Documentos legais de TI [fechados]

10

Eu estive pensando na semana passada porque meu grande chefe me disse para começar a acompanhar todas as coisas que eu consertei, como consertá-las etc. O que é razoável e o que está fazendo de qualquer maneira. Mas então uma questão relacionada veio à mente. Que tipo de documentação devo ter em mãos quanto aos usuários. Mais especificamente, estou falando em termos de EULA, ToC, etc. (corrija-me se estiver usando os termos errados) Ou, mais especificamente, uma política, por assim dizer, para os usuários e tal. Não posso dizer que sou especialista em direito, caso contrário seria advogado. O ambiente em que os usuários estão é bastante descontraído, de modo que não prevejo um problema. Mas suponha que sempre deva surgir um problema, o que eu deveria ter escrito / ter em mãos?

EDIT: Eu realmente deveria ter notado que somos uma instalação de transporte médico e temos registros de pacientes, então eu sei que algo deve ser feito lá para cumprir as políticas da HIPAA que acredito. Gosto do que o anthonysomerset disse sobre o cenário "Se eu for de ônibus" e quero aplicá-lo não apenas à documentação que estou escrevendo atualmente, mas também para, digamos, que um funcionário roube informações do servidor ou de casos extremos, roubo etc. No que diz respeito à nossa equipe, é relativamente pequena como em uma única pessoa de RH, nenhum departamento jurídico além dos advogados dos dois proprietários e eu sendo a única pessoa de TI na equipe com um cara que não é mais que um superusuário do Mac.

untagged Tablemaker
fonte
4
Acho que seus requisitos de documentação legal dependerão totalmente do contexto em que você os estiver usando. Você é um provedor de hospedagem que precisa de documentos para hospedar clientes? Você é algum tipo de provedor de serviços que precisa de documentos para seus clientes? Você é um cara de TI que deseja que seus usuários sigam políticas?
precisa saber é o seguinte
No momento, não hospedamos nada, todos os servidores são apenas para trabalho interno e são para transporte médico, por isso temos informações sobre o paciente nos servidores que os despachantes e todos os funcionários do escritório acessam diariamente. Como eu disse, é bem descontraído e os chefes não se importam muito quando os funcionários estão no Facebook e outros, desde que estejam fazendo seu trabalho corretamente.
Tablemaker
1
Então, nesse caso, eu assumiria que o HIPAA será a base da sua documentação. Dito isto, alguém menciona abaixo, e eu vou reiterar, provavelmente não é a única responsabilidade da TI por "documentação legal". É melhor deixar isso para a gerência / RH.
GregD 01/09/11
Esta questão está muito fora de tópico agora.
HopelessN00b

Respostas:

10

Você deve trabalhar com seu chefe / pessoal de RH para ter uma série de políticas escritas, adotadas pelos supervisores, que descrevam como as várias questões são tratadas e o que é esperado dos funcionários. Isso pode variar de acordo com o negócio, mas basicamente você teria documentos que especificam o que é e o que não é permitido na rede e nos sistemas de computador e quais são as ações de acompanhamento (como a correção é tratada, o que pode levar à rescisão etc.). . Seus funcionários receberão o material como parte de um manual ou memorando, possivelmente para assinar e manter em arquivo.

Crie cenários com os quais você precisaria lidar em termos de uso aceitável nos sistemas de computadores e depois converse com seu chefe sobre isso; a menos que você tenha autoridade para demitir alguém, trabalhe no idioma das políticas com outros chefes de departamento ou supervisores. Se você possui um departamento jurídico, também será necessário analisá-lo para garantir que você não esteja abordando questões legais que envolvam privacidade ou rescisão na sua área.

Idealmente, sua empresa já possui alguns manuais ou materiais dos quais os funcionários precisam estar cientes e sustentar suas mesas; portanto, pode haver alguma idéia de um modelo para trabalhar com você.

Bart Silverstrim
fonte
2
eu estava escrevendo praticamente a mesma coisa, mas fui derrotado; a outra coisa é que o material que ele pediu para você fazer é a documentação clássica "se eu for atropelada por um ônibus" para cobrir as lacunas, se por qualquer motivo não houver mais capaz de cumprir seus deveres
anthonysomerset
+1 para os acessórios de mesa. No entanto, com meu grande chefe continuamente sendo MIA, isso será um pouco mais difícil do que eu pensava. Eles definitivamente querem que eu apresente aos novos funcionários as AUPs e similares, quando a primeira faz toda a documentação introdutória (a diversão que ela é) em um formulário baseado na Web, uma vez que eu recebo algum tipo de site com o portal de funcionários em execução. Não tenho muita certeza se ele tem algum manual literal, tenho certeza que ele pelo menos assinou a documentação em seus arquivos.
Tablemaker
4
Só queria acrescentar que, embora você deva trabalhar com seu chefe / RH nisso, a bola está na quadra deles e a TI não pode / não deve ser a força motriz no que diz respeito às políticas, deve ser dos proprietários / gerentes de negócios, caso contrário você são apenas os BOFH zangados e as pessoas terão zero respeito por suas políticas.
mtinberg
3

Nosso escritório passou por isso. No entanto, temos de cumprir a HIPAA. Pegamos uma estrutura para nossos padrões de TI a partir de uma versão on-line e a desenvolvemos. Eu, pessoalmente, escrevi a grande maioria das políticas. Como o @Bart Silverstrim disse, você precisará trabalhar com sua pessoa de RH. Éramos uma equipe de duas pessoas para nosso documento de padrões.

Não é fácil. Apenas vá devagar e metodicamente. Comece com sua rotina diária e anote-a em uma lista com marcadores. Há toda uma lista de idéias, apenas uma amostra nossa

  • Classificação de dados
  • Gerenciamento de análise de risco
  • Ids e contas
  • segurança pessoal
  • Alterar controle / log de auditoria
  • Hardware e software
  • BC / DR (toda empresa deve ter isso independentemente)

Há muito mais, tudo depende de quão longe você deseja ir.

Temos esses padrões (regras) em vigor para nos cobrir caso alguém quebre a HIPAA. Então, podemos dizer "ei, temos essas regras e as quebramos".

Essa é a estrutura que usamos. Pode ou não funcionar para você também.

Controle de taxa
fonte
O material HIPAA definitivamente se aplica aqui, pois somos uma empresa de transporte médico com muitas informações do paciente que são acessadas diariamente.
Tablemaker
1
Oh uau, isso é realmente péssimo :) nós não lidamos com nenhuma reclamação ou informação do paciente, então muito HIPAA não se aplica a nós (felizmente). Peça ao (s) fornecedor (es) exemplos de sua documentação, pedimos a nossa e eles nos deram um monte dela.
RateControl
Se precisar de mais ajuda, basta me enviar e-mail (e-mail no perfil)
RateControl
Na verdade, se você pudesse me fornecer o link para essa estrutura, isso seria muito apreciado. :)
Tablemaker
fez a edição da resposta
RateControl 31/08
2

Temos agora quatro documentos que usamos:

  • Política de uso aceitável - para estudantes
  • Política de uso aceitável - para professores / funcionários
  • Documento sobre educação em direitos autorais - atende a um novo requisito federal de ensino superior
  • Contrato de nível de serviço - detalha onde as responsabilidades de TI começam e param e a expectativa de tempo de atividade de nossos serviços (ainda em desenvolvimento, mas espero que este seja um processo sem fim para muitos).

É claro que mantemos muitos outros registros também, mas trata-se de documentos legais públicos.

O prontuário do paciente é outro jogo, e meu último show foi em um escritório de cobrança médica. É claro que existem muitos regulamentos adicionais que você deve seguir, mas o único documento legal que ainda me lembro é que você deve obter e manter um registro legal de permissão de indivíduos antes de poder compartilhar "informações de identificação pessoal" com outras partes.

Joel Coel
fonte
1
Gosto muito do SLA, porque já fui abordado por algumas pessoas que me pediam para ir à casa deles para consertar seu computador pessoal, dizendo que esse é o meu trabalho (por exemplo, não vai me compensar pela condução ou pelo tempo). Tenho que amar xD.
Tablemaker
1
@ Shads0 - Sim, o único caso em que seria sempre ser parte de seu trabalho é se você tem um cliente VPN que você fornecer e apoio. Um SLA prova isso. Mesmo assim, prefiro fazer isso apenas para laptops emitidos pela empresa quando puder me safar.
Joel Coel
1

Você já recebeu ótimos conselhos - alguns pensamentos específicos da área médica (nem todos relacionados à TI, mas se você estiver armazenando eletronicamente os dados do paciente, haverá MUITO sangramento):

  • Além da estrutura que o Thoreau vinculou acima, você pode usar os padrões de segurança de dados do setor de cartões de pagamento (PCI DSS) como orientação para proteger as informações do paciente - onde quer que ele diga "informações do titular do cartão" ou similar, pense em coisas protegidas por HIPAA, principalmente PHI / ePHI.

  • É importante ter documentação suficiente para provar a conformidade com procedimentos de segurança razoáveis ​​(comprovando a conformidade com as partes relevantes do PCI-DSS ou outras estruturas).

  • Você deseja uma declaração de conformidade com HIPAA e políticas de conformidade com HIPAA (detalhando quem tem acesso ao PH / ePHII, sob que circunstâncias etc.).
    Parte desta política deve incluir como você verifica a identidade dos solicitantes de informações.
    Uma parte separada desta política deve lidar com a forma como você protege seus backups, informações em trânsito etc.

  • Do ponto de vista jurídico, você também precisa (e provavelmente já possui) formulários de confidencialidade assinados por qualquer pessoa que tenha acesso a essas informações - na minha empresa, eles são revisados ​​e re-assinados anualmente na sua avaliação de desempenho.
    Certifique-se de que sejam amplos o suficiente para cobrir o ePHI (registros eletrônicos).

voretaq7
fonte