Documents informatiques juridiques [clos]

10

Je me suis posé la question la semaine dernière parce que mon grand patron m'a dit de commencer à garder une trace de toutes les choses que j'ai corrigées, comment les réparer, etc. Ce qui est raisonnable et que j'ai fait de toute façon. Mais une question connexe est venue à l'esprit. Quel type de documentation dois-je avoir sous la main en ce qui concerne les utilisateurs. Plus précisément, je parle en termes de CLUF, de TdC, etc. (corrigez-moi s'il vous plaît si j'utilise les mauvais termes) Ou plus spécifiquement une politique, pour ainsi dire, pour les utilisateurs et autres. Je ne peux pas dire que je suis un expert juridique, sinon je serais avocat. L'environnement dans lequel les utilisateurs se trouvent est assez décontracté, donc je ne prévois pas de problème. Mais supposons qu'un problème survienne, que dois-je avoir écrit / avoir sous la main?

EDIT: J'aurais vraiment dû noter que nous sommes un établissement de transport médical et avons des dossiers de patients, donc je sais que quelque chose doit être fait là-bas pour se conformer aux politiques HIPAA je crois. J'aime ce que anthonysomerset a dit sur le scénario "Si je prends un bus" et je veux l'appliquer non seulement à la documentation que j'écris actuellement, mais aussi si, par exemple, un employé volait des informations du serveur ou des cas marginaux, vol , etc. En ce qui concerne notre personnel, c'est relativement petit comme dans une seule personne RH, aucun service juridique à part les 2 avocats des propriétaires et moi étant la seule personne informatique du personnel avec un gars qui n'est rien de plus qu'un superutilisateur mac.

untagged Tablemaker
la source
4
Je pense que vos exigences en matière de documentation juridique dépendront entièrement du contexte dans lequel vous les utilisez. Êtes-vous un hébergeur qui a besoin de documents pour héberger des clients? Êtes-vous un type de fournisseur de services qui a besoin de documents pour vos clients? Êtes-vous un informaticien qui souhaite simplement que vos utilisateurs suivent les politiques?
GregD
Nous n'hébergeons rien actuellement, tous les serveurs sont uniquement destinés au travail interne et au transport médical, nous avons donc des informations sur les patients et autres sur les serveurs auxquels les répartiteurs et tous les employés de bureau accèdent quotidiennement. Comme je l'ai dit, c'est assez décontracté et les patrons ne se soucient pas trop quand les employés sont sur Facebook et autres tant qu'ils font leur travail correctement.
Tablemaker
1
Dans ce cas, je suppose que HIPAA sera le fondement de votre documentation. Cela dit, quelqu'un mentionne ci-dessous, et je le répète, ce n'est probablement pas uniquement la responsabilité de l'informatique pour la "documentation juridique". C'est mieux laissé à la direction / RH.
GregD
Cette question est très hors sujet maintenant.
HopelessN00b

Réponses:

10

Vous devriez travailler avec votre patron / les ressources humaines pour avoir une série de politiques écrites, adoptées par les superviseurs, qui décrivent comment divers problèmes sont traités et ce qui est attendu des employés. Ceux-ci peuvent varier en fonction de l'entreprise, mais en gros, vous auriez des documents qui spécifient ce qui est et n'est pas autorisé sur votre réseau et vos systèmes informatiques et quelles sont les actions de suivi (comment la correction est gérée, ce qui peut conduire à la résiliation, etc.) sont . Ensuite, vos employés reçoivent le matériel dans le cadre d'un manuel ou d'un mémo destiné aux employés, éventuellement à signer et à conserver.

Trouvez des scénarios que vous auriez à gérer en termes d'utilisation acceptable sur les systèmes informatiques, puis parlez-en à votre patron; à moins que vous n'ayez le pouvoir de licencier quelqu'un, vous devez travailler sur la langue des politiques avec d'autres chefs de département ou superviseurs. Si vous avez un service juridique, vous voudrez qu'il le traverse également pour vous assurer de ne pas marcher sur des questions juridiques concernant la confidentialité ou la résiliation dans votre région.

Idéalement, votre entreprise possède déjà des manuels ou du matériel pour les employés que les employés doivent connaître et étayer leur bureau, donc il pourrait y avoir une idée d'un modèle à utiliser pour vous.

Bart Silverstrim
la source
2
J'écrivais à peu près la même chose, mais j'ai été battu, l'autre chose est que ce qu'il vous a demandé de faire est une documentation classique "si je suis frappé par un bus" pour combler les lacunes si vous, pour une raison quelconque, étiez non plus en mesure de remplir vos fonctions
anthonysomerset
+1 pour les accessoires de bureau. Cependant, avec mon grand patron continuellement MIA, ce sera un peu plus difficile que je ne le pensais. Ils veulent vraiment que je présente aux nouveaux employés des PUA et similaires lorsque les premiers font toute leur documentation d'introduction (le plaisir que ce soit) sous forme Web une fois que je reçois une sorte de site Web avec un portail d'employés en cours d'exécution. Je ne sais pas trop s'il a un manuel littéral, je suis sûr qu'il a au moins signé des documents dans leurs dossiers.
Tablemaker
4
Je voulais juste ajouter que bien que vous deviez travailler avec votre patron / RH sur le fait que la balle est dans leur camp et que l'informatique ne peut / ne devrait pas être la force motrice en matière de politiques, elle devrait provenir des propriétaires / dirigeants de l'entreprise, sinon vous sont juste les BOFH en colère et les gens n'auront aucun respect pour vos politiques.
mtinberg
3

Notre bureau vient de passer par là. Cependant, nous devons nous conformer à HIPAA. Nous avons pris un cadre pour nos normes informatiques à partir d'une version en ligne et l'avons étoffé. J'ai personnellement rédigé la grande majorité des politiques. Comme @Bart Silverstrim l'a dit, vous devrez travailler avec votre personne RH. Nous étions une équipe de deux personnes pour notre doc sur les normes.

Ce n'est pas facile. Allez-y lentement et méthodiquement. Commencez par votre routine quotidienne et notez-la dans une liste à puces. Il y a toute une liste d'idées juste un échantillon de la nôtre

  • Classification des données
  • Gestion de l'analyse des risques
  • Identifiants et comptes
  • sécurité du personnel
  • Journal de contrôle des modifications / d'audit
  • Matériel et logiciel
  • BC / DR (chaque entreprise devrait avoir cela indépendamment)

Il y a beaucoup plus, tout dépend de jusqu'où vous voulez aller.

Nous avons ces normes (règles) en place pour nous couvrir au cas où quelqu'un enfreindrait la HIPAA. Nous pouvons donc dire "hé, nous avons ces règles, et les les a enfreintes".

C'est le cadre que nous avons utilisé. Cela peut ou non fonctionner pour vous aussi.

RateControl
la source
La substance HIPAA s'applique certainement ici car nous sommes une entreprise de transport médical avec beaucoup d'informations sur les patients accessibles quotidiennement.
Tablemaker
1
Oh wow, ça craint vraiment :) nous ne traitons aucune réclamation ou information patient, donc beaucoup de HIPAA ne s'appliquent pas à nous (heureusement). Demandez au (x) fournisseur (s) des exemples de leur documentation, nous avons demandé la nôtre et ils nous en ont donné des quantités.
RateControl
Si vous avez besoin de plus d'aide, envoyez-moi simplement un e-mail (e-mail dans le profil)
RateControl
En fait, si vous pouviez me donner le lien pour ce cadre, ce serait très apprécié. :)
Tablemaker
fait la modification de la réponse
RateControl
2

Nous avons actuellement quatre documents que nous utilisons:

  • Politique d'utilisation acceptable - pour les étudiants
  • Politique d'utilisation acceptable - pour les professeurs / le personnel
  • Document sur l'éducation au droit d'auteur - répond à une nouvelle exigence fédérale pour l'enseignement supérieur
  • Accord de niveau de service - détaille où les responsabilités informatiques commencent et s'arrêtent, et les attentes en matière de disponibilité de nos services (toujours en développement, mais je pense que c'est un processus sans fin pour beaucoup).

Bien sûr, nous conservons également de nombreux autres documents, mais il s’agit là de documents juridiques publics.

Les dossiers des patients sont un tout autre jeu de balle, et mon dernier concert était dans un bureau de facturation médicale. Il y a, bien sûr, de nombreux règlements supplémentaires que vous devez suivre, mais le seul document juridique dont je me souvienne encore est que vous devez obtenir et conserver un registre juridique des autorisations des individus avant de pouvoir partager toute "information personnellement identifiable" avec d'autres parties.

Joel Coel
la source
1
J'aime le SLA principalement parce que j'ai déjà été approché par certaines personnes me demandant de venir chez eux pour réparer leur ordinateur personnel, disant que c'est mon travail (comme dans, cela ne me compensera pas pour la conduite ou le temps). Je dois l'aimer xD.
Tablemaker
1
@ Shads0 - Oui, le seul cas où ce serait jamais partie de votre travail est si vous avez un client de vpn que vous fournissez et de soutien. Un SLA le prouve. Même dans ce cas, je préfère ne le faire pour les ordinateurs portables fournis par l'entreprise que lorsque je peux m'en tirer.
Joel Coel
1

Vous avez déjà reçu d'excellents conseils - quelques réflexions spécifiques au domaine médical (pas toutes liées à l'informatique, mais si vous stockez les données des patients par voie électronique, il y a BEAUCOUP de saignements):

  • En plus du cadre Thoreau lié ci-dessus, vous pouvez utiliser les normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS) comme guide pour sécuriser les informations des patients - partout où il est dit "informations du titulaire de carte" ou similaire pensez aux informations protégées par HIPAA, principalement PHI / ePHI.

  • Il est important d'avoir suffisamment de documentation pour prouver la conformité aux procédures de sécurité raisonnables (prouver la conformité aux parties pertinentes de PCI-DSS ou d'autres cadres).

  • Vous voudrez une déclaration de conformité HIPAA et des politiques de conformité HIPAA (détaillant qui a accès à PH / ePHII, dans quelles circonstances, etc.).
    Une partie de cette politique doit inclure la façon dont vous vérifiez l'identité des demandeurs d'informations.
    Une partie distincte de cette politique devrait traiter de la façon dont vous protégez vos sauvegardes, les informations en transit, etc.

  • D'un point de vue juridique, vous avez également besoin (et possédez probablement déjà) des formulaires de confidentialité signés par toute personne ayant accès à ces informations - Dans mon entreprise, ils sont examinés et re-signés chaque année lors de votre évaluation des performances.
    Assurez-vous qu'ils sont suffisamment larges pour couvrir ePHI (enregistrements électroniques).

voretaq7
la source