Rechtliche IT-Dokumente [geschlossen]

10

Ich habe mich letzte Woche gefragt, weil mein großer Chef mir gesagt hat, ich solle anfangen, alle Dinge im Auge zu behalten, die ich repariert habe, wie ich sie reparieren kann usw. Was vernünftig ist und sowieso getan hat. Aber dann kam mir eine verwandte Frage in den Sinn. Welche Art von Dokumentation sollte ich für Benutzer zur Hand haben? Genauer gesagt spreche ich in Bezug auf EULA, ToC usw. (korrigieren Sie mich bitte, wenn ich die falschen Begriffe verwende) oder genauer gesagt eine Richtlinie sozusagen für die Benutzer und dergleichen. Ich kann nicht sagen, dass ich ein Rechtsexperte bin, sonst wäre ich Anwalt. Die Umgebung, in der sich die Benutzer befinden, ist ziemlich entspannt, sodass ich kein Problem sehe. Aber nehmen wir an, dass jemals ein Problem auftreten sollte. Was hätte ich aufschreiben / zur Hand haben sollen?

EDIT: Ich hätte wirklich bemerken sollen, dass wir eine medizinische Transporteinrichtung sind und Patientenakten haben, also weiß ich, dass dort etwas getan werden muss, um die HIPAA-Richtlinien einzuhalten, von denen ich glaube. Mir gefällt, was anthonysomerset über das Szenario "Wenn ich mit dem Bus komme" gesagt hat, und ich möchte es nicht nur auf die Dokumentation anwenden, die ich gerade schreibe, sondern auch, wenn beispielsweise ein Mitarbeiter Informationen vom Server stiehlt oder Randfälle, Diebstahl usw. Für unsere Mitarbeiter ist es relativ klein wie bei einer einzelnen HR-Person, keine Rechtsabteilung außer den Anwälten der beiden Eigentümer und ich bin die einzige IT-Person im Personal mit einem Mann, der nicht mehr als ein Mac-Superuser ist.

untagged 
Tablemaker
quelle
4
Ich denke, Ihre gesetzlichen Dokumentationsanforderungen hängen ganz davon ab, für welchen Kontext Sie sie verwenden. Benötigen Sie als Hosting-Anbieter Dokumente für das Hosting von Kunden? Benötigen Sie als Dienstleister Dokumente für Ihre Kunden? Sind Sie ein IT-Mitarbeiter, der nur möchte, dass Ihre Benutzer Richtlinien befolgen?
GregD
Wir hosten derzeit nichts, alle Server sind nur für die interne Arbeit bestimmt und befinden sich im medizinischen Transport, sodass wir Patienteninformationen und dergleichen auf den Servern haben, auf die Disponenten und alle Büromitarbeiter täglich zugreifen. Wie ich schon sagte, es ist ziemlich locker und die Chefs kümmern sich nicht allzu sehr darum, wenn Mitarbeiter auf Facebook sind und so weiter, solange sie ihre Arbeit richtig machen.
Tablemaker
1
In diesem Fall würde ich davon ausgehen, dass HIPAA die Grundlage Ihrer Dokumentation ist. Allerdings erwähnt unten jemand, und ich werde es noch einmal wiederholen, es liegt wahrscheinlich nicht allein in der Verantwortung der IT für die "rechtliche Dokumentation". Das ist besser dem Management / der Personalabteilung überlassen.
GregD
Diese Frage ist jetzt sehr unangebracht.
HopelessN00b

Antworten:

10

Sie sollten mit Ihrem Chef / Ihrer Personalabteilung zusammenarbeiten, um eine Reihe schriftlicher Richtlinien zu erhalten, die von den Vorgesetzten verabschiedet werden und beschreiben, wie verschiedene Probleme behandelt werden und was von den Mitarbeitern erwartet wird. Diese können je nach Unternehmen unterschiedlich sein. Grundsätzlich verfügen Sie jedoch über Dokumente, in denen angegeben ist, was in Ihrem Netzwerk und auf Ihren Computersystemen zulässig ist und was nicht . Dann erhalten Ihre Mitarbeiter das Material als Teil eines Mitarbeiterhandbuchs oder eines Memos, möglicherweise zum Unterschreiben und Aufbewahren.

Überlegen Sie sich Szenarien, mit denen Sie sich im Hinblick auf eine akzeptable Verwendung auf den Computersystemen befassen müssten, und sprechen Sie dann mit Ihrem Chef darüber. Sofern Sie nicht befugt sind, jemanden zu entlassen, sollten Sie mit anderen Abteilungsleitern oder Vorgesetzten an der Sprache der Richtlinien arbeiten. Wenn Sie eine Rechtsabteilung haben, möchten Sie, dass diese auch durchlaufen wird, um sicherzustellen, dass Sie nicht auf rechtliche Fragen im Zusammenhang mit Datenschutz oder Kündigung in Ihrer Region eingehen.

Im Idealfall verfügt Ihr Unternehmen bereits über einige Mitarbeiterhandbücher oder -materialien, die die Mitarbeiter kennen und mit denen sie ihre Schreibtische ausstatten müssen. Daher könnte es eine Idee für eine Vorlage geben, mit der Sie arbeiten können.

Bart Silverstrim
quelle
2
Ich habe so ziemlich das Gleiche geschrieben, wurde aber geschlagen. Die andere Sache ist, dass das, was er Sie gebeten hat, die klassische Dokumentation "Wenn ich von einem Bus angefahren werde" ist, um die Lücken zu schließen, wenn Sie aus irgendeinem Grund nicht waren länger in der Lage, Ihre Pflichten zu erfüllen
Anthonysomerset
+1 für die Schreibtischstützen. Da mein großer Chef jedoch ständig MIA ist, wird dies etwas schwieriger als ich dachte. Sie möchten auf jeden Fall, dass ich neuen Mitarbeitern AUPs und ähnliches vorstelle, wenn die ersten ihre gesamte Einführungsdokumentation (der Spaß, den es macht) in einer webbasierten Form ausführen, sobald ich eine Website mit laufendem Mitarbeiterportal erhalte. Ich bin mir nicht sicher, ob er ein wörtliches Handbuch hat, aber ich bin mir sicher, dass er zumindest Unterlagen in ihren Akten unterschrieben hat.
Tablemaker
4
Ich wollte nur hinzufügen, dass, während Sie mit Ihrem Chef / Ihrer Personalabteilung daran arbeiten sollten, dass der Ball in ihrem Spielfeld ist und die IT nicht die treibende Kraft sein kann / sollte, wenn es um Richtlinien geht, es von den Geschäftsinhabern / dem Management sein sollte, sonst von Ihnen sind nur die wütenden BOFH und die Leute werden keinen Respekt vor Ihren Richtlinien haben.
Mtinberg
3

Unser Büro hat das gerade durchgemacht. Wir müssen uns jedoch an die HIPAA halten. Wir haben ein Framework für unsere IT-Standards aus einer Online-Version übernommen und ausgearbeitet. Ich persönlich habe einen Großteil der Richtlinien geschrieben. Wie @Bart Silverstrim sagte, müssen Sie mit Ihrer HR-Person arbeiten. Wir waren ein Zwei-Personen-Team für unser Standarddokument.

Es ist nicht einfach. Gehen Sie einfach langsam und methodisch. Beginnen Sie mit Ihrer täglichen Routine und notieren Sie diese in einer Liste mit Aufzählungszeichen. Es gibt eine ganze Liste von Ideen, nur eine Auswahl von uns

  • Klassifizierung von Daten
  • Management der Risikoanalyse
  • IDs und Konten
  • Personalsicherheit
  • Kontroll- / Überwachungsprotokoll ändern
  • Hardware und Software
  • BC / DR (jedes Unternehmen sollte dies unabhängig davon haben)

Es gibt noch viel mehr, alles hängt davon ab, wie weit Sie gehen möchten.

Wir haben diese Standards (Regeln), um uns zu versichern, falls jemand gegen die HIPAA verstößt. Wir können also sagen "Hey, wir haben diese Regeln und die haben sie gebrochen".

Dies ist das Framework , das wir verwendet haben. Es kann auch für Sie funktionieren oder nicht.

RateControl
quelle
Das HIPAA-Zeug gilt hier definitiv, da wir ein medizinisches Transportunternehmen mit vielen Patienteninformationen sind, auf die täglich zugegriffen wird.
Tablemaker
1
Oh wow, das ist wirklich scheiße :) Wir bearbeiten keine Ansprüche oder Patienteninformationen, daher trifft eine Menge HIPAA (zum Glück) nicht auf uns zu. Fragen Sie die Anbieter nach Beispielen für ihre Dokumentation, wir haben unsere gefragt und sie haben uns eine Menge davon gegeben.
RateControl
Wenn Sie weitere Hilfe benötigen,
senden Sie
Wenn Sie mir den Link für dieses Framework geben könnten, wäre das sehr dankbar. :)
Tablemaker
machte die Bearbeitung der Antwort
RateControl
2

Wir haben derzeit vier Dokumente, die wir verwenden:

  • Richtlinien zur akzeptablen Nutzung - für Studenten
  • Richtlinien zur akzeptablen Nutzung - für Fakultäten / Mitarbeiter
  • Copyright Education-Dokument - erfüllt eine neue Bundesanforderung für höhere Bildung
  • Service Level Agreement - Details, wo die Verantwortlichkeiten der IT beginnen und enden, und die Erwartung der Verfügbarkeit unserer Services (noch in der Entwicklung, aber ich gehe davon aus, dass dies für viele ein nie endender Prozess ist).

Natürlich führen wir auch viele andere Aufzeichnungen, aber es handelt sich um öffentlich-rechtliche Dokumente.

Patientenakten sind ein ganz anderes Ballspiel, und mein letzter Auftritt war in einem medizinischen Abrechnungsbüro. Es gibt natürlich viele zusätzliche Vorschriften, die Sie befolgen müssen, aber das einzige Rechtsdokument, an das ich mich noch erinnere, ist, dass Sie die Erlaubnis von Einzelpersonen einholen und aufbewahren müssen, bevor Sie "persönlich identifizierbare Informationen" mit anderen Parteien teilen können.

Joel Coel
quelle
1
Ich mag die SLA-Sache hauptsächlich, weil mich bereits einige Leute angesprochen haben, die mich gebeten haben, zu ihrem Haus zu kommen, um ihren PC zu reparieren, und sagen, es sei mein Job (wie in, wird mich nicht für das Fahren oder die Zeit entschädigen). Muss ich lieben xD.
Tablemaker
1
@ Shads0 - Ja, der einzige Fall, in dem dies jemals Teil Ihres Jobs sein würde, ist, wenn Sie einen VPN-Client haben, den Sie bereitstellen und unterstützen. Ein SLA beweist dies. Selbst dann ziehe ich es vor, dies nur für von Unternehmen ausgestellte Laptops zu tun, wenn ich damit durchkommen kann.
Joel Coel
1

Sie haben bereits einige gute Ratschläge erhalten - ein paar Gedanken speziell für den medizinischen Bereich (nicht alle IT-bezogenen, aber wenn Sie Patientendaten elektronisch speichern, gibt es eine Menge Blutungen):

  • Zusätzlich zu dem oben verlinkten Framework Thoreau können Sie die PCI DSS (Payment Card Industry Data Security Standards) als Leitfaden für die Sicherung von Patienteninformationen verwenden - überall dort, wo "Karteninhaberinformationen" oder ähnliches HIPAA-geschütztes Material enthalten, hauptsächlich PHI / ePHI.

  • Es ist wichtig, über genügend Dokumentation zu verfügen, um die Einhaltung angemessener Sicherheitsverfahren nachzuweisen (Nachweis der Einhaltung der relevanten Teile von PCI-DSS oder anderen Frameworks).

  • Sie benötigen eine HIPAA-Konformitätserklärung und HIPAA-Konformitätsrichtlinien (in denen angegeben ist, wer unter welchen Umständen usw. Zugriff auf PH / ePHII hat).
    Ein Teil dieser Richtlinie sollte beinhalten, wie Sie die Identität von Informationsanforderern überprüfen.
    Ein separater Teil dieser Richtlinie sollte sich damit befassen, wie Sie Ihre Backups, Informationen während des Transports usw. schützen.

  • Aus rechtlicher Sicht benötigen Sie auch Vertraulichkeitsformulare (und haben diese wahrscheinlich bereits), die von jedem unterzeichnet wurden, der Zugriff auf diese Informationen hat. In meinem Unternehmen werden sie bei Ihrer Leistungsüberprüfung jährlich überprüft und neu unterzeichnet.
    Stellen Sie sicher, dass diese breit genug sind, um ePHI (elektronische Aufzeichnungen) abzudecken.

voretaq7
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.