На прошлой неделе я задавался вопросом, потому что мой большой начальник сказал мне начать отслеживать все, что я исправил, как их исправить и т. Д. Что разумно и я все равно делал. Но тут на ум пришел связанный вопрос. Какую документацию я должен иметь под рукой в отношении пользователей. В частности, я говорю в терминах EULA, ToC и т. Д. (Поправьте меня, пожалуйста, если я использую неправильные термины) или, более конкретно, политику, так сказать, для пользователей и т. Д. Не могу сказать, что я юрист, иначе я был бы юристом. Среда, в которой находятся пользователи, довольно спокойная, поэтому я не вижу проблем. Но предположим, что когда-нибудь должна возникнуть проблема, что я должен был написать / иметь под рукой?
РЕДАКТИРОВАТЬ: Я действительно должен был отметить, что мы являемся медицинским транспортным средством и у нас есть записи пациентов, поэтому я знаю, что там нужно что-то делать, чтобы соответствовать политике HIPAA, я считаю. Мне действительно нравится то, что anthonysomerset сказал о сценарии «Если я поеду на автобусе», и я хочу применить его не только к документации, которую я сейчас пишу, но и к тому, что, если, скажем, сотрудник украл информацию с сервера или крайних случаях, кража и т. д. Что касается нашего персонала, он относительно невелик, как в одном кадре, нет юридического отдела, кроме юристов двух владельцев и меня, единственного ИТ-специалиста в штате с парнем, который является не более чем суперпользователем Mac.
Вы должны работать со своим начальником / сотрудниками отдела кадров, чтобы разработать серию письменных политик, принятых руководителями, в которых описывается, как решаются различные проблемы и что ожидается от сотрудников. Они могут варьироваться в зависимости от бизнеса, но в основном у вас будут документы, в которых указывается, что разрешено, а что запрещено в вашей сети и компьютерных системах, и какие последующие действия (как выполняется исправление, что может привести к прекращению действия и т. Д.) . Затем вашим сотрудникам выдается материал в виде справочника или памятки для сотрудников, которые можно подписать и сохранить в файле.
Придумайте сценарии, с которыми вам придется иметь дело с точки зрения приемлемого использования в компьютерных системах, а затем поговорите об этом со своим начальником; если у вас нет полномочий уволить кого-то, вам следует поработать над формулировкой политики с другими руководителями отделов или надзорными органами. Если у вас есть юридический отдел, вы также захотите, чтобы он прошел через них, чтобы убедиться, что вы не наступаете на юридические вопросы, связанные с конфиденциальностью или прекращением действия в вашем регионе.
В идеале в вашем бизнесе уже есть справочники или материалы для сотрудников, о которых сотрудники должны знать и поддерживать свои столы, так что там может быть какое-то представление о шаблоне, который будет работать на вас.
Наш офис только что прошел через это. Однако мы должны соблюдать HIPAA. Мы взяли основу для наших ИТ-стандартов из онлайн-версии и конкретизировали ее. Я лично написал подавляющее большинство политик. Как сказал @Bart Silverstrim, вам нужно будет поработать со своим HR. Мы были командой из двух человек для нашей документации по стандартам.
Это непросто. Просто действуйте медленно и методично. Начните с повседневной рутины и запишите это в маркированный список. Есть целый список идей только образец наших
Это намного больше, все зависит от того, как далеко вы хотите зайти.
У нас есть эти стандарты (правила), чтобы защитить себя в случае нарушения HIPAA. Итак, мы можем сказать: «Эй, у нас есть эти правила, и они их нарушили».
Это фреймворк что мы использовали. Это может сработать или не сработать для вас.
Сейчас у нас есть четыре документа, которые мы используем:
Конечно, мы ведем и многие другие записи, но это все, что касается публичных юридических документов.
Карточки пациентов - это совсем другая игра, и мой последний концерт был в медицинском офисе. Конечно, вы должны соблюдать множество дополнительных правил, но единственное юридический документ Я все еще помню, что вы должны получить и вести юридический учет разрешения от отдельных лиц, прежде чем вы сможете поделиться любой «личной информацией» с другими сторонами.
Вы уже получили отличный совет - несколько мыслей, относящихся к области медицины (не все связанные с ИТ, но если вы храните данные о пациентах в электронном виде, есть ОЧЕНЬ проступок):
В дополнение к структуре Торо, указанной выше, вы можете использовать Стандарты безопасности данных индустрии платежных карт (PCI DSS) в качестве руководства по защите информации о пациентах - везде, где написано «информация о держателе карты» или что-то подобное, думайте о материалах, защищенных HIPAA, в основном PHI / ePHI.
Важно иметь достаточное количество документации, подтверждающей соблюдение разумных процедур безопасности (подтверждающих соблюдение соответствующих частей PCI-DSS или других структур).
Вам потребуется заявление о соответствии HIPAA и политика соответствия HIPAA (с подробным описанием того, кто имеет доступ к PH / ePHII, при каких обстоятельствах и т. Д.).
Частью этой политики должно быть то, как вы проверяете личность запрашивающих информацию.
Отдельная часть этой политики должна касаться того, как вы защищаете свои резервные копии, информацию в пути и т. Д.
С точки зрения юридического прикрытия вашей задницы вам также потребуются (и, вероятно, уже есть) формы конфиденциальности, подписанные любым лицом, имеющим доступ к этой информации - в моей компании они проверяются и повторно подписываются ежегодно при проверке эффективности.
Убедитесь, что они достаточно широки, чтобы охватить ePHI (электронные записи).