법적 IT 문서 [폐쇄]

나는 지난주에 나의 상사가 내가 고 쳤던 모든 것들, 그것들을 고치는 방법 등을 추적하기 시작했다고 말했기 때문에 궁금했다. 합리적이고 어쨌든하고있다. 그러나 관련 질문이 떠 올랐습니다. 사용자가가는 한, 어떤 종류의 문서를 준비해야합니까? 좀 더 구체적으로 말하면 EULA, ToC 등의 용어로 말하고 있습니다 (잘못된 용어를 사용하는 경우 수정하십시오). 더 구체적으로 말하면 사용자 등을위한 정책입니다. 내가 법률 전문가라고 말할 수없고, 그렇지 않으면 변호사가 될 ​​것입니다. 사용자가있는 환경은 꽤 느려서 문제를 미리 보지 않습니다. 그러나 문제가 발생해야한다고 생각한다면, 무엇을 작성하고 준비해야합니까?

편집 : 나는 우리가 의료 수송 시설이며 환자 기록을 가지고 있다는 사실을 알고 있었기 때문에 내가 믿는 HIPAA 정책을 준수하기 위해 무언가를해야한다는 것을 알고 있습니다. anthonysomerset이 “버스로 갈 경우”시나리오에 대해 말한 것을 좋아하고 현재 작성중인 문서뿐만 아니라 직원이 서버 또는 엣지 케이스에서 정보를 도용하려는 경우에도 적용하고 싶습니다. 직원 한 명인 한 명의 HR 직원만큼 비교적 작으며 2 명의 소유자 변호사 외에는 법무 부서가 없으며 맥 수퍼 유저 이하의 직원이있는 유일한 IT 직원입니다.

답변

상사 / HR 직원과 협력하여 관리자가 채택한 다양한 정책을 작성하여 다양한 문제를 처리하는 방법과 직원에게 기대되는 사항을 설명해야합니다. 비즈니스에 따라 다를 수 있지만 기본적으로 네트워크 및 컴퓨터 시스템에서 허용되는 것과 허용되지 않는 것을 지정하고 후속 조치 (재조정이 처리되는 방법, 종료로 이어질 수있는 것 등)에 대한 문서가 있습니다. . 그런 다음 직원에게 직원 핸드북 또는 메모의 일부로 자료를 제공하여 서명하고 보관할 수 있습니다.

컴퓨터 시스템에서 허용되는 사용 측면에서 처리해야 할 시나리오를 생각해 본 다음 상사와상의하십시오. 누군가를 해고 할 권한이 없다면 다른 부서장이나 감독자와 함께 정책의 언어를 다루어야합니다. 법률 부서가있는 경우 해당 부서에서 개인 정보 보호 또는 해지와 관련된 법적 문제를 밟지 않도록하기 위해 해당 부서를 통과해야합니다.

이상적으로 비즈니스에는 직원이 숙지하고 책상을 세우는 데 필요한 직원 핸드북 또는 자료가 이미 있으므로 템플릿을 사용하는 것이 좋습니다.

답변

우리 사무실은이 과정을 거쳤습니다. 그러나 우리는 HIPAA를 준수해야합니다. 우리는 온라인 버전에서 IT 표준에 대한 프레임 워크를 가져 와서이를 완성했습니다. 나는 개인적으로 대다수의 정책을 썼습니다. @Bart Silverstrim이 말했듯이 HR 담당자와 협력해야합니다. 우리는 표준 문서의 두 사람 팀이었습니다.

쉽지 않습니다. 천천히 그리고 체계적으로 가십시오. 일상에서 시작하여 글 머리 기호 목록에 적어 두십시오. 아이디어의 전체 목록은 단지 우리의 샘플입니다

  • 데이터 분류
  • 위험 분석 관리
  • ID 및 계정
  • 인력 보안
  • 제어 / 감사 로그 변경
  • 하드웨어와 소프트웨어
  • BC / DR (모든 회사에 관계없이이 정보가 있어야 함)

훨씬 더 많은 것이 있으며, 그것은 당신이 가고 싶은 거리에 달려 있습니다.

우리는 누군가가 HIPAA를 깰 경우를 대비하기 위해 이러한 표준 (규칙)을 마련했습니다. 그래서 우리는 “이봐 요, 우리는이 규칙들을 가지고 있고 파산했습니다.”

이것이 우리가 사용한 프레임 워크 입니다. 그것은 또한 당신을 위해 작동하거나 작동하지 않을 수 있습니다.

답변

우리는 지금 우리가 사용하는 네 가지 문서를 가지고 있습니다 :

  • 허용되는 사용 정책-학생
  • 허용되는 사용 정책-교직원
  • 저작권 교육 문서 – 새 틱 충족 연방 정부의 요구 사항을 보다 에디션에 대한
  • 서비스 수준 계약 (Service Level Agreement) – IT의 책임이 시작 및 중지되는 위치와 서비스 가동 시간에 대한 기대치에 대해 자세히 설명합니다 (아직 개발 중이지만 이것이 끝이없는 프로세스라고 생각합니다).

물론 우리는 많은 다른 기록들도 유지하지만 이것은 공공 법률 문서에 해당하는 정도입니다.

환자 기록은 완전히 다른 볼 게임이며, 마지막 공연은 의료 청구서에있었습니다. 물론 따라야 할 추가 규정이 많이 있지만, 여전히 기억 하고있는 유일한 법적 문서 는 “개인 식별 정보”를 다른 당사자와 공유하기 전에 개인으로부터 법적 기록을 얻어 보관해야한다는 것입니다.

답변

의료 분야에 대한 몇 가지 생각-IT 관련 모든 것은 아니지만 환자 데이터를 전자적으로 저장하는 경우 많은 출혈이 있습니다.

  • 위에 링크 된 Thoreau 프레임 워크 외에도 PCI 카드 SDS (Payment Card Industry Data Security Standards) 를 환자 정보 보안을위한 지침으로 사용할 수 있습니다.

  • 합리적인 보안 절차 (PCI-DSS 또는 기타 프레임 워크의 관련 부분을 준수 함)를 준수 함을 증명할 수있는 충분한 문서를 보유하는 것이 중요합니다.

  • HIPAA 준수 선언문 및 HIPAA 준수 정책 (PH / ePHII에 대한 액세스 권한이있는 사람, 상황 등)에 대한 정보가 필요합니다.
    이 정책에는 정보 요청자의 신원을 확인하는 방법이 포함되어야합니다.
    이 정책의 다른 부분은 백업, 전송중인 정보 등을 보호하는 방법을 다루어야합니다.

  • 법적으로 다루는 관점에서 귀하는 해당 정보에 액세스 할 수있는 모든 사람이 서명 한 기밀 양식도 필요합니다 (아마도 이미 가지고 있음).
    ePHI (전자 기록)를 포괄 할 수있을만큼 충분히 넓은 지 확인하십시오.

답변