कानूनी आईटी दस्तावेज [बंद]

10

मैं पिछले सप्ताह इस बारे में सोच रहा था क्योंकि मेरे बिग बॉस ने मुझसे कहा था कि मैंने जो भी चीजें तय की हैं, उन्हें कैसे ठीक किया जाए, आदि पर नज़र रखना शुरू करें, जो उचित है और वैसे भी कर रहा है। लेकिन फिर एक संबंधित सवाल दिमाग में आया। जहां तक ​​उपयोगकर्ता जाते हैं, मुझे किस तरह का प्रलेखन हाथ में लेना चाहिए। अधिक विशेष रूप से मैं EULA, ToC, आदि के संदर्भ में बात कर रहा हूं (मुझे सही करें यदि मैं गलत शब्दों का उपयोग कर रहा हूं) या अधिक विशेष रूप से एक नीति है, तो बोलने के लिए, उपयोगकर्ताओं और इस तरह के लिए। यह नहीं कह सकता कि मैं एक कानूनी विशेषज्ञ हूं, अन्यथा मैं एक वकील होता। जिस वातावरण में उपयोगकर्ता हैं, वह बहुत सुंदर है, इसलिए मुझे कोई समस्या नहीं है। लेकिन यह मान लें कि कभी कोई समस्या आनी चाहिए, मुझे क्या लिखना चाहिए था / हाथ पर?

संपादित करें: मुझे वास्तव में ध्यान देना चाहिए कि हम एक चिकित्सा परिवहन सुविधा हैं और रोगी के रिकॉर्ड हैं, इसलिए मुझे पता है कि मुझे विश्वास है कि HIPAA नीतियों का पालन करने के लिए वहां कुछ किया जाना चाहिए। मुझे यह पसंद है कि एंथोनीसोमेरसेट ने "अगर मुझे बस से मिलता है" परिदृश्य के बारे में क्या कहा है और इसे न केवल उस दस्तावेज़ पर लागू करना चाहता हूं जो मैं वर्तमान में लिख रहा हूं, बल्कि यह भी कहना है कि एक कर्मचारी को सर्वर या किनारे के मामलों से जानकारी चोरी करना था, चोरी , आदि जहाँ तक हमारे कर्मचारी, एक एकल मानव संसाधन व्यक्ति के रूप में इसका अपेक्षाकृत छोटा है, 2 मालिकों के वकीलों से अलग कोई कानूनी विभाग नहीं है और मुझे एक आदमी के साथ कर्मचारियों पर केवल आईटी व्यक्ति है जो मैक सुपरयुसर से अधिक नहीं है।

untagged 
Tablemaker
स्रोत
4
मुझे लगता है कि आपकी कानूनी दस्तावेज आवश्यकताएं पूरी तरह से इस बात पर निर्भर करेंगी कि आप उनके लिए किस संदर्भ का उपयोग कर रहे हैं। क्या आप एक होस्टिंग प्रदाता हैं जिसे ग्राहकों की मेजबानी के लिए डॉक्स की आवश्यकता है? क्या आपको अपने ग्राहकों के लिए किसी प्रकार के सेवा प्रदाता की आवश्यकता है? क्या आप एक आईटी व्यक्ति हैं जो सिर्फ अपने उपयोगकर्ताओं को नीतियों का पालन करना चाहते हैं?
ग्रेगेड
वर्तमान में हम कुछ भी होस्ट नहीं करते हैं, सभी सर्वर केवल आंतरिक कार्य के लिए हैं और चिकित्सा परिवहन में हैं इसलिए हमारे पास रोगी जानकारी और ऐसे सर्वर हैं जो डिस्पैचर और सभी कार्यालय कर्मचारियों को दैनिक रूप से एक्सेस करते हैं। जैसा कि मैंने कहा, इसकी सुंदर पीठ और बॉस बहुत परवाह नहीं करते हैं जब कर्मचारी फेसबुक पर होते हैं और जब तक वे अपना काम ठीक से कर रहे होते हैं।
टेबलमेकर
1
फिर उस स्थिति में, मुझे लगता है कि HIPAA आपके दस्तावेज़ की नींव होगी। यह कहते हुए कि, किसी ने नीचे उल्लेख किया है, और मैं दोहराऊंगा, यह शायद "कानूनी दस्तावेज" के लिए आईटी की जिम्मेदारी नहीं है। यह प्रबंधन / एचआर के लिए बेहतर है।
ग्रेग सेप
यह प्रश्न अब बहुत ही विषय है।
होपलेसनब

जवाबों:

10

आपको अपने बॉस / एचआर लोगों के साथ पर्यवेक्षकों द्वारा अपनाई गई लिखित नीतियों की एक श्रृंखला के लिए काम करना चाहिए, जो इस बात की रूपरेखा तैयार करते हैं कि विभिन्न मुद्दों को कैसे संभाला जाता है और कर्मचारियों से क्या अपेक्षा की जाती है। ये व्यवसाय के आधार पर भिन्न हो सकते हैं, लेकिन मूल रूप से आपके पास ऐसे दस्तावेज़ होंगे जो निर्दिष्ट करते हैं कि आपके नेटवर्क और कंप्यूटर सिस्टम पर क्या है और इसकी अनुमति नहीं है और अनुवर्ती (कैसे उपचारात्मक को नियंत्रित किया जाता है, समाप्ति क्या हो सकती है, आदि) क्रियाएं हैं । तब आपके कर्मचारियों को कर्मचारी हैंडबुक या मेमो के हिस्से के रूप में सामग्री दी जाती है, संभवतः हस्ताक्षर करने और फाइल पर रखने के लिए।

उन परिदृश्यों के साथ आओ, जिन्हें आपको कंप्यूटर सिस्टम पर स्वीकार्य उपयोग के मामले से निपटना होगा और फिर अपने बॉस से इसके बारे में बात करनी होगी; जब तक आपके पास किसी को आग लगाने का अधिकार नहीं है, आपको अन्य प्रमुखों-विभागों या पर्यवेक्षकों के साथ नीतियों की भाषा पर काम करना चाहिए। यदि आपके पास एक कानूनी विभाग है, तो आप चाहते हैं कि यह उनके माध्यम से चले और साथ ही यह सुनिश्चित करें कि आप अपने क्षेत्र में गोपनीयता या समाप्ति से जुड़े कानूनी मुद्दों पर कदम नहीं उठा रहे हैं।

आदर्श रूप से आपके व्यवसाय में पहले से ही कुछ कर्मचारी हैंडबुक या सामग्री होती है, जिनके बारे में कर्मचारियों को जागरूक होना पड़ता है और अपने डेस्क के साथ काम करना होता है, इसलिए आपके लिए काम करने के लिए वहां टेम्पलेट का कुछ विचार हो सकता है।

बार्ट सिल्वरस्ट्रिम
स्रोत
2
मैं बहुत ही एक ही चीज़ लिख रहा था, लेकिन इसे पीटा गया था, दूसरी बात यह है कि जो सामान उसने आपको करने के लिए कहा है वह क्लासिक है "अगर मैं बस से टकरा जाता हूं" तो डाक्यूमेंट्स को कवर करने के लिए यदि आप किसी भी कारण से नहीं थे लंबे समय तक अपने कर्तव्यों को पूरा करने में सक्षम
anthonysomerset
डेस्क प्रॉपर के लिए +1। हालांकि, मेरे बिग बॉस के लगातार MIA होने के कारण यह मेरे विचार से थोड़ा कठिन होगा। वे निश्चित रूप से चाहते हैं कि मैं नए कर्मचारियों को AUP के साथ पेश करूं और जैसे जब पहली बार अपने सभी परिचयात्मक प्रलेखन (यह मजेदार है) एक वेब आधारित रूप में होता है, तो एक बार मुझे कर्मचारी पोर्टल के साथ किसी प्रकार की वेब साइट मिलती है। यह भी सुनिश्चित नहीं है कि अगर उसके पास कोई शाब्दिक पुस्तिका है, तो मुझे यकीन है कि उसने कम से कम अपनी फाइलों में कागजी कार्रवाई पर हस्ताक्षर किए हैं।
टेबलमेकर
4
बस यह है कि जब आप काम करना चाहिए जोड़ना चाहते थे के साथ इस पर अपने मालिक / मानव संसाधन है कि गेंद में है उनकी कोर्ट और आईटी नहीं कर सकते हैं / shouldnot प्रेरणा शक्ति जब यह नीतियों की बात आती है हो सकता है, यह आप व्यापार मालिकों / प्रबंधन से किया जाना चाहिए, अन्यथा बस गुस्से में BOFH हैं और लोगों को आपकी नीतियों के लिए शून्य सम्मान मिलेगा।
mtinberg
3

हमारा दफ़्तर बस इसी से गुज़रा। हालांकि हमें HIPAA का अनुपालन करना होगा। हमने एक ऑनलाइन संस्करण से अपने आईटी मानकों के लिए एक रूपरेखा तैयार की, और इसे निकाल दिया। मैंने व्यक्तिगत रूप से अधिकांश नीतियों को लिखा। जैसा कि @Bart सिल्वरस्ट्रिम ने कहा कि आपको अपने एचआर व्यक्ति के साथ काम करने की आवश्यकता होगी। हम अपने मानकों के लिए दो व्यक्ति दल थे।

यह आसान नहीं है। बस धीरे-धीरे और विधिपूर्वक जाएं। अपने दिन की दिनचर्या के साथ शुरुआत करें, और बुलेटेड सूची में नीचे जाएं। विचारों की एक पूरी सूची है बस हमारा एक नमूना है

  • डेटा का वर्गीकरण
  • जोखिम विश्लेषण प्रबंधन
  • Ids और लेखा
  • कर्मियों की सुरक्षा
  • नियंत्रण / ऑडिट लॉग बदलें
  • हार्डवेयर और सॉफ्टवेयर
  • बीसी / डीआर (हर कंपनी को इसकी परवाह किए बिना होना चाहिए)

बहुत अधिक है, यह सब इस बात पर निर्भर करता है कि आप कितनी दूर जाना चाहते हैं।

हमारे पास ये मानक (नियम) हैं कि यदि कोई HIPAA तोड़े तो खुद को कवर करने के लिए नियम (नियम) हैं। तो हम कह सकते हैं "हे, हमारे पास ये नियम हैं, और उन्हें तोड़ दिया"।

यह वह ढांचा है जिसका हमने इस्तेमाल किया। यह आपके लिए भी काम कर सकता है या नहीं।

मूल्य नियंत्रण
स्रोत
HIPAA सामान निश्चित रूप से यहां लागू होता है क्योंकि हम एक मेडिकल ट्रांसपोर्ट कंपनी हैं जिसमें बहुत सारी रोगी जानकारी है जो दैनिक रूप से एक्सेस की जाती है।
टेबलमेकर
1
अरे वाह, यह वास्तव में बेकार है :) हम किसी भी दावे या रोगी की जानकारी को नहीं संभालते हैं, इसलिए बहुत से HIPAA हमारे (सौभाग्य) पर लागू नहीं होते हैं। प्रदाता (ओं) से उनके दस्तावेज के उदाहरण पूछें, हमने उनसे पूछा और उन्होंने हमें इसके बारे में जानकारी दी।
RateControl
यदि आपको अधिक सहायता की आवश्यकता है, तो बस मुझे ईमेल करें (प्रोफ़ाइल में ईमेल)
14 अक्टूबर को RateControl
वास्तव में, यदि आप मुझे उस ढांचे के लिए लिंक दे सकते हैं, तो यह बहुत सराहनीय होगा। :)
टेबलमेकर
उत्तर के लिए संपादित किया
RateControl
2

हमारे पास अभी चार दस्तावेज़ हैं जिनका हम उपयोग करते हैं:

  • छात्रों के लिए स्वीकार्य उपयोग नीति -
  • स्वीकार्य उपयोग नीति - संकाय / कर्मचारियों के लिए
  • कॉपीराइट शिक्षा दस्तावेज़ - उच्चतर संस्करण के लिए एक नए-ईश संघीय आवश्यकता को पूरा करता है
  • सेवा स्तर समझौता - विवरण जहां आईटी की जिम्मेदारियां शुरू होती हैं और बंद हो जाती हैं, और हमारी सेवाओं के अप-टाइम के लिए उम्मीद (अभी भी विकास में है, लेकिन मुझे उम्मीद है कि यह कई लोगों के लिए कभी न खत्म होने वाली प्रक्रिया है)।

बेशक हम कई अन्य रिकॉर्ड भी रखते हैं, लेकिन यह इसके बारे में सार्वजनिक कानूनी दस्तावेजों के रूप में है।

रोगी रिकॉर्ड एक पूरे अन्य बॉलगेम है, और मेरा आखिरी टमटम एक मेडिकल बिलिंग कार्यालय में था। बेशक, कई अतिरिक्त नियमों का आपको पालन करना चाहिए, लेकिन एकमात्र कानूनी दस्तावेज जो मुझे अभी भी याद है, वह यह है कि आपको अन्य पक्षों के साथ किसी भी "व्यक्तिगत रूप से पहचान योग्य जानकारी" को साझा करने से पहले व्यक्तियों से अनुमति का कानूनी रिकॉर्ड प्राप्त करना और रखना होगा।

जोएल कोएल
स्रोत
1
मुझे SLA की बात ज्यादा पसंद है क्योंकि मैं पहले से ही कुछ लोगों द्वारा मुझसे संपर्क करने के लिए उनके घर पर आने के लिए कह रहा हूं, अपने पर्सनल कंप्यूटर को ठीक करने के लिए यह कहते हुए कि यह मेरा काम है (जैसा कि मुझे ड्राइविंग या समय की भरपाई नहीं होगी)। यह xD प्यार करता हूँ।
टेबलमेकर
1
@ Shads0 - हाँ, एक ही मामला है जो कभी भी आपकी नौकरी का हिस्सा होगा यदि आपके पास एक वीपीएन क्लाइंट है जो आप प्रदान करते हैं और समर्थन करते हैं। एक SLA यह साबित करता है। फिर भी, मैं केवल कंपनी द्वारा जारी किए गए लैपटॉप के लिए ऐसा करना पसंद करता हूं, जब मैं इससे दूर हो सकता हूं।
जोएल कोएल
1

आपको पहले से ही कुछ बढ़िया सलाह मिली है - कुछ विचार चिकित्सा क्षेत्र के लिए विशिष्ट हैं (सभी आईटी से संबंधित नहीं हैं, लेकिन यदि आप रोगी के डेटा को इलेक्ट्रॉनिक रूप से स्टोर कर रहे हैं, तो ब्लीड-ओवर की बहुत कमी है):

  • रोगी के बारे में जानकारी हासिल करने के लिए मार्गदर्शन के रूप में आप ऊपर दिए गए लिंक थोरो के अलावा भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (PCI DSS) का उपयोग कर सकते हैं - जहाँ भी यह "कार्डधारक की जानकारी" या ऐसा ही कुछ HIPAA- सुरक्षित सामान, मुख्य रूप से PHI / eHHI कहता है।

  • उचित सुरक्षा प्रक्रियाओं के अनुपालन के लिए पर्याप्त दस्तावेज होना महत्वपूर्ण है (पीसीआई-डीएसएस या अन्य ढांचे के प्रासंगिक भागों का अनुपालन साबित करना)।

  • आप एक HIPAA अनुपालन कथन और HIPAA अनुपालन नीतियों (किस परिस्थिति, आदि के तहत PH / ePHII तक पहुंच है, इसका विस्तार करना चाहते हैं) चाहते हैं।
    इस नीति के भाग में यह शामिल होना चाहिए कि आप सूचना-अनुरोधकर्ताओं की पहचान को कैसे सत्यापित करें।
    इस नीति का एक अलग हिस्सा आपको अपने बैकअप, पारगमन की जानकारी, आदि की सुरक्षा के साथ सौदा करना चाहिए।

  • कानूनी-कवरिंग-ऑफ-द-योर-एसस परिप्रेक्ष्य से आपको भी (और शायद पहले से ही) गोपनीयता की जरूरत है किसी के द्वारा हस्ताक्षर किए गए जो उस जानकारी तक पहुंच रखते हैं - मेरी कंपनी में उनकी समीक्षा समीक्षा में आपकी समीक्षा की जाती है और सालाना हस्ताक्षर किए जाते हैं।
    सुनिश्चित करें कि ये ePHI (इलेक्ट्रॉनिक रिकॉर्ड) को कवर करने के लिए व्यापक हैं।

voretaq7
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.