合法的IT文件[关闭]

上周我一直在想，因为我的大老板告诉我要开始跟踪所有我已修复的问题，如何修复它们，等等。这是合理的，而且无论如何都在做。但是随后想到了一个相关的问题。就用户而言，我应该拥有什么样的文档。更具体地讲，我是在以EULA，ToC等为依据（如果我使用的术语错误，请更正我），或者更具体地说，是针对用户等的政策。不能说我是法律专家，否则我会当律师。用户所处的环境相当悠闲，因此我认为没有问题。但是，假设应该出现问题，我应该写些什么/手头有什么？

编辑：我真的应该注意到我们是一家医疗运输机构，并且有患者记录，所以我知道必须遵照HIPAA政策采取一些措施。我喜欢anthonysomerset所说的“如果我坐公交车”场景，并且不仅希望将其应用到我当前正在编写的文档中，而且还想将某员工说从服务器或边缘案例中窃取信息，从而导致盗窃就我们的员工而言，它相对于一个人力资源人员而言相对较小，除了两位业主律师之外，没有任何法律部门，而我是唯一的IT人员，其人员不超过mac超级用户。

您应该与老板/人力资源人员一起制定一系列书面政策，并由主管人员采用，该政策概述了如何处理各种问题以及对员工的期望。这些内容可能因业务而异，但是基本上您将拥有说明网络和计算机系统上允许和不允许的内容以及后续措施（处理方式，导致终止的方法等）的文档。 。然后，向您的员工提供该材料作为员工手册或备忘录的一部分，可能会进行签名并存档。

提出必须在计算机系统上可接受使用方面要处理的方案，然后与老板讨论；除非您有权解雇某人，否则应与其他部门负责人或主管一起以政策的语言进行工作。如果您有法务部门，则也希望它贯穿整个法务部门，以确保您不会涉嫌涉及您所在地区的隐私或终止的法律问题。

理想情况下，您的企业已经有了一些员工手册或员工必须了解的资料并为他们的办公桌提供支撑，因此，可能会有一些模板供您使用的想法。

我们的办公室刚刚经历了这个。但是，我们必须遵守HIPAA。我们从在线版本中获取了一个IT标准框架，并将其充实。我亲自写了绝大多数政策。正如@Bart Silverstrim所说，您将需要与人力资源人员一起工作。我们是标准文档的两人小组。

这不容易。慢慢地，有条不紊地走。从您的日常工作开始，然后在项目符号列表中记下这一点。有一个完整的想法清单，只是我们的一个例子

• 资料分类
• 风险分析管理
• 编号和帐户
• 人员安全
• 更改控制/审核日志
• 硬件和软件
• BC / DR（无论哪家公司都应拥有）

还有更多，这完全取决于您要走多远。

我们制定了这些标准（规则），以防万一有人破坏HIPAA。因此，我们可以说“嘿，我们有这些规则，而违反了这些规则”。

这就是我们使用的框架。它也可能对您不起作用。

现在，我们使用了四个文档：

• 可接受的使用政策-适用于学生
• 可接受的使用政策-教师/员工
• 版权教育文件-符合联邦对高等教育的新要求
• 服务级别协议-详细说明IT职责在何处开始和停止以及对我们的服务正常运行的期望（仍在开发中，但是我希望对于许多人来说，这是一个永无止境的过程）。

当然，我们也会保留许多其他记录，但这与公共法律文件差不多。

病历是另外一回事，而我的最后一次演出是在医疗账单办公室。当然，您还必须遵守许多其他规定，但是我仍然记得的唯一法律文件是，您必须先获得并获得个人的合法许可记录，然后才能与其他方共享任何“个人身份信息”。

您已经收到了一些很棒的建议-针对医疗领域的一些想法（并非所有与IT相关的想法，但是如果您以电子方式存储患者数据，则会流血很多）：

• 除了上面链接的Thoreau框架以外，您还可以使用“ 支付卡行业数据安全标准”（PCI DSS）作为保护患者信息的指南-无论它说“持卡人信息”或类似认为受HIPAA保护的东西，主要是PHI / ePHI。

• 重要的是要有足够的文档来证明遵守合理的安全程序（证明符合PCI-DSS的相关部分或其他框架）。

• 您将需要一份HIPAA符合性声明和HIPAA符合性策略（详细说明谁可以访问PH / ePHII，在什么情况下等）。
  此策略的一部分应包括如何验证信息请求者的身份。
  此策略的单独部分应处理如何保护备份，传输中的信息等。

• 从资产法律覆盖的角度来看，您还需要（并且可能已经有）有权访问该信息的任何人签名的保密表-在我公司，每年对您进行绩效审核时都会对它们进行审核和重新签名。
  确保这些范围足够广泛以覆盖ePHI（电子记录）。