过去一周我一直在想这个问题,因为我的大老板告诉我要开始跟踪我修复的所有问题、如何修复它们等。这是合理的,而且我一直在做。但随后我想到了一个相关的问题。就用户而言,我应该手头有什么样的文档。更具体地说,我指的是 EULA、ToC 等(如果我使用了错误的术语,请纠正我)或者更具体地说,针对用户等的政策。不能说我是法律专家,否则我就会成为一名律师。用户所处的环境相当悠闲,所以我预见不到问题。但假设真的出现问题,我应该写下什么/手头有什么?
编辑:我真的应该指出,我们是一家医疗运输机构,有患者记录,所以我知道必须采取一些措施来遵守 HIPAA 政策。我确实喜欢 anthonysomerset 所说的“如果我坐公交车”场景,并且希望将其不仅应用于我目前正在编写的文档,还应用于如果员工从服务器窃取信息或极端情况、盗窃等。就我们的员工而言,它相对较小,只有一名人力资源人员,除了 2 名业主律师和我是员工中唯一的 IT 人员外,没有法律部门,我的员工最多只是一个 Mac 超级用户。
答案1
您应该与老板/人力资源部门合作,制定一系列书面政策,由主管采纳,概述如何处理各种问题以及对员工的期望。这些政策可能因业务而异,但基本上,您会有文件指定网络和计算机系统上允许和不允许的内容以及后续行动(如何处理补救措施、哪些情况会导致解雇等)。然后,您的员工会收到作为员工手册或备忘录一部分的材料,可能需要签署并存档。
设想一下在计算机系统可接受的使用方面你必须处理的情景,然后与你的老板讨论;除非你有权力解雇某人,否则你应该与其他部门负责人或主管一起制定政策措辞。如果你有法律部门,你也希望他们能参与其中,以确保你不会触及你所在领域的隐私或解雇方面的法律问题。
理想情况下,您的企业已经有一些员工手册或材料,员工必须注意并用它们支撑他们的办公桌,因此您可能会从中找到一些可供参考的模板。
答案2
我们的办公室刚刚经历了这一切。但是我们必须遵守 HIPAA。我们从在线版本中获取了 IT 标准的框架,并对其进行了充实。我亲自撰写了绝大多数政策。正如 @Bart Silverstrim 所说,您需要与人力资源人员合作。我们是一个由两人组成的团队来编写标准文档。
这并不容易。只需慢慢来,循序渐进。从你的日常事务开始,然后记在项目符号列表中。这里有一整套想法,只是我们的一些示例
- 数据分类
- 风险分析管理
- ID 和帐户
- 人员安全
- 变更控制/审计日志
- 硬件和软件
- BC/DR(无论怎样,每家公司都应该有)
还有很多,这完全取决于你想走多远。
我们制定了这些标准(规则),以防有人违反 HIPAA。因此我们可以说“嘿,我们有这些规则,但他们却违反了它们”。
这是框架我们用过。它对你来说可能也适用,也可能不适用。
答案3
我们目前使用四个文档:
- 可接受使用政策 - 针对学生
- 可接受使用政策 - 针对教职员工
- 版权教育文件 - 满足新联邦要求高等教育
- 服务水平协议 - 详细说明 IT 职责的开始和结束,以及对我们服务正常运行时间的期望(仍在开发中,但我预计对于许多人来说这是一个永无止境的过程)。
当然,我们也保存了许多其他记录,但这些记录相当于公开的法律文件。
病人记录又是另一回事,我上一份工作是在医疗账单办公室。当然,还有很多其他规定你必须遵守,但唯一法律文件我记得的是,在与其他方分享任何“个人身份信息”之前,您必须获得并保留个人的合法许可记录。
答案4
您已经收到了一些很好的建议 - 一些针对医疗领域的想法(并非全部与 IT 相关,但如果您以电子方式存储患者数据,则会出现大量溢出):
除了上面链接的 Thoreau 框架之外,您还可以使用支付卡行业数据安全标准 (PCI DSS)作为保护患者信息的指导——无论哪里提到“持卡人信息”或类似的受 HIPAA 保护的内容,主要是 PHI/ePHI。
拥有足够的文件来证明遵守合理的安全程序(证明遵守 PCI-DSS 或其他框架的相关部分)非常重要。
您需要一份 HIPAA 合规声明和 HIPAA 合规政策(详细说明谁有权访问 PH/ePHII、在什么情况下等)。
该政策的一部分应包括如何验证信息请求者的身份。
该政策的单独部分应涉及如何保护您的备份、传输中的信息等。从法律角度来看,您还需要(可能已经拥有)由有权访问该信息的任何人签署的保密表格——在我的公司,这些表格会在您的绩效评估中每年审查和重新签署。
确保这些表格足够广泛,可以涵盖 ePHI(电子记录)。