเด็นทางกฎหมายที่เกี่ยวข้องกับความเป็นส่วนตัวหรือการเลิกจ้างในพื้นที่ของคุณ

โดยปกติแล้วธุรกิจของคุณมีคู่มือหรือเอกสารประกอบของพนักงานบางส่วนที่พนักงานต้องรับรู้และจัดวางโต๊ะทำงานด้วยดังนั้นจึงอาจมีความคิดเกี่ยวกับเทมเพลตสำหรับใช้งานจากคุณ

Bart Silverstrim
แหล่งที่มา
2
ฉันกำลังเขียนสวยมากเหมือนกัน แต่ถูกตีมันอีกสิ่งคือว่าสิ่งที่เขาขอให้คุณทำคือคลาสสิก "ถ้าฉันโดนรถบัส" เอกสารเพื่อปกปิดช่องว่างถ้าคุณด้วยเหตุผลใดก็ตามไม่มี สามารถปฏิบัติหน้าที่ของคุณได้นานขึ้น
anthonysomerset
+1 สำหรับอุปกรณ์ประกอบฉากโต๊ะทำงาน อย่างไรก็ตามด้วยหัวหน้าใหญ่ของฉันเป็น MIA อย่างต่อเนื่องนี่จะยากขึ้นกว่าที่ฉันคิด พวกเขาต้องการให้ฉันนำเสนอพนักงานใหม่ด้วย AUP และสิ่งที่ชอบเมื่อแรกทำเอกสารแนะนำทั้งหมดของพวกเขา (ความสนุกที่มันมี) ในรูปแบบของเว็บเมื่อฉันได้รับเว็บไซต์บางประเภทที่มีพอร์ทัลพนักงานทำงานอยู่ ไม่แน่ใจเหมือนกันว่าเขามีคู่มือตัวอักษร แต่ฉันแน่ใจว่าอย่างน้อยเขาได้ลงนามในเอกสารในไฟล์ของพวกเขา
สร้างโต๊ะ
4
เพียงแค่ต้องการเพิ่มว่าในขณะที่คุณควรทำงานร่วมกับเจ้านาย / HR ของคุณเกี่ยวกับเรื่องนี้ว่าลูกบอลอยู่ในศาลของพวกเขาและไอทีไม่สามารถ / ไม่ควรเป็นแรงผลักดันเมื่อมันมาถึงตำรวจควรมาจากเจ้าของธุรกิจ / การจัดการมิฉะนั้นคุณ เป็นเพียง BOFH ที่โกรธและผู้คนจะไม่มีความเคารพต่อนโยบายของคุณ
mtinberg
3

สำนักงานของเราเพิ่งผ่านสิ่งนี้ไป อย่างไรก็ตามเราต้องปฏิบัติตาม HIPAA เราใช้กรอบการทำงานสำหรับมาตรฐานไอทีของเราจากเวอร์ชันออนไลน์และทำให้เป็นจริง ฉันเขียนนโยบายส่วนใหญ่เป็นส่วนตัว @Bart Silverstrim กล่าวว่าคุณจะต้องทำงานร่วมกับบุคคล HR ของคุณ เราเป็นทีมสองคนสำหรับเอกสารมาตรฐานของเรา

มันไม่ง่ายเลย เพียงไปช้าๆและมีระบบ เริ่มด้วยรูทีนประจำวันของคุณและจดไว้ในรายการหัวข้อย่อย มีรายการความคิดทั้งหมดเป็นเพียงตัวอย่างของเรา

  • การจำแนกข้อมูล
  • การจัดการการวิเคราะห์ความเสี่ยง
  • รหัสและบัญชี
  • ความปลอดภัยของบุคลากร
  • เปลี่ยนการควบคุม / บันทึกการตรวจสอบ
  • ฮาร์ดแวร์และซอฟต์แวร์
  • BC / DR (ทุก บริษัท ควรมีสิ่งนี้โดยไม่คำนึงถึง)

มีมากขึ้นทุกอย่างขึ้นอยู่กับว่าคุณต้องการไปไกลแค่ไหน

เรามีมาตรฐาน (กฎ) เหล่านี้เพื่อป้องกันตัวเราเองในกรณีที่มีคนทำลาย HIPAA ดังนั้นเราจึงสามารถพูดว่า "เฮ้เรามีกฎเหล่านี้และพวกเขาที่ยากจน"

นี่คือกรอบที่เราใช้ อาจหรืออาจไม่ทำงานสำหรับคุณด้วย

RateControl
แหล่งที่มา
สิ่งที่ HIPAA นำไปใช้อย่างแน่นอนที่นี่เพราะเราเป็น บริษัท ขนส่งทางการแพทย์ที่มีข้อมูลผู้ป่วยจำนวนมากที่สามารถเข้าถึงได้ทุกวัน
สร้างโต๊ะ
1
โอ้วววมันแย่จริงๆ :) เราไม่จัดการกับข้อมูลการเรียกร้องหรือข้อมูลผู้ป่วยดังนั้น HIPAA จำนวนมากจึงไม่สามารถใช้กับเราได้ (โชคดี) ถามผู้ให้บริการเพื่อดูตัวอย่างเอกสารประกอบของพวกเขาเราถามเราและพวกเขาให้ข้อมูลแก่เรา
RateControl
หากคุณต้องการความช่วยเหลือเพิ่มเติมเพียงแค่ส่งอีเมลฉัน (อีเมลในโปรไฟล์)
RateControl
ที่จริงแล้วถ้าคุณให้ลิงค์กับฉันสำหรับเฟรมเวิร์คนั้น :)
Tablemaker
แก้ไขคำตอบแล้ว
RateControl
2

เรามีเอกสารสี่ฉบับที่เราใช้:

  • นโยบายการใช้งานที่ยอมรับได้ - สำหรับนักเรียน
  • นโยบายการใช้งานที่ยอมรับได้ - สำหรับอาจารย์ / เจ้าหน้าที่
  • เอกสารลิขสิทธิ์การศึกษา - พบใหม่ ish ความต้องการของรัฐบาลกลางสำหรับเอ็ดสูง
  • Service Level Agreement - รายละเอียดที่ความรับผิดชอบของ IT เริ่มต้นและหยุดและความคาดหวังในการให้บริการของเรา (ยังอยู่ในการพัฒนา แต่ฉันคาดหวังว่านี่เป็นกระบวนการที่ไม่มีที่สิ้นสุดสำหรับหลาย ๆ คน)

แน่นอนว่าเราเก็บบันทึกอื่น ๆ มากมายเช่นกัน แต่นี่เป็นเรื่องเกี่ยวกับจำนวนเงินสำหรับเอกสารทางกฎหมายสาธารณะ

บันทึกผู้ป่วยเป็น ballgame อื่นทั้งหมดและกิ๊กสุดท้ายของฉันอยู่ในสำนักงานการเรียกเก็บเงินทางการแพทย์ แน่นอนว่ามีกฎระเบียบเพิ่มเติมมากมายที่คุณต้องปฏิบัติตาม แต่เอกสารทางกฎหมายเดียวที่ฉันยังจำได้คือคุณต้องได้รับและเก็บบันทึกการอนุญาตตามกฎหมายจากบุคคลก่อนที่คุณจะสามารถแบ่งปัน "ข้อมูลที่สามารถระบุตัวตนได้" กับบุคคลอื่น ๆ

Joel Coel
แหล่งที่มา
1
ฉันชอบสิ่งที่ SLA ส่วนใหญ่เป็นเพราะฉันได้รับการทาบทามจากบางคนขอให้ฉันมาที่บ้านเพื่อซ่อมคอมพิวเตอร์ส่วนบุคคลของพวกเขาโดยบอกว่าเป็นงานของฉัน ต้องรักมัน xD
สร้างโต๊ะ
1
@ Shads0 - ใช่เป็นเพียงกรณีที่ว่าจะเคยเป็นส่วนหนึ่งของงานของคุณคือถ้าคุณมีไคลเอนต์ VPN ที่คุณให้และการสนับสนุน SLA พิสูจน์สิ่งนี้ ถึงอย่างนั้นฉันก็ชอบที่จะทำสิ่งนี้กับแล็ปท็อปที่ออกโดย บริษัท เท่านั้นเมื่อฉันสามารถหลีกเลี่ยง
Joel Coel
1

คุณได้รับคำแนะนำที่ยอดเยี่ยมแล้ว - ความคิดบางอย่างที่เฉพาะเจาะจงกับสาขาการแพทย์ (ไม่ใช่ทั้งหมดที่เกี่ยวข้องกับไอที แต่ถ้าคุณเก็บข้อมูลผู้ป่วยทางอิเล็กทรอนิกส์จะมีเลือดไหลมาก):

  • นอกเหนือจากกรอบของ Thoreau ที่ลิงก์ด้านบนคุณสามารถใช้มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS)เป็นแนวทางในการรักษาความปลอดภัยข้อมูลผู้ป่วยไม่ว่าจะมีคำว่า "ข้อมูลผู้ถือบัตร" หรือสิ่งที่มีการป้องกัน HIPAA

  • สิ่งสำคัญคือต้องมีเอกสารเพียงพอที่จะพิสูจน์การปฏิบัติตามขั้นตอนความปลอดภัยที่เหมาะสม (พิสูจน์การปฏิบัติตามส่วนที่เกี่ยวข้องของ PCI-DSS หรือกรอบงานอื่น ๆ )

  • คุณจะต้องการคำแถลงการปฏิบัติตาม HIPAA และนโยบายการปฏิบัติตาม HIPAA (ระบุรายละเอียดว่าใครสามารถเข้าถึง PH / ePHII ได้ในกรณีใด ฯลฯ )
    ส่วนหนึ่งของนโยบายนี้ควรรวมถึงวิธีการตรวจสอบตัวตนของผู้ร้องขอข้อมูล
    ส่วนหนึ่งของนโยบายนี้ควรจัดการกับวิธีที่คุณปกป้องข้อมูลสำรองข้อมูลระหว่างทางและอื่น ๆ

  • จากมุมมองที่ครอบคลุมตามกฎหมายของคุณคุณยังต้องการ (และอาจมี) แบบฟอร์มการรักษาความลับที่ลงชื่อโดยใครก็ตามที่เข้าถึงข้อมูลนั้น - ที่ บริษัท ของฉันพวกเขาจะได้รับการตรวจสอบและลงนามใหม่ทุกปีในการตรวจสอบประสิทธิภาพของคุณ
    ตรวจสอบให้แน่ใจว่าสิ่งเหล่านี้กว้างพอที่จะครอบคลุม ePHI (บันทึกอิเล็กทรอนิกส์)

voretaq7
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.