1. الغرض

الغرض من هذه السياسة هو وضع مبادئ توجيهية شاملة لحماية سرية معلومات الأعضاء وأمنها في إطار برنامج إدارة الرعاية المعززة (ECM) وبرنامج دعم المجتمع (CS) في كاليفورنيا. تضمن هذه السياسة الامتثال لجميع القوانين الفيدرالية وقوانين الولاية المعمول بها، بما في ذلك قانون قابلية التأمين الصحي والمساءلة (HIPAA) وقانون كاليفورنيا لسرية المعلومات الطبية (CMIA). من خلال الالتزام بهذه المبادئ التوجيهية، نهدف إلى حماية حقوق الخصوصية لأعضائنا والحفاظ على أعلى معايير السلوك الأخلاقي.

2. النطاق

تنطبق هذه السياسة على جميع الأفراد الذين لديهم إمكانية الوصول إلى معلومات الأعضاء السرية ضمن برنامج CalAIM ECM & CS. ويشمل ذلك الموظفين والمتعاقدين والمتطوعين وأي موظفين تابعين. تقع على عاتق كل شخص ضمن هذا النطاق مسؤولية فهم الإجراءات الموضحة في هذه الوثيقة والالتزام بها لحماية سرية معلومات الأعضاء.

3. التعاريف

لأغراض هذه السياسة، تشير “المعلومات السرية للأعضاء” إلى أي معلومات شخصية أو طبية أو مالية يمكن أن تحدد هوية العضو. ويشمل ذلك المعلومات الصحية المحمية (PHI) على النحو المحدد في قانون HIPAA، والتي تتضمن أي معلومات عن الحالة الصحية أو توفير الرعاية الصحية أو دفع تكاليف الرعاية الصحية التي يمكن ربطها بفرد ما. “الموظفون المفوضون” هم الأفراد الذين مُنحوا حق الوصول إلى المعلومات السرية لأنها ضرورية لهم لأداء واجباتهم الوظيفية بفعالية.

4. بيان السياسة العامة

نحن ملتزمون بحماية جميع المعلومات السرية الخاصة بالأعضاء من الوصول غير المصرح به أو استخدامها أو الإفصاح عنها أو تغييرها أو إتلافها. ويخضع الوصول إلى هذه المعلومات لرقابة صارمة ولا يُسمح بالوصول إليها إلا للموظفين المصرح لهم الذين يحتاجون إليها لأداء واجباتهم الموكلة إليهم. يُحظر الإفصاح غير المصرح به عن المعلومات السرية وقد يؤدي إلى اتخاذ إجراءات تأديبية قد تصل إلى إنهاء الخدمة. ومن المتوقع أن يتصرف جميع الموظفين وفقًا لهذه السياسة وأن يلتزموا بأعلى معايير السرية.

5. الإجراءات

5.1 التحكم في الوصول

تتم إدارة الوصول إلى المعلومات السرية للأعضاء بعناية لضمان أن الموظفين المصرح لهم فقط بالوصول إليها. نحن نلتزم بمبدأ الحد الأدنى من الامتيازات، حيث نمنح الموظفين الحد الأدنى من الوصول اللازم لأداء مهامهم الوظيفية. تُطلب بيانات اعتماد تسجيل الدخول الآمنة للوصول إلى الأنظمة الإلكترونية التي تحتوي على معلومات سرية، ويجب عدم مشاركة بيانات الاعتماد هذه أو الكشف عنها للآخرين. تُجرى عمليات تدقيق منتظمة لمراجعة حقوق الوصول وتعديلها، لضمان بقائها مناسبة مع تغير الأدوار والمسؤوليات.

5.2 الأمن المادي

يتم تخزين المستندات المادية التي تحتوي على معلومات سرية في مواقع آمنة، مثل الخزائن المغلقة أو الغرف التي يمكن الوصول إليها بشكل خاضع للرقابة. يجب تأمين محطات العمل عن طريق قفلها عندما تكون غير مراقبة، ويجب وضع شاشات الكمبيوتر لمنع المشاهدة غير المصرح بها من قبل الزوار أو الموظفين الآخرين الذين ليس لديهم حقوق الوصول. يقتصر الوصول إلى المناطق التي يتم فيها تخزين المعلومات السرية على الموظفين المصرح لهم بالدخول، ويجب أن يكون الزوار مصحوبين في جميع الأوقات.

5.3 الأمن الإلكتروني

جميع المعلومات السرية الإلكترونية محمية من خلال التشفير أثناء التخزين والإرسال. يتم الوصول إلى أنظمتنا الإلكترونية من خلال شبكات آمنة ومحمية بكلمة مرور ومحمية بجدران الحماية والحماية من الفيروسات. يُطلب من الموظفين استخدام كلمات مرور قوية وتغييرها بانتظام. يتم إجراء نسخ احتياطية منتظمة للبيانات الإلكترونية وتخزينها بشكل آمن لمنع فقدان البيانات بسبب أعطال النظام أو حالات الطوارئ. يتم تطبيق التحديثات الأمنية والتصحيحات الأمنية على الفور على جميع الأنظمة للحماية من الثغرات الأمنية.

5.4 نقل البيانات

عند نقل المعلومات السرية، يتم استخدام القنوات الآمنة فقط مثل البريد الإلكتروني المشفر أو بروتوكولات نقل الملفات الآمنة (SFTP). يجب على الموظفين التحقق من هوية المستلم قبل إرسال أي معلومات سرية لضمان مشاركتها مع الأفراد المصرح لهم فقط. لا ينبغي تحت أي ظرف من الظروف نقل المعلومات السرية عبر قنوات غير آمنة أو إلى أطراف غير مصرح لها.

5.5 التخلص من البيانات

التخلص السليم من المعلومات السرية أمر ضروري للحفاظ على الأمن. يجب محو البيانات الإلكترونية بشكل دائم باستخدام طرق الحذف الآمنة التي تمنع استردادها، مثل برامج مسح البيانات أو التدمير المادي لوسائط التخزين. يجب إتلاف المستندات المادية التي تحتوي على معلومات سرية من خلال التمزيق أو الحرق لضمان عدم إمكانية إعادة بناء المعلومات أو استرجاعها. يجب الاحتفاظ بسجلات التخلص من البيانات حسب الاقتضاء.

5.6 التدريب والتوعية

يُطلب من جميع الموظفين الجدد المشاركة في التدريب التأهيلي الذي يغطي سياسات السرية والإجراءات والالتزامات القانونية. يضمن هذا التدريب فهم الموظفين لأهمية الحفاظ على السرية والخطوات المحددة التي يجب عليهم اتخاذها لحماية معلومات الأعضاء. يتم توفير التعليم المستمر من خلال دورات تنشيطية سنوية وتحديثات حول أي تغييرات في السياسات أو اللوائح. يتم تشجيع الموظفين على البقاء على اطلاع على أفضل الممارسات في مجال أمن المعلومات. يجب على جميع الموظفين التوقيع على اتفاقيات السرية التي تقر بمسؤولياتهم فيما يتعلق بالتعامل مع المعلومات السرية.

5.7 الإبلاغ عن الحوادث والاستجابة لها

في حالة الاشتباه في حدوث انتهاك فعلي أو فعلي للسرية، يجب على الموظفين إبلاغ مسؤول الامتثال أو السلطة المعينة بالحادثة على الفور. سيتم إجراء تحقيق فوري وشامل لتقييم الانتهاك وتحديد أثره وتنفيذ تدابير للحد من أي مخاطر. قد يشمل ذلك خطوات لاحتواء الاختراق واستعادة البيانات المفقودة ومنع حدوثه في المستقبل. سيتم إخطار الأعضاء المتأثرين والسلطات المعنية على النحو الذي يقتضيه القانون، باتباع البروتوكولات المعمول بها للإخطار بالاختراق. سيتم الاحتفاظ بتوثيق الحادث وإجراءات الاستجابة.

5.8 حقوق الأعضاء

يتمتع الأعضاء بحقوق محددة فيما يتعلق بمعلوماتهم الشخصية. يحق لهم الوصول إلى معلوماتهم الشخصية عند الطلب والحصول على نسخة من سجلاتهم في الوقت المناسب. يمكن للأعضاء طلب تصحيح معلوماتهم في حالة وجود معلومات غير دقيقة، ونحن ملزمون بإجراء التعديلات المناسبة. نوفر للأعضاء إشعارًا بالخصوصية يشرح كيفية استخدام معلوماتهم وحمايتها، مما يضمن الشفافية والامتثال للمتطلبات القانونية. يحق للأعضاء أيضًا طلب فرض قيود على بعض الاستخدامات والإفصاحات الخاصة بمعلوماتهم، وسنقوم بتلبية هذه الطلبات عندما يكون ذلك ممكنًا.

6. الامتثال والإنفاذ

لضمان الالتزام بهذه السياسة، يتم إجراء عمليات تدقيق منتظمة للامتثال. تستعرض عمليات التدقيق هذه سجلات الوصول، وسجلات التدريب، والتدابير الأمنية لتحديد أي مجالات عدم امتثال أو تحسينات محتملة. تُؤخذ انتهاكات هذه السياسة على محمل الجد وقد تؤدي إلى اتخاذ إجراءات تأديبية تصل إلى إنهاء الخدمة. يُتوقع من جميع الموظفين الامتثال لجميع القوانين واللوائح ذات الصلة، وقد يؤدي عدم القيام بذلك أيضًا إلى عواقب قانونية. وتتحمل الإدارة مسؤولية تطبيق هذه السياسة واتخاذ الإجراءات التصحيحية عند حدوث انتهاكات.

7. المسؤوليات

يتحمل جميع الموظفين مسؤولية الحفاظ على سرية معلومات الأعضاء والإبلاغ عن أي انتهاكات أو أنشطة مشبوهة إلى السلطات المختصة. يجب أن يكون الموظفون متيقظين واستباقيين في حماية المعلومات السرية، مع اتباع جميع الإجراءات وأفضل الممارسات المبينة في هذه السياسة. الإدارة مسؤولة عن ضمان فهم أعضاء الفريق لسياسات السرية والالتزام بها، وتوفير الدعم والموارد حسب الحاجة. يشرف مسؤول الامتثال على تنفيذ هذه السياسة، بما في ذلك تطوير برامج التدريب، وإجراء عمليات التدقيق، وإدارة إجراءات الاستجابة للحوادث.

8. المراجع

تسترشد هذه السياسة بالعديد من القوانين واللوائح الرئيسية، بما في ذلك:

• إن قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA), التي تضع معايير وطنية لحماية المعلومات الصحية.
• إن قانون سرية المعلومات الطبية في كاليفورنيا (CMIA), الذي يوفر حماية إضافية للمعلومات الطبية في ولاية كاليفورنيا.
• إن إرشادات برنامج CalAIM ECM & CS, التي تحدد المتطلبات المحددة لإدارة معلومات الأعضاء وحمايتها داخل البرنامج.

9. المراجعة والتنقيح

ستتم مراجعة هذه السياسة سنويًا أو حسب الحاجة بسبب التغييرات التنظيمية أو التعديلات التنظيمية أو أوجه القصور التي تم تحديدها. وستتضمن عملية المراجعة تقييم فعالية الإجراءات الحالية، والنظر في الملاحظات الواردة من الموظفين، والبقاء على اطلاع دائم بالتغييرات في القوانين والتكنولوجيا. سيتم إرسال أي تحديثات أو مراجعات على الفور إلى جميع الموظفين لضمان استمرار الامتثال والوعي. يتم تشجيع الموظفين على تقديم مدخلات حول طرق تحسين السياسة وتنفيذها.

1. الغرض

الغرض من هذه السياسة هو إنشاء عملية شاملة للإشراف على تطبيق سياسات الخصوصية داخل برنامج إدارة الرعاية المعززة والدعم المجتمعي (ECM & CS) في كاليفورنيا. تضمن هذه السياسة أن تظل المنظمة في حالة امتثال كامل لجميع القوانين الفيدرالية وقوانين الولاية المعمول بها، بما في ذلك قانون قابلية التأمين الصحي والمساءلة (HIPAA) ولوائح الخصوصية في ولاية كاليفورنيا. من خلال تنفيذ نهج منظم، نهدف إلى حماية خصوصية وأمن المعلومات الصحية المحمية (PHI) ومعلومات التعريف الشخصية (PII)، وبالتالي الحفاظ على ثقة المستفيدين وأصحاب المصلحة لدينا.

2. النطاق

تنطبق هذه السياسة على جميع الموظفين والمتعاقدين والمتطوعين والشركاء الخارجيين الذين يشاركون في برنامج إدارة المحتوى الإلكتروني وإدارة المحتوى في كاليمار ولديهم إمكانية الوصول إلى المعلومات الصحية الشخصية أو معلومات تحديد الهوية الشخصية. من الضروري أن يفهم كل فرد ضمن هذا النطاق مسؤولياته ويلتزم بالإجراءات الموضحة في هذه السياسة لضمان سرية المعلومات الحساسة وسلامتها وتوافرها.

3. التعاريف

• المعلومات الصحية المحمية (PHI): أي معلومات تتعلق بالحالة الصحية للفرد، أو توفير الرعاية الصحية، أو دفع تكاليف الرعاية الصحية التي يمكن ربطها بشخص معين. يتضمن ذلك السجلات الطبية ومعلومات الفواتير وأي بيانات أخرى تحدد هوية الفرد وتتعلق بصحته.
• معلومات التعريف الشخصية (PII): المعلومات التي يمكن استخدامها لتحديد هوية شخص واحد أو الاتصال به أو تحديد موقعه، أو لتحديد هوية فرد في سياق معين. قد يشمل ذلك الأسماء والعناوين وأرقام الضمان الاجتماعي والبيانات الشخصية الأخرى.
• برنامج CalAIM ECM & CS: برنامج كاليفورنيا لتطوير وابتكار برنامج إدارة الرعاية المعززة والدعم المجتمعي لبرنامج Medi-Cal المعزز لإدارة الرعاية والدعم المجتمعي في كاليفورنيا، والذي تم تصميمه لتوفير خدمات إدارة الرعاية الشاملة للمستفيدين من Medi-Cal، وخاصة ذوي الاحتياجات المعقدة.

4. الأدوار والمسؤوليات

مسؤول الخصوصية مسؤول الخصوصية مسؤول عن الإشراف على الامتثال لجميع قوانين ولوائح الخصوصية ضمن برنامج إدارة المحتوى الإلكتروني وخدمة العملاء. ويشمل ذلك إجراء عمليات تدقيق وتقييمات منتظمة لضمان تنفيذ سياسات الخصوصية بفعالية. يتولى مسؤول الخصوصية إدارة أي حوادث أو انتهاكات للخصوصية وتنسيق التحقيقات وتنفيذ الإجراءات التصحيحية حسب الضرورة. وهو بمثابة نقطة الاتصال الرئيسية لجميع المسائل المتعلقة بالخصوصية وتقديم التوجيه للموظفين والمتعاقدين بشأن أفضل الممارسات.

مدير البرنامج: مدير البرنامج مكلف بتنفيذ سياسات الخصوصية في برنامج إدارة المحتوى الإلكتروني وإدارة المحتوى. ويضمن حصول الموظفين على التدريب والموارد المناسبة لفهم متطلبات الخصوصية والامتثال لها. يتعاون مدير البرنامج مع قسم الخصوصية

موظف لمعالجة أي قضايا عدم الامتثال وتعزيز ثقافة الوعي بالخصوصية في جميع أنحاء البرنامج.

جميع الموظفين والمتعاقدين: يجب على كل فرد لديه إمكانية الوصول إلى معلومات الهوية الشخصية أو معلومات تحديد الهوية الشخصية ضمن برنامج إدارة المحتوى الإلكتروني وإدارة المحتوى الإلكتروني الالتزام الصارم بجميع سياسات وإجراءات الخصوصية. يجب على الموظفين والمتعاقدين الإبلاغ عن أي انتهاكات مشتبه بها أو حالات عدم الامتثال على الفور إلى مسؤول الخصوصية أو السلطة المعينة. وهم مسؤولون عن حماية المعلومات الحساسة واتباع البروتوكولات المعمول بها لاستخدامها والإفصاح عنها والتخلص منها.

5. تفاصيل البوليصة

5.1 تطبيق سياسات الخصوصية

التحكم في الوصول: يقتصر الوصول إلى المعلومات الصحية ومعلومات الهوية الشخصية على الموظفين المصرح لهم الذين يحتاجون إلى هذه المعلومات لأداء واجباتهم الوظيفية. تطبق المنظمة ضوابط وصول قائمة على الأدوار، مما يضمن حصول الأفراد على الحد الأدنى من الوصول الضروري للوفاء بمسؤولياتهم. يُحظر تمامًا الوصول غير المصرح به إلى المعلومات الحساسة أو استخدامها أو الإفصاح عنها بشكل غير مصرح به ويخضع لإجراءات تأديبية.

معالجة البيانات: يجب استخدام المعلومات الصحية ومعلومات تحديد الهوية الشخصية ومعلومات تحديد الهوية الشخصية والإفصاح عنها للأغراض المصرح بها فقط، مثل العلاج والدفع وعمليات الرعاية الصحية، على النحو المحدد في قانون HIPAA. يجب تخزين المعلومات الحساسة بشكل آمن، سواء في شكل مادي أو إلكتروني، ونقلها باستخدام طرق معتمدة تشمل التشفير وقنوات الاتصال الآمنة. يجب على الموظفين التأكد من عدم ترك المعلومات الصحية الشخصية ومعلومات تحديد الهوية الشخصية دون مراقبة أو إمكانية وصول الأفراد غير المصرح لهم إليها، سواء داخل مكان العمل أو خارجه.

اتفاقيات السرية: يُطلب من جميع الموظفين والمتعاقدين التوقيع على اتفاقيات السرية كشرط للتوظيف أو المشاركة. تحدد هذه الاتفاقيات التزامات الفرد بحماية المعلومات الصحية الشخصية ومعلومات تحديد الهوية الشخصية وتحدد عواقب انتهاك هذه الالتزامات. يتم الاحتفاظ باتفاقيات السرية في الملف وتكون قابلة للتنفيذ طوال مدة ارتباط الفرد بالمنظمة.

5.2 عملية الإشراف 5.2

التدريب والتعليم: تفرض المؤسسة تدريبًا شاملاً على الخصوصية لجميع الموظفين الجدد قبل منحهم حق الوصول إلى المعلومات الصحية الشخصية أو معلومات تحديد الهوية الشخصية. يغطي هذا التدريب القوانين واللوائح ذات الصلة والسياسات التنظيمية وأفضل الممارسات لحماية المعلومات الحساسة. بالإضافة إلى ذلك، يتم توفير دورات تدريبية سنوية لتجديد المعلومات لجميع الموظفين لتعزيز فهمهم وإبلاغهم بأي تحديثات أو تغييرات في سياسات الخصوصية.

المراقبة والتدقيق: يتم إجراء عمليات تدقيق منتظمة من قبل مسؤول الخصوصية لتقييم الامتثال لسياسات الخصوصية وتحديد مجالات المخاطر المحتملة. قد تشمل عمليات التدقيق هذه مراجعة سجلات الوصول ومراقبة عمليات نقل البيانات وتقييم فعالية التدابير الأمنية. تستخدم المنظمة أدوات المراقبة للكشف عن الوصول غير المصرح به أو النشاط غير المعتاد الذي قد يشير إلى حدوث خرق أو عدم امتثال.

تقييمات المخاطر: يتم إجراء تقييمات دورية للمخاطر لتحديد نقاط الضعف في التعامل مع المعلومات الصحية ومعلومات تحديد الهوية الشخصية. تقوم هذه التقييمات بتقييم احتمالية حدوث تهديدات مختلفة وتأثيرها المحتمل، مثل الوصول غير المصرح به أو اختراق البيانات أو فقدان سلامة البيانات. بناءً على النتائج، تنفذ المؤسسة استراتيجيات التخفيف من المخاطر، مثل تعزيز الضوابط الأمنية أو تحديث السياسات أو توفير تدريب إضافي للموظفين.

مراجعة السياسات: تتم مراجعة سياسات الخصوصية سنويًا على الأقل للتأكد من مواءمتها مع القوانين واللوائح الحالية وأفضل الممارسات في هذا المجال. قد تتطلب التغييرات في التشريعات أو التكنولوجيا أو العمليات التنظيمية تحديثات للسياسات. تتم الموافقة على أي مراجعات من قبل الإدارة العليا وإبلاغها على الفور إلى جميع الأطراف ذات الصلة، مع توفير تدريب إضافي حسب الضرورة.

5.3 الإبلاغ وإدارة الحوادث

الإبلاغ عن الحوادث: يُطلب من الموظفين والمتعاقدين الإبلاغ عن أي انتهاكات مشتبه بها أو مؤكدة لمعلومات الهوية الشخصية أو معلومات تحديد الهوية الشخصية فور اكتشافها. يجب تقديم التقارير إلى مسؤول الخصوصية باستخدام الإجراءات الموحدة للإبلاغ عن الحوادث في المؤسسة. يمكّن الإبلاغ الفوري المؤسسة من اتخاذ إجراءات سريعة لاحتواء الحادث والتخفيف من أثره.

الاستجابة للحوادث: عند تلقي بلاغ عن اختراق محتمل، يبدأ مسؤول الخصوصية في إجراء تحقيق لتحديد طبيعة ونطاق الحادث. تتبع المنظمة خطة محددة للاستجابة للحادث تتضمن خطوات لاحتواء التهديد والقضاء عليه واستعادة الأنظمة والتواصل مع الأطراف المتضررة. يتم تقديم الإخطارات للأفراد والسلطات التنظيمية وفقًا للمتطلبات القانونية، ويتم توثيق جميع الإجراءات المتخذة بدقة.

5.4 التواصل والتوعية

نشر السياسات: تضمن المنظمة سهولة وصول جميع الموظفين والمتعاقدين إلى سياسات الخصوصية والوثائق ذات الصلة. تتاح السياسات من خلال الشبكة الداخلية للمؤسسة وكتيبات الموظفين وخلال جلسات التوجيه. يتم استخدام الاتصالات المنتظمة، مثل الرسائل الإخبارية أو اجتماعات الفريق، لتعزيز أهمية الخصوصية وتسليط الضوء على أي تحديثات أو تذكيرات.

آليات التغذية الراجعة: يتم إنشاء قنوات اتصال مفتوحة للموظفين لتقديم الملاحظات أو الاقتراحات المتعلقة بممارسات الخصوصية. قد يشمل ذلك استطلاعات الرأي مجهولة المصدر أو صناديق الاقتراحات أو التواصل المباشر مع مسؤول الخصوصية أو الإدارة. تقدر المؤسسة مدخلات الموظفين وتستخدم الملاحظات لتحسين سياسات وإجراءات الخصوصية.

6. الامتثال

التنفيذ: تفرض المنظمة الامتثال لسياسات الخصوصية من خلال الإجراءات التأديبية المعمول بها. قد يؤدي عدم الامتثال إلى اتخاذ إجراءات تأديبية، بما في ذلك إنهاء الخدمة. أما بالنسبة للمتعاقدين والشركاء، فقد تؤدي انتهاكات سياسات الخصوصية إلى إنهاء العقود والإجراءات القانونية المحتملة. تلتزم المنظمة بمساءلة جميع الأفراد عن أفعالهم للحفاظ على ثقافة الامتثال والنزاهة.

الالتزامات القانونية: تلتزم المنظمة بالامتثال لجميع قوانين الخصوصية الفيدرالية وقوانين الولاية المعمول بها، بما في ذلك قانون HIPAA وقانون خصوصية المستهلك في كاليفورنيا (CCPA). إن الامتثال لهذه القوانين ليس شرطًا قانونيًا فحسب، بل هو ضروري أيضًا للحفاظ على ثقة المستفيدين وأصحاب المصلحة لدينا. تتعاون المنظمة بشكل كامل مع الهيئات التنظيمية أثناء مراجعات الامتثال أو التحقيقات وتتخذ إجراءات تصحيحية حسب الضرورة لمعالجة أي نتائج.

7. مراجعة السياسة وتحديثها

ستتم مراجعة هذه السياسة سنويًا أو حسب الحاجة بسبب التغييرات في القوانين أو اللوائح أو المتطلبات التنظيمية. تتضمن عملية المراجعة تقييم فعالية السياسات الحالية، والنظر في الملاحظات الواردة من الموظفين وأصحاب المصلحة، ودمج أي تطورات قانونية أو تكنولوجية جديدة. تتم الموافقة على تحديثات السياسة من قبل الإدارة العليا وإبلاغها لجميع الموظفين والمتعاقدين في الوقت المناسب. يتم توفير التدريب والموارد لضمان فهم الجميع للتغييرات وقدرتهم على تنفيذها بفعالية.

8. المراجع

تستند هذه السياسة إلى القوانين واللوائح والمبادئ التوجيهية التالية وتتوافق معها:

• قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA): التشريعات الفيدرالية التي تنص على أحكام خصوصية البيانات وأمنها لحماية المعلومات الطبية.
• قانون خصوصية المستهلك في كاليفورنيا (CCPA) قانون الولاية الذي يعزز حقوق الخصوصية وحماية المستهلك لسكان كاليفورنيا.
• إرشادات برنامج CalAIM ECM & CS: المبادئ التوجيهية المقدمة من الولاية لتنفيذ وتشغيل برنامج إدارة الرعاية المعززة والدعم المجتمعي.
• سياسات الخصوصية والأمان الخاصة بالمؤسسة: السياسات الداخلية التي تحكم التعامل مع المعلومات الحساسة وتحدد التزام المؤسسة بالخصوصية والأمان.

1. الغرض

الهدف الأساسي من هذه السياسة هو تحديد مسؤوليات جميع الموظفين في حماية المعلومات الصحية المحمية (PHI) ضمن برنامج إدارة الرعاية المحسنة ودعم المجتمع (ECM & CS) في كاليفورنيا. من خلال الالتزام بهذه السياسة، نهدف إلى ضمان الامتثال الكامل لجميع القوانين الفيدرالية وقوانين الولاية ذات الصلة، بما في ذلك قانون قابلية التأمين الصحي والمساءلة (HIPAA) وقانون كاليفورنيا لسرية المعلومات الطبية (CMIA). إن حماية المعلومات الصحية الشخصية ليست مطلبًا قانونيًا فحسب، بل هي أيضًا جانب أساسي للحفاظ على ثقة وثقة الأفراد الذين نخدمهم.

2. النطاق

تنطبق هذه السياسة بشكل شامل على جميع الموظفين والمتعاقدين والمتطوعين وأي أفراد آخرين لديهم إمكانية الوصول إلى المعلومات الصحية الشخصية في برنامج إدارة معلومات الرعاية الصحية الإلكترونية وإدارة المحتوى في كاليم. وبغض النظر عن دورك أو مستواك داخل المؤسسة، إذا كنت تتعامل مع المعلومات الصحية الشخصية، فأنت ملزم بالامتثال للمبادئ التوجيهية والإجراءات الموضحة في هذه السياسة.

3. التعاريف

المعلومات الصحية المحمية (PHI): تشير PHI إلى أي معلومات صحية يمكن تحديدها بشكل فردي يتم نقلها أو الاحتفاظ بها بأي شكل أو وسيط. ويشمل ذلك السجلات الإلكترونية والوثائق الورقية والمراسلات الشفهية التي تحتوي على تفاصيل صحية شخصية.

الموظفون: لأغراض هذه السياسة، يشمل مصطلح “الموظفون” جميع الأفراد الذين يعملون في برنامج إدارة المحتوى الإلكتروني وإدارة المحتوى في كاليموركس. ويشمل ذلك الموظفين بدوام كامل وبدوام جزئي والمتعاقدين المستقلين والمتدربين والمتطوعين الذين قد يتعاملون مع المعلومات الصحية الشخصية.

برنامج CalAIM ECM & CS: صُمم برنامج إدارة الرعاية المعززة والدعم المجتمعي التابع لبرنامج كاليفورنيا للنهوض والابتكار في برنامج Medi-Cal المعزز لإدارة الرعاية والدعم المجتمعي لتوفير خدمات إدارة الرعاية الشاملة للمستفيدين من برنامج Medi-Cal ذوي الاحتياجات الصحية المعقدة. يركز البرنامج على تقديم الرعاية التي تركز على الشخص والتي تعالج كلاً من المحددات الطبية والاجتماعية للصحة.

4. بيان السياسة العامة

يتحمل جميع الموظفين مسؤولية شخصية ومهنية عن حماية سرية وسلامة وتوافر المعلومات الصحية الشخصية (PHI). وهذا يعني منع الوصول أو الاستخدام أو الإفصاح غير المصرح به للمعلومات الصحية الشخصية بجميع أشكالها. يعد الامتثال لهذه السياسة إلزاميًا، ويجب على الموظفين الإلمام بجميع الإجراءات ذات الصلة لضمان التعامل مع المعلومات الصحية الشخصية بشكل مناسب في جميع الأوقات.

5. مسؤوليات الموظفين

5.1 التحكم في الوصول

يُطلب من الموظفين الوصول إلى المعلومات الصحية الشخصية على أساس الحاجة إلى المعرفة فقط، بما يتوافق مباشرةً مع واجباتهم الوظيفية. ويُحظر الوصول إلى المعلومات الصحية الشخصية بما يتجاوز ما هو ضروري لدورك الوظيفي. يجب على كل موظف استخدام بيانات اعتماد فريدة لتعريف المستخدم وكلمات مرور قوية للوصول إلى الأنظمة الإلكترونية التي تحتوي على معلومات صحية شخصية. يُحظر تمامًا مشاركة بيانات اعتماد تسجيل الدخول مع الآخرين. عندما تُترك الأجهزة التي تحتوي على معلومات صحية شخصية PHI دون مراقبة، يجب على الموظفين التأكد من قفلها أو تسجيل الدخول إليها لمنع الوصول غير المصرح به.

5.2 السرية والخصوصية

الحفاظ على سرية المعلومات الصحية الشخصية أمر بالغ الأهمية. يجب ألا يفصح الموظفون عن المعلومات الصحية الشخصية الصحية إلا للأفراد المصرح لهم الذين لديهم حاجة مشروعة للمعلومات في سياق واجباتهم. عند نقل المعلومات الصحية الشخصية الشخصية إلكترونيًا، يجب على الموظفين استخدام طرق اتصال معتمدة وآمنة، مثل البريد الإلكتروني المشفر أو البوابات الآمنة. يجب إجراء المناقشات الشفهية التي تتضمن معلومات PHI في أماكن خاصة لمنع الإفصاحات غير المقصودة. تجنب مناقشة المعلومات الصحية الشخصية الصحية في الأماكن العامة أو أي مكان يمكن أن يسمع فيه أشخاص غير مصرح لهم بالمحادثات.

5.3 استخدام المعلومات الصحية الشخصية والإفصاح عنها

يجوز للموظفين استخدام المعلومات الصحية الشخصية فقط للأغراض التي يسمح بها القانون، مثل العلاج والدفع وعمليات الرعاية الصحية. أي استخدام أو إفصاح عن المعلومات الصحية الشخصية خارج هذه الأغراض المسموح بها يتطلب تصريحًا كتابيًا صريحًا من الفرد. يجب على الموظفين الحصول على هذا التفويض قبل الشروع في مثل هذه الإفصاحات. بالإضافة إلى ذلك، يكون الموظفون مسؤولين عن الاحتفاظ بسجلات دقيقة لأي إفصاحات عن المعلومات الصحية الشخصية كما هو مطلوب بموجب القانون، مما يضمن الشفافية والمساءلة في كيفية التعامل مع المعلومات الصحية الشخصية.

5.4 الضمانات المادية والإلكترونية

تتطلب حماية معلومات الرعاية الصحية الأولية تدابير أمنية مادية وإلكترونية على حد سواء. يجب أن يتم تخزين السجلات المادية التي تحتوي على معلومات صحية شخصية PHI في خزانات أو غرف مقفلة مع التحكم في الوصول إليها لمنع الدخول غير المصرح به. يجب أن يتم تخزين المعلومات الصحية الشخصية الإلكترونية على خوادم آمنة مع بروتوكولات الأمان المناسبة، بما في ذلك التشفير عند الاقتضاء. يجب أن يتأكد الموظفون من أن جميع الأجهزة المستخدمة للوصول إلى المعلومات الصحية الشخصية الرقمية، مثل أجهزة الكمبيوتر والأجهزة المحمولة، مزودة بتدابير أمنية محدثة، بما في ذلك برامج مكافحة الفيروسات والجدران النارية.

5.5 التخلص من البيانات

يعد التخلص السليم من المعلومات الصحية الشخصية أمرًا بالغ الأهمية لمنع الوصول غير المصرح به بعد انتفاء الحاجة إلى المعلومات. يجب تمزيق أو حرق السجلات الورقية التي تحتوي على معلومات PHI قبل التخلص منها. بالنسبة للبيانات الإلكترونية، يجب أن يستخدم الموظفون طرقًا معتمدة لحذف المعلومات الصحية الشخصية الفورية بشكل دائم من الأجهزة قبل التخلص منها أو إعادة استخدامها. مجرد حذف الملفات لا يكفي؛ يجب أن تكون البيانات غير قابلة للاسترجاع.

5.6 الإبلاغ والاستجابة للحوادث

في حالة الاشتباه في حدوث انتهاك فعلي أو فعلي لمعلومات الرعاية الصحية الشخصية، يتعين على الموظفين الإبلاغ عن الحادث على الفور إلى مسؤول الامتثال أو السلطة المعينة. يتيح الإبلاغ الفوري للمؤسسة اتخاذ إجراءات سريعة للتخفيف من أي ضرر محتمل. يجب على الموظفين التعاون بشكل كامل مع أي تحقيقات تتعلق بالانتهاكات أو الخروقات المحتملة، وتقديم معلومات دقيقة وكاملة حسب الطلب.

5.7 التدريب والامتثال

يُطلب من جميع الموظفين إكمال التدريب الإلزامي على حماية معلومات الرعاية الصحية الأولية والامتثال لقانون HIPAA على أساس سنوي. يهدف هذا التدريب إلى إطلاع الموظفين على أفضل الممارسات والمتطلبات القانونية وأي تحديثات للسياسات والإجراءات. من المتوقع أيضًا أن يظل الموظفون على اطلاع دائم بالتغييرات التي تطرأ على القوانين واللوائح التي قد تؤثر على كيفية التعامل مع المعلومات الصحية الشخصية داخل المؤسسة.

5.8 عقوبات عدم الامتثال

قد يترتب على عدم الامتثال لهذه السياسة عواقب وخيمة. قد يواجه الموظفون الذين ينتهكون هذه السياسة إجراءات تأديبية، والتي يمكن أن تشمل تحذيرات شفهية أو مكتوبة أو الإيقاف عن العمل أو إنهاء الخدمة، اعتمادًا على خطورة الانتهاك. بالإضافة إلى ذلك، يمكن أن يؤدي الإفصاح غير المصرح به عن المعلومات الصحية الشخصية إلى عقوبات قانونية، بما في ذلك الغرامات والتهم الجنائية. من الضروري أن يفهم الموظفون خطورة هذه المسؤوليات والتداعيات المحتملة لعدم الامتثال.

6. الإجراءات

6.1 خطة الاستجابة للحوادث 6.1

في حالة حدوث خرق لمعلومات الرعاية الصحية الشخصية، يجب على الموظفين اتباع خطة الاستجابة للحوادث الخاصة بالمؤسسة. يتضمن ذلك الإبلاغ الفوري واحتواء الاختراق إن أمكن وتوثيق جميع التفاصيل ذات الصلة. تحدد خطة الاستجابة للحادث الخطوات المحددة التي يجب اتخاذها لمعالجة الاختراق، بما في ذلك الإخطارات للأفراد المتأثرين والهيئات التنظيمية كما هو مطلوب بموجب القانون.

6.2 التدقيق والمراقبة

تجري المنظمة عمليات تدقيق منتظمة لضمان الامتثال لسياسات حماية المعلومات الصحية الشخصية. قد يُطلب من الموظفين المشاركة في عمليات التدقيق هذه من خلال توفير إمكانية الوصول إلى السجلات أو الأنظمة والإجابة عن أسئلة حول ممارساتهم. تساعد عمليات التدقيق في تحديد نقاط الضعف المحتملة في التدابير الأمنية وتوفير فرص للتحسين.

6.3 استخدام الأجهزة الشخصية

يجب على الموظفين الذين يرغبون في استخدام الأجهزة الشخصية للوصول إلى المعلومات الصحية الشخصية الحصول على تصريح مسبق من المؤسسة. يجب أن تفي الأجهزة الشخصية المصرح بها بمعايير الأمان الخاصة بالمؤسسة، والتي قد تشمل تثبيت برامج أمان محددة، وتمكين تشفير الجهاز، والموافقة على إمكانيات المسح عن بُعد في حالة فقدان الجهاز أو سرقته.

7. الامتثال والإنفاذ

للحفاظ على أعلى معايير حماية المعلومات الصحية الشخصية، ستجري المنظمة عمليات فحص وتقييم منتظمة للامتثال. يُتوقع من الموظفين التعاون الكامل مع هذه الجهود. ستتم معالجة أي انتهاكات لهذه السياسة على الفور وفقًا للإجراءات التأديبية للمؤسسة. يتم اتخاذ إجراءات الإنفاذ ليس فقط لتصحيح السلوك الفردي ولكن أيضًا للحفاظ على نزاهة التزام المنظمة بحماية المعلومات الصحية الشخصية.

8. المراجعة والتنقيح

ستخضع هذه السياسة لمراجعة شاملة على أساس سنوي لضمان مواكبتها للتغييرات في القوانين واللوائح والممارسات التنظيمية. يتم تشجيع الموظفين على تقديم ملاحظاتهم على السياسة واقتراح التحسينات. سيتم إبلاغ جميع الموظفين بالتحديثات التي تطرأ على هذه السياسة، وهم مسؤولون عن الإلمام بأي تغييرات.

1. الغرض

الغرض من هذه السياسة هو وضع مبادئ توجيهية وإجراءات شاملة لمعالجة ومعاقبة الإهمال في استخدام المعلومات الصحية المحمية (PHI) أو إساءة استخدامها (PHI) في برنامج إدارة الرعاية المحسنة ودعم المجتمع (ECM & CS) في كاليفورنيا. تهدف هذه السياسة إلى ضمان الامتثال الصارم لجميع القوانين الفيدرالية وقوانين الولاية المعمول بها، بما في ذلك قانون قابلية التأمين الصحي والمساءلة (HIPAA) وقانون كاليفورنيا لسرية المعلومات الطبية (CMIA). ومن خلال تحديد التوقعات والعواقب بوضوح، فإننا نسعى إلى حماية سرية وسلامة وأمن المعلومات الصحية الشخصية (PHI)، وبالتالي الحفاظ على ثقة الأفراد الذين نخدمهم.

2. النطاق

تنطبق هذه السياسة على جميع الأفراد الذين لديهم إمكانية الوصول إلى المعلومات الصحية الشخصية ضمن برنامج CalAIM ECM & CS. وهذا يشمل، على سبيل المثال لا الحصر، الموظفين والمتعاقدين والمتطوعين والمتدربين وشركاء الأعمال. وتشمل أي شخص يتفاعل مع المعلومات الصحية الشخصية بأي صفة، سواء من خلال الرعاية المباشرة للمرضى أو الوظائف الإدارية أو الخدمات الداعمة.

3. التعاريف

المعلومات الصحية المحمية (PHI): يشير إلى أي معلومات، بما في ذلك البيانات الديموغرافية، التي تتعلق بالحالة الصحية البدنية أو العقلية للفرد في الماضي أو الحاضر أو المستقبل، أو توفير الرعاية الصحية، أو دفع تكاليف خدمات الرعاية الصحية، والتي يمكن استخدامها لتحديد هوية الفرد. يمكن أن توجد المعلومات الصحية الشخصية في أشكال مختلفة، مثل السجلات الإلكترونية أو المستندات الورقية أو الاتصالات الشفهية.

الإهمال في الاستخدام أو إساءة الاستخدام: يصف أي فعل أو تقاعس يدل على الفشل في ممارسة المستوى المناسب من الرعاية في التعامل مع المعلومات الصحية الشخصية، مما يؤدي إلى الوصول غير المصرح به أو الإفصاح أو التغيير أو التدمير لهذه المعلومات. ويشمل ذلك كلاً من الأفعال المتعمدة وغير المتعمدة التي تعرض سرية وأمن المعلومات الصحية الشخصية للخطر.

برنامج CalAIM ECM & CS: يرمز إلى برنامج كاليفورنيا لتطوير وابتكار برنامج إدارة الرعاية المعززة والدعم المجتمعي لبرنامج ميدي-كال المعزز لإدارة الرعاية والدعم المجتمعي. وهي مبادرة من الولاية تهدف إلى توفير خدمات إدارة الرعاية الشاملة للمستفيدين من برنامج Medi-Cal ذوي الاحتياجات المعقدة، مع التركيز على الرعاية الشخصية الكاملة وتحسين النتائج الصحية.

4. بيان السياسة العامة

من المتوقع أن يتعامل جميع الموظفين المنتسبين إلى برنامج إدارة المحتوى المؤسسي وإدارة المحتوى في كاليفورنيا (CalAIM) مع المعلومات الصحية الشخصية بأقصى درجات السرية والاحترافية. يُحظر تمامًا استخدام المعلومات الصحية الشخصية أو إساءة استخدامها بإهمال أو إساءة استخدامها. ستؤدي أي انتهاكات لهذه السياسة إلى اتخاذ إجراءات تأديبية قد تشمل إعادة التدريب أو الإيقاف عن العمل أو إنهاء التوظيف أو العلاقات التعاقدية والعواقب القانونية المحتملة. تلتزم المنظمة بتطبيق هذه السياسة بشكل متسق وعادل لحماية حقوق وخصوصية الأفراد والامتثال للالتزامات القانونية والأخلاقية.

5. الإجراءات

5.1. الوصول إلى المعلومات الصحية الشخصية واستخدامها

يُصرح للموظفين بالوصول إلى المعلومات الصحية الشخصية على أساس الحاجة إلى المعرفة فقط على النحو المطلوب لأداء واجباتهم الوظيفية المحددة. عند التعامل مع المعلومات الصحية الشخصية، يجب على الأفراد استخدام طرق آمنة للنقل والتخزين، مثل رسائل البريد الإلكتروني المشفرة، وعمليات النقل الآمنة للملفات، وخزائن الملفات المغلقة للوثائق المادية. قبل الإفصاح عن المعلومات الصحية الشخصية، يجب على الموظفين التحقق من هوية وسلطة الطرف الطالب للتأكد من أن لديه حقوق وصول مشروعة. يجب أن تكون جميع الأجهزة والأنظمة الإلكترونية المستخدمة للوصول إلى المعلومات الصحية الشخصية PHI محمية بكلمة مرور وتتوافق مع بروتوكولات الأمن السيبراني للمؤسسة.

5.2. الإبلاغ عن الانتهاكات

إذا اشتبه أحد الأفراد أو علم بأي سوء استخدام أو وصول غير مصرح به أو خرق أمني ينطوي على معلومات صحية رقمية PHI، فإنه ملزم بالإبلاغ عنه فورًا إلى مسؤول الامتثال أو السلطة المعينة. يجب أن يتضمن التقرير جميع التفاصيل ذات الصلة لتسهيل إجراء تحقيق شامل. يُتوقع من الموظفين التعاون الكامل مع أي تحقيقات داخلية أو خارجية، وتقديم معلومات صادقة وكاملة للمساعدة في حل المشكلة على الفور.

5.3. التدريب

يجب على جميع الموظفين إكمال التدريب الإلزامي على التعامل مع المعلومات الصحية الشخصية وسياسات الخصوصية وبروتوكولات الأمان عند التعيين وبشكل سنوي بعد ذلك. سيغطي التدريب موضوعات مثل التعرف على المعلومات الصحية الشخصية، وفهم قوانين الخصوصية، والطرق السليمة للتعامل مع المعلومات الصحية الشخصية والتخلص منها، وإجراءات الإبلاغ عن الانتهاكات. يتحمل الموظفون أيضًا مسؤولية البقاء على علم بأي تحديثات أو تغييرات في القوانين أو اللوائح أو السياسات التنظيمية ذات الصلة التي قد تؤثر على واجباتهم.

6. العقوبات والإجراءات التأديبية

سيتم تحديد عقوبات الإهمال في استخدام أو إساءة استخدام المعلومات الصحية الشخصية بناءً على خطورة الانتهاك والقصد منه والظروف المحيطة به. تحتفظ المنظمة بالحق في النظر في تاريخ امتثال الفرد عند اتخاذ قرار بشأن الإجراءات التأديبية المناسبة.

6.1. الانتهاكات الطفيفة

الانتهاكات الطفيفة هي إجراءات غير مقصودة قد لا تؤدي إلى ضرر كبير ولكنها تشير إلى وجود هفوة في اتباع الإجراءات السليمة. وتشمل الأمثلة على ذلك الاطلاع عن غير قصد على معلومات صحية شخصية لا تتعلق بمهام الوظيفة أو نسيان تسجيل الخروج من محطة العمل، مما قد يعرض المعلومات لأفراد غير مصرح لهم.

• المخالفة الأولى سيتلقى الفرد إنذارًا شفهيًا وسيُطلب منه الخضوع لإعادة تدريب فورية على سياسات وإجراءات المعلومات الصحية الشخصية.
• المخالفة الثانية سيتم إصدار تحذير مكتوب، وسيتم إلزام الموظف بالمشاركة في دورات تدريبية إضافية تركز على ممارسات الخصوصية والأمان.
• الجرائم اللاحقة: قد تؤدي المخالفات الأخرى إلى الإيقاف عن العمل بدون أجر أو إنهاء الخدمة، اعتمادًا على الظروف وسجل الأداء العام للفرد.

6.2. الانتهاكات المعتدلة

تتضمن الانتهاكات المعتدلة الإجراءات التي يمكن أن تعرض معلومات الرعاية الصحية الشخصية الصحية لأطراف غير مصرح لها أو تُظهر تجاهلًا للبروتوكولات المعمول بها. وتشمل الأمثلة على ذلك مشاركة المعلومات الصحية الشخصية مع موظفين غير مصرح لهم أو ترك المعلومات الصحية الشخصية المادية أو الإلكترونية غير مؤمنة.

• المخالفة الأولى سيتلقى الفرد إنذارًا كتابيًا وسيُطلب منه حضور جلسات إعادة التدريب الإلزامية. وقد يتم النظر في الإيقاف عن العمل حسب درجة الخطورة.
• المخالفة الثانية قد يواجه الموظف الإيقاف عن العمل بدون أجر، وسيتم إجراء إعادة تقييم لدوره وامتيازات الوصول لتحديد ما إذا كان من الضروري إجراء تعديلات لمنع وقوع حوادث مستقبلية.
• الجرائم اللاحقة: قد يحدث إنهاء للتوظيف أو الاتفاقات التعاقدية، إلى جانب إمكانية الإبلاغ عن الفرد إلى مجالس الترخيص المهني أو الهيئات التنظيمية لاتخاذ مزيد من الإجراءات.

6.3. الانتهاكات الجسيمة

الانتهاكات الجسيمة هي الأفعال المتعمدة أو الإهمال المتكرر الذي يؤدي إلى ضرر كبير أو يشكل مخاطر كبيرة على حقوق الخصوصية للأفراد. وتشمل الأمثلة على ذلك الإفصاح المتعمد عن المعلومات الصحية الشخصية (PHI) لتحقيق مكاسب شخصية، أو النية الخبيثة، أو الفشل في تصحيح السلوك المهمل بعد تلقي تحذيرات مسبقة.

• الإجراءات الفورية: سيواجه الفرد إنهاء فوري للتوظيف أو العلاقات التعاقدية. وسيتم إلغاء الوصول إلى جميع الأنظمة والمرافق التنظيمية على الفور.
• التبعات القانونية: ستقوم المنظمة بالإبلاغ عن الحادث إلى الهيئات التنظيمية المناسبة، مثل مكتب الحقوق المدنية التابع لوزارة الصحة والخدمات الإنسانية (HHS)، وقد ترفع دعاوى مدنية أو جنائية ضد الفرد. قد تتعاون المنظمة أيضًا مع وكالات إنفاذ القانون في أي تحقيقات أو إجراءات قانونية.

7. المسؤوليات

7.1. الموظفون والمتعاقدون

جميع الموظفين والمتعاقدين مسؤولون عن الالتزام الصارم بسياسات وإجراءات المعلومات الصحية الشخصية. وهذا يشمل حماية المعلومات الصحية الشخصية بشكل فعال، واستخدامها بشكل مناسب، ومنع الوصول أو الإفصاح غير المصرح به. يجب على الأفراد الإبلاغ عن أي انتهاكات مشتبه بها أو فعلية على الفور والمشاركة بشكل كامل في جميع الأنشطة التدريبية والتعليمية المطلوبة للبقاء متوافقين مع القوانين والمعايير التنظيمية الحالية.

7.2. الإدارة

يتحمل المديرون والمشرفون مسؤولية تطبيق هذه السياسة بشكل متسق ونزيه. يجب عليهم التأكد من فهم فرقهم لأهمية أمن المعلومات الصحية الشخصية وتوفير الموارد والدعم اللازمين للامتثال. يجب على الإدارة مراقبة التزام موظفيها بالسياسات، ومعالجة أي مشاكل بشكل استباقي، واتخاذ الإجراءات التأديبية المناسبة عند حدوث انتهاكات.

7.3. موظف الامتثال

يشرف مسؤول الامتثال على تنفيذ هذه السياسة وإنفاذها. ويشمل هذا الدور إجراء عمليات تدقيق منتظمة، والتحقيق في الانتهاكات المبلغ عنها، والاحتفاظ بسجلات للحوادث والإجراءات التصحيحية، وتحديث السياسات حسب الضرورة. يعمل مسؤول الامتثال كمصدر للموظفين للإجابة عن الأسئلة أو المخاوف المتعلقة بالتعامل مع المعلومات الصحية الشخصية ومسائل الامتثال.

8. المراقبة والتدقيق

لضمان الامتثال المستمر لإجراءات التعامل مع معلومات الرعاية الصحية الشخصية، ستجري المؤسسة أنشطة مراقبة وتدقيق منتظمة. وقد تشمل مراجعة سجلات الوصول وتقييم التدابير الأمنية وتقييم الامتثال لمتطلبات التدريب. ستتم معالجة أي تناقضات أو مجالات عدم امتثال يتم تحديدها أثناء عمليات التدقيق على الفور. قد تتضمن الإجراءات التصحيحية تدريبًا إضافيًا أو مراجعات للسياسة أو إجراءات تأديبية وفقًا لهذه السياسة.

9. المراجع

تستند هذه السياسة إلى القوانين والمبادئ التوجيهية التالية وتتوافق معها:

• قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) لعام 1996: القانون الفيدرالي الذي يضع معايير وطنية لحماية السجلات الطبية للأفراد وغيرها من المعلومات الصحية الشخصية.
• قانون كاليفورنيا لسرية المعلومات الطبية (CMIA): قانون الولاية الذي يوفر حماية إضافية لسرية المعلومات الطبية في كاليفورنيا.
• إرشادات برنامج CalAIM ECM & CS: المبادئ التوجيهية الخاصة بالولاية التي تحدد متطلبات وتوقعات برنامج إدارة الرعاية المعززة والدعم المجتمعي في إطار برنامج كاليفورنيا لإدارة الرعاية المعززة والدعم المجتمعي.

10. مراجعة السياسات

ستخضع هذه السياسة لمراجعة رسمية على أساس سنوي أو حسب الحاجة بسبب التغييرات في القوانين أو اللوائح أو الممارسات التنظيمية ذات الصلة. ستشمل عملية المراجعة تقييم فعالية السياسة، ودمج التعليقات الواردة من أصحاب المصلحة، وإجراء التحديثات اللازمة لضمان استمرار الامتثال وحماية المعلومات الصحية الشخصية.

1. الغرض

تُعد سرية معلومات المشاركين عنصرًا أساسيًا في برنامج إدارة الرعاية المعززة والدعم المجتمعي (ECM & CS) في كاليم. وُضعت هذه السياسة لتوفير مبادئ توجيهية وإجراءات واضحة للإبلاغ الفوري عن أي انتهاكات مشتبه بها أو فعلية للسرية. ومن خلال الالتزام بهذه السياسة، فإننا نضمن الامتثال للمتطلبات القانونية، وحماية معلومات المشاركين، والحفاظ على الثقة التي وضعها فينا الأفراد والمجتمعات التي نخدمها.

2. النطاق

تنطبق هذه السياسة على جميع الأفراد المشاركين في برنامج CalAIM ECM & CS، بما في ذلك الموظفين والمتعاقدين والمتطوعين والشركاء الذين يتعاملون مع معلومات المشاركين السرية. وهي تشمل جميع أشكال المعلومات الصحية المحمية (PHI) ومعلومات التعريف الشخصية (PII)، سواء تم تخزينها أو نقلها إلكترونيًا أو ورقيًا أو تم نقلها شفهيًا.

3. التعاريف

خرق السرية: يشير خرق السرية إلى أي اكتساب أو وصول أو استخدام أو إفشاء غير مصرح به للمعلومات الصحية الشخصية أو معلومات تحديد الهوية الشخصية أو معلومات تحديد الهوية الشخصية التي تعرض أمن أو خصوصية هذه المعلومات للخطر. ويشمل ذلك الحوادث التي يتم فيها الوصول إلى المعلومات من قبل الأفراد دون تصريح مناسب أو استخدامها لأغراض لا تسمح بها السياسات التنظيمية أو القوانين المعمول بها.

المعلومات الصحية المحمية (PHI): تتضمن المعلومات الصحية الشخصية أي معلومات عن الحالة الصحية للفرد أو توفير الرعاية الصحية أو دفع تكاليف الرعاية الصحية التي يمكن ربطها بشخص معين. ويشمل ذلك مجموعة واسعة من البيانات، مثل السجلات الطبية والتاريخ الصحي ونتائج الاختبارات ومعلومات التأمين.

معلومات التعريف الشخصية (PII): تشير معلومات تحديد الهوية الشخصية إلى أي بيانات يمكن أن تحدد هوية شخص واحد أو الاتصال به أو تحديد موقعه، أو يمكن استخدامها مع مصادر أخرى لتحديد هوية فرد واحد. ومن الأمثلة على ذلك الأسماء والعناوين وأرقام الضمان الاجتماعي وتواريخ الميلاد.

4. بيان السياسة العامة

يلتزم جميع الموظفين بالحفاظ على أعلى معايير السرية فيما يتعلق بالمعلومات الخاصة بالمشاركين. في حالة الاشتباه في حدوث انتهاك فعلي أو فعلي للسرية، يجب الإبلاغ عن الحادث فور اكتشافه. يعد الإبلاغ في الوقت المناسب أمرًا ضروريًا لبدء جهود التخفيف الفورية والامتثال للالتزامات القانونية وتقليل الضرر المحتمل للأفراد المتضررين. قد يؤدي التأخر في الإبلاغ إلى تفاقم أثر الانتهاك ويؤدي إلى عدم الامتثال للمتطلبات التنظيمية.

5. إجراءات الإبلاغ عن الانتهاكات

الإجراء الفوري عند الاكتشاف

عند الاشتباه في حدوث خرق أو تأكيد حدوثه، يجب على الفرد الذي يصبح على علم بالحادث اتخاذ خطوات فورية للإبلاغ عنه. يجب أن تكون نقطة الاتصال الأولى هي المشرف المباشر عليه. يجب أن يتم الإبلاغ شفهيًا وفي أقرب وقت ممكن لضمان اتخاذ إجراء سريع. إذا كان المشرف غير متاح، أو إذا كان الفرد يعتقد أنه من غير المناسب إبلاغه، فيجب الاتصال مباشرةً بمسؤول الخصوصية المعين أو إدارة الامتثال.

توفير معلومات مفصلة

عند الإبلاغ عن الانتهاك، يجب على الفرد تقديم تفاصيل شاملة لتسهيل الاستجابة الفعالة. ويشمل ذلك:

• وصف الحادث: سرد واضح وموجز لما حدث، بما في ذلك كيفية ووقت اكتشاف الخرق.
• أنواع المعلومات المخترقة: تحديد الأنواع المحددة من المعلومات الصحية الشخصية أو معلومات تحديد الهوية الشخصية التي كانت متضمنة في الاختراق.
• الأفراد المتضررون: معلومات حول عدد وهويات الأفراد الذين تم اختراق معلوماتهم إذا كانت معروفة.
• الإجراءات الفورية المتخذة: يجب وصف أي خطوات تم اتخاذها بالفعل لاحتواء الخرق أو التخفيف من حدته.

استكمال تقرير الحادث

بعد الإبلاغ الشفهي الأولي، يجب أن يقوم الفرد باستكمال نموذج تقرير رسمي عن الحادث يقدمه قسم الامتثال. يجب أن تسجل هذه الوثيقة جميع التفاصيل المعروفة عن الانتهاك وأن يتم تقديمها على الفور. التوثيق الدقيق أمر بالغ الأهمية للامتثال القانوني ولتوجيه التحقيق والاستجابة اللاحقة.

الحفاظ على السرية أثناء إعداد التقارير

طوال عملية الإبلاغ، من الضروري الحفاظ على السرية التامة. يجب عدم الكشف عن تفاصيل الاختراق لأفراد غير مصرح لهم. يمكن أن تؤدي مناقشة الحادث خارج قنوات الإبلاغ والتحقيق الرسمية إلى مزيد من الإفصاحات غير المصرح بها وقد تضر بنزاهة التحقيق.

6. عملية التحقيق

بدء التحقيق

يكون مسؤول الخصوصية مسؤولاً عن بدء التحقيق في غضون 24 ساعة من الإبلاغ عن الخرق. يهدف التحقيق إلى تحديد نطاق الخرق وسببه وتأثيره المحتمل. كما سيُقيّم أيضًا ما إذا كان الخرق ناتجًا عن مشاكل منهجية أو حوادث معزولة.

التعاون والدعم

يُتوقع من جميع الموظفين التعاون الكامل مع التحقيق. ويشمل ذلك تقديم معلومات إضافية حسب الطلب، والمشاركة في المقابلات والمساعدة في تحديد العوامل التي ساهمت في حدوث الانتهاك. التعاون ضروري لإجراء تحقيق شامل وفعال.

التقييم والتوثيق

سيُقيّم التحقيق مدى الاختراق، بما في ذلك عدد الأفراد المتأثرين وحساسية المعلومات المخترقة. سيتم توثيق جميع النتائج بدقة، وسيتم الاحتفاظ بالوثائق بشكل آمن لحماية السرية والامتثال للمتطلبات القانونية.

7. التخفيف والإخطار

تدابير الاحتواء الفوري

عند التأكد من وجود اختراق، سيتم اتخاذ خطوات فورية لاحتواء الحادث ومنع المزيد من الوصول أو الكشف غير المصرح به. قد يتضمن ذلك تأمين السجلات المادية أو تعطيل حسابات المستخدمين المخترقة أو غيرها من الإجراءات المناسبة لطبيعة الاختراق.

الامتثال القانوني والإشعارات

ستمتثل المنظمة لجميع الالتزامات القانونية المتعلقة بإخطارات الاختراق. ويشمل ذلك:

• إخطار الأفراد المتضررين: سيتم إخطار الأفراد الذين تعرضت معلوماتهم للاختراق في الوقت المناسب، كما يقتضي القانون. ستتضمن الإخطارات معلومات حول الاختراق، والخطوات التي يمكن للفرد اتخاذها لحماية نفسه، وما تقوم به المؤسسة لمعالجة الموقف.
• تقديم التقارير إلى الهيئات التنظيمية: ستقوم المنظمة بالإبلاغ عن الاختراق إلى الوكالات التنظيمية ذات الصلة، مثل وزارة الصحة والخدمات الإنسانية (HHS) بموجب لوائح قانون HIPAA، إذا لزم الأمر.
• إشراك جهات إنفاذ القانون: في حالة الاشتباه في وجود نشاط إجرامي، سيتم إخطار وكالات إنفاذ القانون المختصة.

الإجراءات التصحيحية

استنادًا إلى نتائج التحقيق، ستقوم المنظمة بتنفيذ إجراءات تصحيحية لمنع حدوث انتهاكات مستقبلية. وقد يشمل ذلك مراجعة السياسات والإجراءات، أو تعزيز التدابير الأمنية، أو توفير تدريب إضافي للموظفين، أو غير ذلك من التدابير المناسبة.

8. التدريب والتعليم

برامج التدريب الإلزامية

يتعين على جميع الموظفين المشاركة في تدريب سنوي على سياسات السرية وأمن البيانات. وسيغطي التدريب ما يلي:

• فهم المعلومات الصحية الشخصية ومعلومات تحديد الهوية الشخصية: تعريفات وأمثلة لضمان وضوح ما يشكل معلومات سرية.
• المتطلبات القانونية: نظرة عامة على القوانين واللوائح التي تحكم السرية، مثل قانون HIPAA والقوانين الخاصة بالولاية.
• تحديد الانتهاكات والإبلاغ عنها: إرشادات حول التعرف على الانتهاكات المحتملة وإجراءات الإبلاغ عنها.
• أفضل الممارسات لأمن البيانات: استراتيجيات حماية المعلومات السرية في أنشطة العمل اليومية.

التعليم المستمر

بالإضافة إلى التدريب السنوي، ستوفر المؤسسة التعليم المستمر من خلال التحديثات أو النشرات الإخبارية أو الاجتماعات لإبقاء الموظفين على علم بالتغييرات في السياسات أو التهديدات الناشئة أو المتطلبات التنظيمية الجديدة.

9. سياسة عدم الانتقام

حماية الإبلاغ عن حسن النية

تلتزم المنظمة بتعزيز بيئة يمكن فيها للموظفين الإبلاغ عن الانتهاكات دون خوف من الانتقام. يتمتع الأفراد الذين يبلغون عن الانتهاكات المشتبه فيها أو الفعلية بحسن نية بالحماية بموجب هذه السياسة. ويُحظر تمامًا الانتقام من أي فرد بسبب الإبلاغ عن أي انتهاك ولن يتم التسامح معه.

عواقب الانتقام

سيخضع أي عمل انتقامي لإجراءات تأديبية، تصل إلى حد إنهاء العمل أو الاتفاقات التعاقدية. يُشجَّع الموظفون على إبلاغ إدارة الامتثال أو الموارد البشرية عن أي مخاوف بشأن الانتقام.

10. الإجراءات التأديبية

المساءلة عن عدم الامتثال

قد يواجه الموظفون الذين لا يمتثلون لهذه السياسة إجراءات تأديبية. ويشمل عدم الامتثال عدم الإبلاغ عن المخالفات أو إساءة التعامل مع المعلومات السرية أو عرقلة التحقيق.

نطاق التدابير التأديبية

ستكون الإجراءات التأديبية متناسبة مع خطورة الانتهاك وقد تشمل:

• التحذيرات الشفهية أو الكتابية: بالنسبة للمخالفات البسيطة أو التي تُرتكب لأول مرة.
• إعادة التدريب الإلزامي: معالجة الثغرات في المعرفة أو الفهم.
• التعليق: الإعفاء المؤقت من المهام في انتظار إجراء مزيد من التحقيقات.
• الإنهاء: بالنسبة للانتهاكات الجسيمة أو المتكررة.
• الإجراءات القانونية: في الحالات التي تنطوي على إهمال جسيم أو سوء سلوك متعمد أو انتهاكات للقانون، قد يتم الشروع في إجراءات قانونية.

11. مراجعة السياسات والتحديثات

عملية المراجعة الدورية

ستخضع هذه السياسة لمراجعة رسمية مرة واحدة على الأقل سنويًا أو أكثر إذا اقتضت التغييرات في القوانين أو اللوائح أو الممارسات التنظيمية. ستعمل المراجعة على تقييم فعالية السياسة وإدراج أي تحديثات ضرورية.

الإبلاغ عن التغييرات

سيتم إبلاغ جميع الموظفين بأي مراجعات للسياسة على الفور. وسيتم توزيع التحديثات من خلال قنوات الاتصال الرسمية، وقد يتم توفير دورات تدريبية أو إعلامية إضافية لضمان الفهم والامتثال.

1. الغرض

الغرض من هذه السياسة هو وضع مبادئ توجيهية وإجراءات شاملة لحماية الوصول المادي إلى المرافق المشاركة في برنامج كاليفورنيا للتقدم والابتكار في برنامج إدارة الرعاية المعززة والدعم المجتمعي (ECM & CS). تُعد حماية الوصول المادي أمرًا بالغ الأهمية لضمان سلامة الموظفين والعملاء والزوار، بالإضافة إلى تأمين المعلومات الحساسة والأصول التنظيمية. تهدف هذه السياسة إلى التخفيف من المخاطر المرتبطة بالدخول غير المصرح به والسرقة والانتهاكات المحتملة التي يمكن أن تعرض سلامة عملياتنا والامتثال للمتطلبات القانونية والتنظيمية للخطر.

2. النطاق

تنطبق هذه السياسة على جميع الأفراد الذين يدخلون إلى المرافق المادية لـ [اسم الشركة] حيث تُجرى أنشطة برنامج إدارة المحتوى المؤسسي وإدارة المحتوى في كاليمارشالإدارة البيئية. ويشمل ذلك الموظفين على جميع المستويات والمقاولين والبائعين والعمال المؤقتين والمتدربين والمتطوعين والزوار. تشمل هذه السياسة جميع المواقع المادية التي تملكها الشركة أو تستأجرها أو تديرها بما في ذلك المكاتب والعيادات ومراكز البيانات وأي مواقع خارج الموقع حيث يتم تنفيذ أعمال الشركة.

3. التعاريف

• الموظفون المعتمدون: الأفراد الذين تم منحهم الإذن بالوصول إلى مناطق محددة من المنشأة بناءً على مسؤولياتهم الوظيفية وبعد عمليات الموافقة المناسبة.
• المناطق الحساسة: المواقع داخل المنشأة التي تضم معلومات سرية أو أنظمة حساسة أو تجري عمليات محظورة. ومن الأمثلة على ذلك غرف الخوادم ومناطق تخزين السجلات والمكاتب التنفيذية.
• ضوابط الوصول المادي: التدابير الأمنية مثل الأقفال، وأنظمة التحكم الإلكتروني في الدخول، والماسحات الضوئية البيومترية، وموظفي الأمن، ومعدات المراقبة المستخدمة لتنظيم الدخول إلى المنشأة والخروج منها.

4. تفاصيل البوليصة

4.1 ضوابط الأمن المادي

يجب تأمين جميع نقاط الدخول إلى المنشأة لمنع الدخول غير المصرح به. ويشمل ذلك تركيب وصيانة الحواجز المادية مثل الأبواب المغلقة والبوابات الأمنية والبوابات الدوارة. يجب أن تستخدم المنشأة أنظمة متطورة للتحكم في الدخول، بما في ذلك بطاقات الدخول، أو الماسحات الضوئية البيومترية، أو أرقام التعريف الشخصية (PIN)، للتحقق من هوية الأفراد الذين يسعون للدخول، خاصة في المناطق الحساسة.

يجب وضع لافتات واضحة وبارزة في جميع المناطق المحظورة تشير إلى أن الدخول مقصور على الموظفين المصرح لهم فقط وتحدد متطلبات الدخول. يجب الحفاظ على إضاءة كافية حول المحيط الخارجي وفي جميع المداخل لتعزيز الرؤية وردع الدخول غير المصرح به. يمكن أن يتمركز أفراد الأمن في المواقع الرئيسية لمراقبة الدخول والمساعدة في إجراءات مراقبة الدخول والاستجابة للحوادث.

يجب إجراء عمليات تفتيش وفحوصات صيانة منتظمة على جميع معدات الأمن المادي لضمان الأداء الوظيفي الأمثل. ويجب إبلاغ فريق إدارة المرافق على الفور بأي عيوب أو أعطال وإصلاحها على الفور للحفاظ على سلامة التدابير الأمنية.

4.2 إجراءات مراقبة الدخول 4.2

تُمنح حقوق الوصول إلى المنشأة ومناطقها الحساسة على أساس مبدأ الحد الأدنى من الامتيازات. يُمنح الأفراد الحد الأدنى من الصلاحيات اللازمة لأداء مهامهم الوظيفية المحددة. قبل منح حق الدخول، يجب تقديم طلب رسمي والموافقة عليه من قبل المشرف على الفرد وقسم الأمن. تضمن عملية الموافقة هذه ألا يتمكن من الوصول إلى المناطق الحساسة إلا من لديه حاجة مشروعة.

يُحظر تماماً مشاركة بيانات اعتماد الدخول، مثل بطاقات الدخول أو أرقام التعريف الشخصية. كل فرد مسؤول عن أمن بيانات اعتماد الدخول الخاصة به ويجب عليه إبلاغ قسم الأمن فوراً عن أي بيانات اعتماد مفقودة أو مسروقة. يسمح الإبلاغ الفوري بتعطيل بيانات الاعتماد المخترقة لمنع الوصول غير المصرح به.

سيُجري قسم الأمن عمليات تدقيق منتظمة لسجلات الوصول ومستويات التفويض. وتساعد عمليات التدقيق هذه في تحديد أي محاولات وصول غير مصرح بها، والتأكد من أن حقوق الوصول لا تزال مناسبة لمسؤوليات الوظيفة الحالية، والكشف عن المخالفات التي قد تشير إلى حدوث خرق أمني.

4.3 إدارة الزوار

يُطلب من جميع زوار المرفق الالتزام بإجراءات إدارة الزوار المصممة لحماية أمن المرفق وشاغليه. عند الوصول، يجب على الزوار تسجيل الدخول عند مكتب الاستقبال، مع تقديم بطاقة هوية صالحة صادرة عن الحكومة للتحقق منها. وستُصدر لهم شارات تعريف مؤقتة يجب ارتداؤها بشكل واضح في جميع الأوقات أثناء وجودهم في المبنى.

يجب مرافقة الزوار من قبل موظفين معتمدين طوال فترة زيارتهم. وهذا يضمن عدم وصول الزوار عن غير قصد إلى المناطق المحظورة أو الحساسة ومراقبة أنشطتهم داخل المنشأة. يقتصر دخول الزائرين بشكل عام على المناطق غير الحساسة ما لم يحصلوا على تصريح صريح من الإدارة للوصول إلى مناطق حساسة محددة لغرض مشروع.

عند انتهاء الزيارة، يجب على الزائرين إعادة شارات التعريف المؤقتة الخاصة بهم وتسجيل الخروج من مكتب الاستقبال. يجب على موظفي الاستقبال التحقق من مغادرة جميع الزوار وعدم وجود أي شارات مؤقتة في عداد المفقودين.

4.4 مسؤوليات الموظف

يؤدي الموظفون دوراً حاسماً في الحفاظ على الأمن المادي للمنشأة. يُطلب منهم إكمال تدريب التوعية الأمنية عند تعيينهم والمشاركة في دورات تدريبية لتجديد المعلومات سنوياً أو حسب الحاجة. يغطي هذا التدريب أهمية الأمن المادي وإجراءات الوصول إلى المناطق الحساسة وبروتوكولات الإبلاغ عن الحوادث الأمنية.

يتحمل الموظفون مسؤولية تأمين المواد السرية، المادية والإلكترونية على حد سواء. ويشمل ذلك قفل خزائن حفظ الملفات، وتأمين المستندات عندما لا تكون قيد الاستخدام، والتأكد من أن محطات العمل مغلقة عندما لا تكون مراقبة. يجب على الموظفين توخي اليقظة والإبلاغ عن أي أنشطة مشبوهة أو أفراد غير مصرح لهم أو خروقات أمنية على الفور إلى المشرف عليهم أو قسم الأمن.

في حالة إنهاء الخدمة أو تغيير المسؤوليات الوظيفية، يجب إلغاء أو تعديل جميع حقوق الوصول على الفور. يكون قسم الموارد البشرية، بالتنسيق مع قسم الأمن، مسؤولاً عن ضمان إعادة الموظفين المغادرين جميع ممتلكات الشركة، بما في ذلك بيانات الدخول، وإنهاء وصولهم إلى المنشأة ونظم المعلومات.

4.5 الرصد والمراقبة

ستستخدم المنشأة نظام مراقبة ورصد شامل لتعزيز الأمن. سيتم تركيب كاميرات مراقبة في جميع نقاط الدخول والمخارج والمناطق الحساسة. ستعمل هذه الكاميرات بما يتوافق مع جميع قوانين ولوائح الخصوصية المعمول بها، مما يضمن إجراء المراقبة بشكل أخلاقي وقانوني.

سيتم تخزين لقطات المراقبة بشكل آمن لفترة محددة بموجب المتطلبات القانونية أو سياسة الشركة، وعادةً ما تكون 90 يومًا كحد أدنى. يقتصر الوصول إلى لقطات المراقبة على الموظفين المصرح لهم ويستخدم فقط للأغراض الأمنية. يتولى قسم الأمن مسؤولية مراجعة اللقطات بانتظام للكشف عن أي أنشطة مشبوهة أو حوادث أمنية والتحقيق فيها.

سيتم تركيب أنظمة إنذار للكشف عن محاولات الدخول غير المصرح بها أو الاختراقات أو غيرها من الحوادث الأمنية. وسيتم توصيل هذه الأنظمة بمحطة مراقبة مركزية يعمل بها موظفو الأمن الذين يمكنهم الاستجابة الفورية لأي إنذارات.

4.6 الاستجابة لحالات الطوارئ والحوادث

تلتزم المنظمة بضمان سلامة جميع الموظفين أثناء حالات الطوارئ. يجب وضع علامات واضحة على جميع مخارج الطوارئ بلافتات مضيئة وإبقائها خالية من العوائق في جميع الأوقات لضمان الإخلاء الآمن والسريع. يجب وضع خطط الإخلاء لكل منشأة، مع تفصيل الإجراءات الخاصة بسيناريوهات الطوارئ المختلفة مثل الحرائق أو الكوارث الطبيعية أو التهديدات الأمنية.

سيتم إبلاغ جميع الموظفين بخطط الإخلاء هذه من خلال دورات تدريبية وتعليقها في أماكن ظاهرة في جميع أنحاء المنشأة. سيتم إجراء تدريبات منتظمة لتعريف الموظفين بطرق وإجراءات الإخلاء. سيتم استخدام التغذية الراجعة من هذه التدريبات لتحسين فعالية خطط الاستجابة للطوارئ.

في حالة حدوث خرق أمني أو حالة طوارئ، يجب اتباع خطة الاستجابة للحوادث. تحدد هذه الخطة أدوار ومسؤوليات الموظفين، وبروتوكولات الاتصال، وخطوات تخفيف حدة الحادث واستعادة العمليات العادية. ستكون حقائب الإسعافات الأولية ومعلومات الاتصال في حالات الطوارئ متاحة بسهولة في جميع أنحاء المنشأة للمساعدة في حالة وقوع إصابات أو حالات طوارئ طبية.

4.7 الامتثال والإنفاذ

الالتزام بهذه السياسة إلزامي لجميع الموظفين الذين يدخلون إلى المنشأة. قد يؤدي عدم الامتثال إلى اتخاذ إجراءات تأديبية، بما في ذلك الإنذارات الشفهية أو الكتابية أو الإيقاف عن العمل أو إنهاء الخدمة أو اتخاذ إجراءات قانونية، حسب خطورة المخالفة. تلتزم المنظمة بتطبيق هذه السياسة بشكل عادل ومتسق.

يجب على الشركة التأكد من أن جميع ممارسات الأمن المادي تتوافق مع اللوائح الفيدرالية والولائية والمحلية المعمول بها، بما في ذلك قانون قابلية التأمين الصحي والمساءلة (HIPAA) والمبادئ التوجيهية الصادرة عن إدارة خدمات الرعاية الصحية في كاليفورنيا (DHCS).

يتم تشجيع الموظفين على إبلاغ مشرفهم أو قسم الأمن بأي مخاوف أو اقتراحات تتعلق بالأمن المادي. وتعتبر هذه الملاحظات ذات قيمة للتحسين المستمر للتدابير الأمنية.

5. مراجعة السياسات

ستخضع هذه السياسة لمراجعة شاملة سنويًا على الأقل أو كلما حدثت تغييرات كبيرة في البيئة التنظيمية أو الممارسات التنظيمية. ستشمل عملية المراجعة أصحاب المصلحة الرئيسيين، بما في ذلك ممثلون من إدارات الأمن والموارد البشرية والإدارات القانونية والتشغيلية. والهدف من ذلك هو ضمان أن تظل السياسة فعالة وملائمة ومتوافقة مع جميع القوانين واللوائح الحالية.

سيتم إبلاغ جميع الموظفين بأي مراجعات للسياسة من خلال القنوات الرسمية، وسيتم توفير تدريب إضافي حسب الضرورة لضمان الفهم والامتثال.

6. المراجع

• لوائح إدارة خدمات الرعاية الصحية في كاليفورنيا (DHCS): يوفر المبادئ التوجيهية والمتطلبات الخاصة بخدمات الرعاية الصحية في كاليفورنيا، والتي يجب الالتزام بها في تشغيل برنامج CalAIM ECM & CS.
• قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA): القانون الفيدرالي الذي يضع معايير لحماية المعلومات الصحية الحساسة للمرضى.

1. الغرض

الهدف الأساسي من هذه السياسة هو وضع مبادئ توجيهية وإجراءات شاملة تهدف إلى حماية الوصول الإلكتروني إلى معلومات المريض الحساسة داخل برنامج كاليفورنيا للتطوير والابتكار في برنامج إدارة الرعاية المعززة والدعم المجتمعي (ECM & CS). من خلال تنفيذ هذه السياسة، نضمن الالتزام بجميع القوانين الفيدرالية وقوانين الولاية ذات الصلة، بما في ذلك قانون قابلية التأمين الصحي والمساءلة (HIPAA)، وبالتالي تعزيز سرية المعلومات الصحية الإلكترونية وسلامتها وتوافرها.

2. النطاق

تنطبق هذه السياسة على جميع الأفراد المشاركين في برنامج CalAIM ECM & CS، بما في ذلك الموظفين والمتعاقدين والمتطوعين والشركاء الذين لديهم أي شكل من أشكال الوصول إلى معلومات المريض الإلكترونية والأنظمة ذات الصلة. وهي تشمل جميع المعلومات الصحية الإلكترونية المحمية (ePHI) التي يتم إنشاؤها أو تخزينها أو نقلها أو استلامها إلكترونيًا ضمن نطاق البرنامج.

3. التعاريف

لأغراض هذه السياسة

• المعلومات الصحية الإلكترونية المحمية (ePHI): يشير هذا إلى أي معلومات صحية محمية يتم التعامل معها إلكترونيًا، سواء تم إنشاؤها أو تخزينها أو نقلها أو استلامها.
• المستخدم: أي فرد مصرح له بالوصول إلى المعلومات الصحية الإلكترونية داخل الأنظمة المرتبطة ببرنامج CalAIM ECM & CS.
• المصادقة: العملية المستخدمة للتحقق من هوية المستخدم أو النظام، مما يضمن منح الوصول للأفراد المصرح لهم فقط.

4. بيانات السياسات

4.1 الامتثال للقوانين واللوائح التنظيمية

يجب أن تتم جميع عمليات الوصول الإلكتروني إلى معلومات المريض بالامتثال الصارم للقوانين الفيدرالية وقوانين الولاية، بما في ذلك على سبيل المثال لا الحصر

• قواعد الخصوصية والأمان الخاصة بقانون قابلية التأمين الصحي والمساءلة (HIPAA)، والتي تضع معايير وطنية لحماية المعلومات الصحية.
• قانون كاليفورنيا لسرية المعلومات الطبية (CMIA)، الذي يحكم سرية المعلومات الطبية والإفصاح عنها داخل الولاية.
• أي لوائح أخرى سارية على المستوى الفيدرالي وعلى مستوى الولاية تتعلق بحماية المعلومات الصحية.

4.2 التحكم في الوصول

يجب التحكم في الوصول إلى المعلومات الصحية الإلكترونية وإدارتها بعناية لمنع الوصول غير المصرح به:

• الوصول المستند إلى الدور: ستُمنح حقوق الوصول إلى المعلومات الصحية الإلكترونية بناءً على الأدوار والمسؤوليات المحددة للمستخدمين في برنامج إدارة المحتوى الإلكتروني وإدارة المحتوى في كاليموركس. وهذا يضمن وصول الأفراد فقط إلى المعلومات الضرورية لمهامهم الوظيفية.
• مبدأ الامتيازات الأقل: سيتم تزويد المستخدمين بالحد الأدنى من مستوى الوصول - أو الأذونات - اللازم لأداء واجباتهم بفعالية. وهذا يقلل من مخاطر الوصول غير المصرح به أو انتهاكات البيانات.
• عملية التفويض: يجب أن تكون جميع عمليات الوصول مصرحًا بها رسميًا من قبل المشرف أو مسؤول البرنامج المناسب. ويتضمن ذلك عملية موافقة موثقة لضمان المساءلة.

4.3 تدابير التوثيق

للحماية من الوصول غير المصرح به، سيتم تنفيذ تدابير مصادقة قوية:

• معرّفات المستخدم الفريدة: سيتم تعيين معرف مستخدم فريد لكل مستخدم لضمان إمكانية تتبع جميع الأنشطة وإسنادها بدقة.
• سياسات كلمات المرور القوية: يُطلب من المستخدمين إنشاء كلمات مرور قوية تفي بمتطلبات التعقيد، مثل الحد الأدنى للطول وتضمين مجموعة من الحروف والأرقام والأحرف الخاصة. يجب تغيير كلمات المرور بانتظام للحفاظ على الأمان.
• المصادقة متعددة العوامل (MFA): سيتم استخدام المصادقة متعددة العوامل، خاصةً للوصول عن بُعد والأنظمة التي تعتبر عالية المخاطر، مما يضيف طبقة إضافية من الأمان تتجاوز مجرد كلمات المرور.

4.4 تشفير البيانات

التشفير ضروري لحماية المعلومات الصحية الإلكترونية من الوصول غير المصرح به أثناء النقل والتخزين:

• التشفير أثناء النقل: يجب تشفير جميع المعلومات الصحية الإلكترونية المرسلة عبر الشبكات باستخدام بروتوكولات التشفير المتوافقة مع معايير الصناعة مثل TLS أو SSL. وهذا يضمن عدم إمكانية قراءة البيانات التي يتم اعتراضها أثناء الإرسال من قبل أطراف غير مصرح لها.
• التشفير في وضع الراحة: يجب أيضًا تشفير المعلومات الصحية الإلكترونية المخزنة على الخوادم وقواعد البيانات وأجهزة الكمبيوتر المحمولة والأجهزة الأخرى لحماية البيانات في حالة السرقة المادية أو الوصول غير المصرح به.

4.5 الأمن المادي

يجب تأمين الوصول المادي إلى الأجهزة والمرافق التي تخزن المعلومات الصحية الإلكترونية:

• مرافق آمنة: يجب التحكم في الدخول إلى مناطق مثل غرف الخوادم، باستخدام الأقفال أو بطاقات الدخول أو أنظمة القياسات الحيوية لمنع الدخول غير المصرح به.
• أمان الجهاز: يجب تأمين الأجهزة المحمولة مثل الحواسيب المحمولة والأجهزة اللوحية بأقفال أو الاحتفاظ بها في أماكن آمنة عند عدم استخدامها. يجب على المستخدمين التأكد من عدم ترك هذه الأجهزة دون مراقبة في أماكن غير آمنة.

4.6 ضوابط المراقبة والتدقيق

تُعد المراقبة والتدقيق المستمر أمرًا بالغ الأهمية لاكتشاف الوصول غير المصرح به والاستجابة له:

• تسجيل النشاط: يجب أن تسجل الأنظمة سجلات مفصلة لجميع عمليات الوصول إلى المعلومات الصحية الإلكترونية، بما في ذلك معرّفات المستخدم والتواريخ والأوقات وطبيعة الأنشطة التي تم تنفيذها. يؤدي ذلك إلى إنشاء سجل تدقيق للمساءلة.
• عمليات التدقيق المنتظمة: سيقوم الموظفون المعينون بمراجعة سجلات النظام والوصول بانتظام لتحديد أي وصول غير مصرح به أو أنشطة غير عادية قد تشير إلى وجود تهديد أمني.
• أنظمة كشف التسلل: سيساعد تطبيق أنظمة كشف الاختراق (IDS) في مراقبة حركة مرور الشبكة بحثاً عن الأنشطة المشبوهة وتقديم تنبيهات عن الاختراقات الأمنية المحتملة.

4.7 التدريب والتوعية

تثقيف المستخدمين أمر حيوي للحفاظ على معايير الأمان:

• برامج التدريب الإلزامية: يجب على جميع المستخدمين إكمال التدريب الشامل على الخصوصية والأمان قبل منحهم حق الوصول إلى المعلومات الصحية الإلكترونية. سيغطي هذا التدريب موضوعات مثل التعرف على محاولات التصيد الاحتيالي، والتعامل السليم مع المعلومات الحساسة، وإجراءات الإبلاغ عن الحوادث الأمنية.
• دورات تنشيطية سنوية: يُطلب من المستخدمين المشاركة في دورات تدريبية سنوية للاطلاع على أحدث السياسات والممارسات الأمنية.
• التواصل المنتظم: ستوفر المؤسسة تحديثات مستمرة أو رسائل إخبارية أو رسائل تذكيرية لإبقاء الممارسات الأمنية في مقدمة الأنشطة اليومية للمستخدمين.

4.8 الاستجابة للحوادث 4.8

الاستجابة الفورية للحوادث الأمنية أمر بالغ الأهمية للحد من المخاطر:

• الإبلاغ الفوري: يجب على المستخدمين الإبلاغ عن أي حوادث أمنية مشتبه بها أو فعلية، مثل فقدان الأجهزة أو الوصول غير المصرح به، على الفور إلى مسؤول الأمن المعين أو قسم تكنولوجيا المعلومات.
• خطة الاستجابة للحوادث: ستوجه خطة الاستجابة للحوادث إجراءات المؤسسة في معالجة الاختراقات الأمنية والتخفيف من آثارها. تتضمن هذه الخطة خطوات الاحتواء والاستئصال والتعافي وتحليل ما بعد الحادث.
• متطلبات الإخطار: في حالة حدوث خرق ينطوي على معلومات صحية إلكترونية، ستقوم المؤسسة بإخطار الأفراد المتأثرين والسلطات المختصة بما يتوافق مع المتطلبات القانونية والتنظيمية.

4.9 وصول الطرف الثالث

إدارة وصول الطرف الثالث أمر ضروري للحفاظ على الأمان:

• اتفاقيات شركاء الأعمال (BAAs): يجب على جميع كيانات الطرف الثالث التي تتطلب الوصول إلى المعلومات الصحية الإلكترونية أن تبرم اتفاقية رسمية تحدد مسؤولياتها في حماية هذه المعلومات.
• عملية العناية الواجبة: قبل منح حق الوصول، ستجري المؤسسة تقييماً شاملاً للممارسات الأمنية للطرف الثالث للتأكد من أنها تفي بالمعايير المطلوبة.
• المراقبة المستمرة: ستقوم المؤسسة بمراقبة امتثال الطرف الثالث لمتطلبات الأمان بشكل مستمر.

4.10 النسخ الاحتياطي للبيانات واستعادتها

يعد ضمان توافر المعلومات الصحية الإلكترونية أمرًا ضروريًا للرعاية المستمرة:

• نسخ احتياطية منتظمة للبيانات: ستقوم المؤسسة بإجراء نسخ احتياطية منتظمة للمعلومات الصحية الإلكترونية في مواقع آمنة لمنع فقدان البيانات بسبب أعطال النظام أو الكوارث أو غيرها من الأحداث غير المتوقعة.
• التخزين الآمن للنسخ الاحتياطية: يجب تخزين البيانات الاحتياطية بشكل آمن، مع تشفير وضوابط وصول مكافئة لتلك الخاصة بالأنظمة الأساسية.
• اختبار إجراءات الاسترداد: سيتم إجراء اختبار منتظم لإجراءات النسخ الاحتياطي والاسترداد لضمان إمكانية استعادة البيانات بفعالية ودقة في حالة فقدان البيانات.

4.11 التخلص من المعلومات الصحية الإلكترونية

يعد التخلص السليم من المعلومات الصحية الإلكترونية ضروريًا لمنع الوصول غير المصرح به بعد انتفاء الحاجة إلى البيانات:

• طرق الحذف الآمنة: يجب التخلص من الوسائط الإلكترونية التي تحتوي على معلومات صحية إلكترونية باستخدام طرق تضمن عدم إمكانية إعادة بناء البيانات، مثل إزالة التشويش أو التمزيق أو استخدام أدوات برمجية متخصصة للحذف الآمن.
• توثيق التخلص منها: يجب أن تكون جميع عمليات التخلص من النفايات موثقة بدقة، بما في ذلك التاريخ والطريقة والموظفين المعنيين، للحفاظ على الامتثال والمساءلة.

5. المسؤوليات

5.1 إدارة البرنامج

تتحمل إدارة البرنامج مسؤولية ضمان التنفيذ والإنفاذ الفعال لهذه السياسة. ويشمل ذلك تخصيص الموارد اللازمة للتدابير الأمنية وبرامج التدريب، بالإضافة إلى دعم ثقافة الامتثال والوعي الأمني في جميع أنحاء المنظمة.

5.2 ضابط الأمن

مسؤول الأمن المعيّن مسؤول عن الإشراف على الامتثال لجميع السياسات والإجراءات الأمنية. وتشمل الواجبات إجراء تقييمات وتدقيقات منتظمة للمخاطر لتحديد نقاط الضعف المحتملة، وتنسيق جهود الاستجابة للحوادث في حالة حدوث خرق أمني، والبقاء على اطلاع على التغييرات في القوانين والتكنولوجيا التي قد تؤثر على الممارسات الأمنية.

5.3 المستخدمون

يجب على جميع المستخدمين الذين لديهم إمكانية الوصول إلى المعلومات الصحية الإلكترونية الالتزام الصارم بالسياسات والإجراءات الأمنية الموضحة في هذه الوثيقة. يجب على المستخدمين أيضًا أن يظلوا متيقظين وأن يبلغوا السلطات المختصة داخل المؤسسة على الفور عن أي حوادث أمنية أو نقاط ضعف محتملة.

6. الإنفاذ

يعد عدم الامتثال لهذه السياسة أمرًا خطيرًا قد يؤدي إلى اتخاذ إجراءات تأديبية، والتي قد تشمل إنهاء التوظيف أو الاتفاقيات التعاقدية. بالإضافة إلى ذلك، قد يتعرض الأفراد لعقوبات قانونية بموجب القوانين الفيدرالية أو قوانين الولاية بسبب الانتهاكات التي تنطوي على سوء التعامل مع المعلومات الصحية المحمية.

7. المراجعة والتنقيح

ستخضع هذه السياسة لمراجعة رسمية على أساس سنوي أو كلما حدثت تغييرات كبيرة في اللوائح أو التكنولوجيا ذات الصلة. ستشمل عملية المراجعة تقييم فعالية التدابير الأمنية الحالية وإجراء التحديثات اللازمة لمواجهة التهديدات الجديدة أو متطلبات الامتثال.

8. المراجع

• قاعدة خصوصية قانون HIPAA 45 CFR الجزء 160 والجزأين الفرعيين A وE من الجزء 164، والتي تضع معايير وطنية لحماية المعلومات الصحية القابلة للتحديد بشكل فردي.
• قاعدة أمان قانون HIPAA: 45 CFR الجزء 160 والجزأين الفرعيين (أ) و(ج) من الجزء 164، والتي تضع معايير لأمن المعلومات الصحية المحمية الإلكترونية.
• قانون كاليفورنيا لسرية المعلومات الطبية (CMIA): قانون الولاية الذي يحكم سرية المعلومات الطبية والإفصاح عنها.
• إرشادات المعهد الوطني للمعايير والتكنولوجيا (NIST): المبادئ التوجيهية الفيدرالية التي توفر إطار عمل لتحسين الأمن السيبراني للبنية التحتية الحيوية.

1. الغرض

الغرض من هذه السياسة هو وضع عمليات ومبادئ توجيهية شاملة لضمان أمن الوسائط وأجهزة التحكم في الوسائط والأجهزة ضمن برنامج كاليفورنيا للتقدم والابتكار في برنامج إدارة الرعاية المعززة ودعم المجتمع (ECM & CS). تهدف هذه السياسة إلى حماية معلومات المرضى الحساسة، والحفاظ على الامتثال لجميع القوانين واللوائح ذات الصلة، ومنع أي وصول غير مصرح به إلى البيانات أو الكشف عنها أو تغييرها أو إتلافها. من خلال تطبيق هذه الإرشادات، نسعى جاهدين إلى الحفاظ على أعلى معايير أمن البيانات وسلامتها، وبالتالي تعزيز الثقة بين المرضى والموظفين وأصحاب المصلحة المشاركين في البرنامج.

2. النطاق

تنطبق هذه السياسة على جميع الأفراد المرتبطين ببرنامج إدارة المحتوى الإلكتروني وإدارة المحتوى في كاليفورنيا (CalAIM ECM & CS)، بما في ذلك على سبيل المثال لا الحصر الموظفين والمتعاقدين والاستشاريين والموظفين المؤقتين وأي موظفين آخرين يتعاملون مع الوسائط والأجهزة الإلكترونية أو المادية التي تحتوي على معلومات حساسة أو لديهم إمكانية الوصول إليها. ويشمل ذلك جميع الأنشطة المتعلقة باستخدام وتخزين ونقل والتخلص من الوسائط والأجهزة التي قد تحتوي على معلومات صحية محمية (PHI) أو معلومات التعريف الشخصية (PII) أو غيرها من البيانات الحساسة ذات الصلة بالبرنامج.

3. التعاريف

• وسائل الإعلام: يشير إلى أي أجهزة تخزين مادية أو إلكترونية تحتفظ بالبيانات. ويشمل ذلك محركات الأقراص الصلبة ومحركات أقراص USB والأقراص المدمجة وأقراص CD وأقراص DVD والأشرطة الممغنطة والمستندات الورقية. يمكن أن تكون الوسائط محمولة أو ثابتة وتستخدم لتخزين المعلومات أو نقلها أو أرشفتها.
• الأجهزة: يشمل المعدات الإلكترونية مثل أجهزة الكمبيوتر المكتبية وأجهزة الكمبيوتر المحمولة والأجهزة اللوحية والهواتف الذكية وأي أجهزة أخرى تُستخدم للوصول إلى بيانات البرنامج أو معالجتها أو تخزينها. قد تكون الأجهزة مملوكة للمؤسسة أو مسموح باستخدامها بموجب سياسة "أحضر جهازك الخاص" (BYOD).
• المعلومات الحساسة: أي بيانات محمية بموجب قوانين ولوائح الخصوصية. ويشمل ذلك، على سبيل المثال لا الحصر، المعلومات الصحية المحمية (PHI)، والتي تتعلق بالحالة الصحية للفرد أو خدمات الرعاية الصحية، ومعلومات التعريف الشخصية (PII)، والتي يمكن استخدامها لتحديد هوية الفرد، مثل أرقام الضمان الاجتماعي والعناوين والمعلومات المالية.

4. بيانات السياسات

ولضمان أمن المعلومات الحساسة في برنامج إدارة المحتوى المؤسسي وإدارة المحتوى في كاليمار ECM & CS، تم وضع المبادئ التالية:

• أمن الوسائط والأجهزة: يجب تأمين جميع الوسائط والأجهزة التي تحتوي على معلومات حساسة بشكل مناسب لمنع الوصول غير المصرح به. وينطوي ذلك على تنفيذ كل من الضمانات المادية والتقنية.
• التشفير: يجب أن تستخدم جميع وسائط وأجهزة التخزين الإلكترونية التي تحتوي على معلومات حساسة طرق التشفير المعتمدة. يعمل التشفير كخط دفاع حاسم في حماية سلامة البيانات وسريتها.
• تقييد الوصول: يقتصر الوصول إلى الوسائط والأجهزة على الموظفين المصرح لهم فقط. يتم تعيين مستويات التفويض على أساس مبدأ الحد الأدنى من الامتيازات، بما يضمن وصول الأفراد إلى المعلومات الضرورية لدورهم فقط.
• التخلص السليم: يجب التخلص من الوسائط والأجهزة التي لم تعد قيد الاستخدام باتباع الإجراءات المناسبة لمنع أي احتمال لاستعادة البيانات أو الوصول غير المصرح به. ويشمل ذلك طرق المحو الآمن للبيانات والتدمير المادي.
• عمليات التدقيق المنتظمة: سيتم إجراء عمليات تدقيق وتقييمات دورية لضمان الامتثال المستمر لهذه السياسة. ستساعد هذه التقييمات على تحديد نقاط الضعف المحتملة ومجالات التحسين المحتملة.

5. الإجراءات

5.1. مخزون الوسائط والأجهزة

يجب الاحتفاظ بجرد دقيق وحديث لجميع الوسائط والأجهزة المستخدمة في البرنامج. يجب أن يتضمن هذا الجرد تفاصيل مثل نوع الجهاز والأرقام التسلسلية والمستخدمين المعينين وتصنيف البيانات المخزنة. إن وضع العلامات المناسبة على الوسائط والأجهزة أمر ضروري للإشارة إلى مستوى حساسية المعلومات التي تحتويها، مما يساعد في تطبيق إجراءات التعامل المناسبة.

5.2. التحكم في الوصول

يجب وضع آليات مصادقة قوية لتقييد الوصول إلى الأجهزة والمعلومات الحساسة التي تحتفظ بها. ويشمل ذلك تطبيق سياسات كلمات مرور قوية أو عمليات المسح البيومترية أو أساليب المصادقة متعددة العوامل. يجب تعيين حقوق الوصول بناءً على المسؤوليات الوظيفية ومراجعتها بانتظام لضبط أي تغييرات في الأدوار أو الحالة الوظيفية. يجب تسجيل محاولات الوصول غير المصرح بها والتحقيق فيها على الفور.

5.3. التشفير

يجب استخدام تقنيات التشفير المعتمدة لجميع البيانات الحساسة المخزنة على الوسائط والأجهزة الإلكترونية. يجب إدارة مفاتيح التشفير بشكل آمن، مع تقييد الوصول إليها لمنع فك التشفير غير المصرح به للبيانات. يجب وضع إجراءات لتوليد المفاتيح وتوزيعها وتخزينها وتناوبها وإتلافها للحفاظ على سلامة عملية التشفير.

5.4. الأمن المادي

تعتبر الضمانات المادية ضرورية لمنع الوصول غير المصرح به إلى الوسائط والأجهزة. يجب تخزين جميع الوسائط المادية في خزائن مقفلة أو غرف آمنة مع تدابير وصول محكومة مثل بطاقات المفاتيح أو الماسحات الضوئية البيومترية. يجب عدم ترك الأجهزة دون مراقبة في مناطق غير آمنة. يجب مرافقة الزائرين في المناطق التي يمكن الوصول إلى المعلومات الحساسة فيها، ويجب الاحتفاظ بسجل لوصول الزوار.

5.5. نقل الوسائط والأجهزة

عند نقل الوسائط أو الأجهزة التي تحتوي على معلومات حساسة، يجب استخدام طرق آمنة لحمايتها من الضياع أو السرقة. يجب وضع الوسائط المادية في حاويات مغلقة، ويجب تشفير عمليات نقل البيانات الإلكترونية من طرف إلى طرف. يجب الاحتفاظ بسجل تفصيلي لجميع الوسائط والأجهزة التي تم نقلها من المناطق الآمنة، مع توثيق التاريخ والوقت والغرض من النقل والموظفين المشاركين في النقل.

5.6. التخلص منها وتدميرها

قبل التخلص من البيانات، يجب محو جميع البيانات من الوسائط والأجهزة الإلكترونية بشكل لا رجعة فيه باستخدام طرق معتمدة لتعقيم البيانات مثل إزالة الرذاذ أو الكتابة فوقها. بالنسبة للوسائط المادية التي تحتوي على معلومات حساسة، يجب استخدام طرق مثل التمزيق أو الحرق أو السحق لضمان عدم إمكانية إعادة بناء البيانات. يجب الاحتفاظ بسجلات جميع أنشطة التخلص والتدمير بدقة، بما في ذلك تفاصيل العناصر التي تم تدميرها والطرق المستخدمة والموظفين المشاركين في العملية.

5.7. الإبلاغ عن الحوادث

يجب الإبلاغ عن أي حوادث تنطوي على فقدان الوسائط أو الأجهزة أو سرقتها أو الوصول غير المصرح به إليها فوراً إلى مسؤول الأمن المعين. يعد الإبلاغ الفوري ضروريًا لبدء خطة الاستجابة للحوادث، والتي تتضمن خطوات الاحتواء والاستئصال والتعافي والتواصل مع الأطراف المتضررة إذا لزم الأمر. يجب تدريب الموظفين على التعرف على الحوادث الأمنية المحتملة وفهم أهمية الإبلاغ في الوقت المناسب.

5.8. التدريب والتوعية

يجب إجراء دورات تدريبية منتظمة لتثقيف جميع الموظفين حول ممارسات أمن الوسائط والأجهزة. يجب أن يغطي التدريب موضوعات مثل التعرف على محاولات التصيد الاحتيالي، والتعامل السليم مع المعلومات الحساسة، والإجراءات الموضحة في هذه السياسة. مع تطور التكنولوجيا والتهديدات الأمنية، يجب تحديث المواد التدريبية لتعكس أحدث الممارسات الفضلى. يجب تقييم فهم الموظفين بشكل دوري من خلال التقييمات أو التقييمات.

6. الأدوار والمسؤوليات

• مدير البرنامج: مدير البرنامج مسؤول عن ضمان الامتثال العام لهذه السياسة. ويشمل ذلك تخصيص الموارد اللازمة لتنفيذها، وتعزيز ثقافة الوعي الأمني، ومعالجة أي مسائل تتعلق بعدم الامتثال.
• ضابط أمن يشرف مسؤول الأمن على التدابير الأمنية المتعلقة بالوسائط والأجهزة. وتشمل المسؤوليات إجراء عمليات تدقيق منتظمة، وإدارة الاستجابة للحوادث، وتحديث البروتوكولات الأمنية، وتقديم التوجيه بشأن المسائل الأمنية للموظفين.
• الموظفون والموظفون: يتعين على جميع الموظفين الالتزام الصارم بالمبادئ التوجيهية والإجراءات المبينة في هذه السياسة. وهم مسؤولون عن حماية الوسائط والأجهزة الموكلة إليهم، والإبلاغ عن أي حوادث أو مخاوف أمنية على الفور، والمشاركة في برامج التدريب المطلوبة.

7. الامتثال والإنفاذ

يعد الالتزام بهذه السياسة إلزاميًا لجميع الموظفين المرتبطين ببرنامج إدارة المحتوى المؤسسي وإدارة المحتوى في كاليموركس. قد يؤدي عدم الامتثال إلى اتخاذ إجراءات تأديبية، والتي يمكن أن تتراوح بين التدريب الإضافي والتحذيرات وإنهاء التوظيف أو الاتفاقيات التعاقدية. في الحالات التي تنطوي فيها الانتهاكات على انتهاكات للقوانين أو اللوائح، قد يتم اتخاذ إجراءات قانونية. سيتم إجراء عمليات تدقيق منتظمة للامتثال، ويجب تصحيح أي أوجه قصور يتم تحديدها على الفور.

8. المراجعة والتنقيح

ستخضع هذه السياسة لمراجعة شاملة سنويًا على الأقل أو كلما حدثت تغييرات كبيرة في التكنولوجيا أو المتطلبات التنظيمية أو الهيكل التنظيمي. سيتم إجراء المراجعات حسب الضرورة لضمان بقاء السياسة فعالة وملائمة. سيتم إرسال جميع التحديثات إلى الموظفين المعنيين، وسيتم تعديل المواد التدريبية وفقًا لذلك. يتم تشجيع التعليقات الواردة من الموظفين لتحسين فعالية السياسة.

1. الغرض

الهدف الأساسي من هذه السياسة هو وضع متطلبات شاملة للضمانات المادية التي تحمي محطات العمل داخل برنامج إدارة الرعاية المعززة ودعم المجتمع (ECM & CS) في كاليم. تعد هذه الضمانات ضرورية لمنع الوصول غير المصرح به أو السرقة أو التلف أو فقدان المعلومات الحساسة، بما في ذلك المعلومات الصحية الإلكترونية المحمية (ePHI). من خلال تنفيذ هذه التدابير، نسعى جاهدين للحفاظ على سرية البيانات الحساسة وسلامتها وتوافرها، وضمان الامتثال للوائح الفيدرالية والولائية المعمول بها.

2. النطاق

تنطبق هذه السياسة بشكل عام على جميع الموظفين والمتعاقدين والمتطوعين وأي أفراد آخرين لديهم إمكانية الوصول إلى محطات العمل داخل مرافق برنامج إدارة المحتوى المؤسسي وإدارة المحتوى في كاليمار. وتشمل جميع المواقع المادية التي تُستخدم فيها محطات العمل أو تُخزَّن فيها، بما في ذلك المكاتب وغرف الاجتماعات وبيئات العمل عن بُعد المرتبطة بالبرنامج.

3. التعاريف

• محطة العمل: أي جهاز حوسبة إلكتروني، مثل جهاز كمبيوتر مكتبي أو كمبيوتر محمول أو كمبيوتر لوحي أو جهاز مشابه، إلى جانب الوسائط الإلكترونية المخزنة في بيئته المباشرة. ويشمل ذلك أي معدات تؤدي وظائف مثل معالجة البيانات أو تخزينها أو نقلها.
• الضمانات المادية: التدابير المادية والسياسات والإجراءات المطبقة لحماية نظم المعلومات الإلكترونية والمباني والمعدات ذات الصلة من المخاطر الطبيعية والبيئية، فضلاً عن التسلل غير المصرح به. هذه الضمانات مصممة لمنع وصول الأفراد غير المصرح لهم إلى المعدات والمرافق.

4. بيانات السياسات

4.1 الموقع الآمن لمحطات العمل

يجب أن تكون جميع محطات العمل في مناطق آمنة مع التحكم في الوصول إليها لمنع الأفراد غير المصرح لهم من مشاهدتها أو الوصول إليها. وهذا يعني أن محطات العمل يجب أن تكون بعيدة عن الأماكن التي يمكن للجمهور الوصول إليها ويجب ألا تكون مرئية أو يسهل على المارة الوصول إليها. على سبيل المثال، لا يُنصح بوضع محطات العمل بالقرب من مكاتب الاستقبال أو الممرات أو غرف الاجتماعات ما لم تكن هناك تدابير أمنية مناسبة. إذا كان لا بد من وجود محطات العمل في مثل هذه المناطق، فينبغي تنفيذ تدابير حماية إضافية مثل شاشات الخصوصية أو الحواجز المادية أو الوصول الخاضع للإشراف لحماية المعلومات الحساسة المعروضة على الشاشات.

4.2 التحكم في الوصول

يجب أن يقتصر الوصول إلى المناطق التي تحتوي على محطات العمل على الموظفين المصرح لهم فقط. يتضمن ذلك تطبيق ضوابط الدخول المادية مثل الأبواب المغلقة أو شارات الدخول أو أنظمة القياسات الحيوية لضمان عدم دخول هذه المناطق إلا للأفراد الذين لديهم تصريح مناسب. يجب مرافقة الزوار أو أي أفراد غير مصرح لهم من قبل موظفين مصرح لهم في جميع الأوقات عند وجودهم في المناطق التي توجد بها محطات العمل. تساعد سياسة المرافقة هذه على منع الوصول غير المصرح به إلى المعلومات الحساسة وتضمن عدم تعريض الزوار للخطر دون قصد بروتوكولات الأمن.

4.3 تدابير الأمن المادي

لحماية محطات العمل من السرقة أو الإزالة غير المصرح بها، يجب استخدام تدابير الأمن المادي. ويشمل ذلك استخدام أقفال مادية أو كابلات أمان أو حاويات لتأمين الأجهزة عندما تكون غير مراقبة. على سبيل المثال، يجب قفل الحواسيب المحمولة على المكاتب باستخدام كابلات الأمان، ويجب تثبيت أجهزة الكمبيوتر المكتبية لمنع إزالتها بسهولة. في المناطق المشتركة أو غير الآمنة، تعتبر هذه التدابير ضرورية بشكل خاص. بالإضافة إلى ذلك، يجب أن تحتوي غرف الخوادم والمناطق التي تحتوي على بنية تحتية حرجة على تدابير أمنية معززة، مثل كاميرات المراقبة وأنظمة الإنذار، لردع الوصول غير المصرح به وتوفير قدرات المراقبة.

4.4 حماية الشاشة 4.4

لمنع المشاهدة غير المصرح بها للمعلومات الحساسة المعروضة على الشاشات، يجب استخدام شاشات أو مرشحات الخصوصية. هذه الأجهزة تحد من زاوية رؤية الشاشة، مما يجعل من الصعب على الأفراد القريبين قراءة الشاشة ما لم يكونوا أمامها مباشرة. وعلاوة على ذلك، يجب تهيئة جميع محطات العمل بحيث يتم قفلها تلقائيًا بعد فترة من عدم النشاط لا تتجاوز خمس دقائق. تضمن آلية القفل التلقائي هذه أنه إذا ابتعد الموظف عن محطة العمل الخاصة به، فلا يمكن للأفراد غير المصرح لهم بالوصول إليها. كما يتم تشجيع الموظفين أيضًا على قفل شاشاتهم يدويًا عند ترك محطات العمل الخاصة بهم دون مراقبة، حتى ولو لفترات قصيرة.

4.5 سياسة المكتب النظيف

يجب تطبيق سياسة المكتب النظيف لضمان تخزين جميع المستندات والمواد الحساسة بشكل آمن عندما لا تكون قيد الاستخدام. يُطلب من الموظفين إزالة جميع المستندات الحساسة من محطات العمل الخاصة بهم في نهاية كل يوم عمل وتخزينها في أدراج أو خزائن مغلقة. وهذا يشمل الملاحظات والمطبوعات وأجهزة التخزين المحمولة وأي مواد أخرى تحتوي على معلومات سرية. من خلال إبقاء محطات العمل خالية من المواد الحساسة، فإننا نقلل من خطر الوصول غير المصرح به ونحافظ على بيئة عمل احترافية. يجب على الموظفين أيضًا التأكد من أن اللوحات البيضاء ولوحات الإعلانات لا تعرض معلومات حساسة.

4.6 الضوابط البيئية

يجب حماية محطات العمل من المخاطر البيئية مثل تسربات المياه والحرارة الزائدة والغبار والارتفاعات الكهربائية. يتضمن ذلك وضع الأجهزة بعيدًا عن المناطق المعرضة للانسكابات أو التسربات، مثل تحت وحدات تكييف الهواء أو بالقرب من النوافذ التي قد تتسرب أثناء هطول الأمطار. يجب استخدام أجهزة الحماية من زيادة التيار الكهربائي ومصادر الطاقة غير المنقطعة (UPS) للحماية من الاندفاعات الكهربائية وانقطاع التيار الكهربائي. بالإضافة إلى ذلك، يجب على الموظفين تجنب تناول الأطعمة والمشروبات بالقرب من محطات العمل لمنع الانسكابات العرضية التي قد تتلف المعدات أو تؤدي إلى فقدان البيانات.

4.7 التخلص من المعدات

يجب أن تخضع جميع الأجهزة الإلكترونية لإجراءات التعقيم المناسبة للبيانات قبل التخلص منها أو إعادة نشرها لضمان عدم نشر المعلومات الحساسة دون قصد. ويشمل ذلك محو وسائط تخزين البيانات أو إتلافها بشكل آمن وفقًا لأفضل الممارسات الصناعية والمتطلبات التنظيمية. لا ينبغي التخلص من الأجهزة في صناديق القمامة العادية، بل يجب التخلص منها باتباع ممارسات إعادة التدوير المسؤولة بيئيًا والامتثال للوائح التنظيمية المعمول بها، مثل تلك التي حددها المعهد الوطني للمعايير والتكنولوجيا (NIST) بشأن تعقيم الوسائط.

4.8 الإبلاغ والاستجابة

في حالة السرقة أو الفقدان أو الوصول غير المصرح به إلى محطات العمل، من الضروري الإبلاغ عن مثل هذه الحوادث على الفور إلى الإدارة المعينة، مثل مسؤول الأمن أو قسم تكنولوجيا المعلومات. يسمح الإبلاغ الفوري باتخاذ إجراءات سريعة للتخفيف من المخاطر المحتملة، بما في ذلك الوصول غير المصرح به إلى البيانات الحساسة. يجب أن تكون هناك خطة استجابة للحوادث لمعالجة الاختراقات الأمنية التي تنطوي على محطات العمل. يجب أن تحدد هذه الخطة إجراءات محددة للاستجابة للحوادث، بما في ذلك خطوات الاحتواء والاستئصال والاسترداد والإخطار. يجب إجراء تدريبات وتدريبات منتظمة لضمان إلمام جميع الموظفين بإجراءات الاستجابة للحوادث.

5. المسؤوليات

5.1 الموظفون والمستخدمون المصرح لهم

يتحمل الموظفون والمستخدمون المصرح لهم مسؤولية الالتزام بجميع سياسات وإجراءات الحماية المادية الموضحة في هذه الوثيقة. يجب أن يظلوا يقظين في حماية محطات العمل والمعلومات الحساسة من الوصول غير المصرح به. ويشمل ذلك اتباع أفضل الممارسات لتأمين الأجهزة، مثل قفل الشاشات في حالة عدم استخدامها وتأمين الأجهزة المحمولة عند السفر. بالإضافة إلى ذلك، يتعين على الموظفين الإبلاغ عن أي أنشطة مشبوهة أو حوادث أمنية أو نقاط ضعف محتملة على الفور إلى السلطات المختصة لتمكين التدخل في الوقت المناسب.

5.2 الإدارة

تقع على عاتق الإدارة مسؤولية التأكد من أن فرقها على علم تام بهذه السياسة والامتثال لمتطلباتها. وينبغي عليهم تيسير برامج التدريب والتوعية لتثقيف الموظفين حول أهمية الأمن المادي والتدابير المحددة التي يتعين عليهم تنفيذها. كما يجب على المديرين أيضاً أن يكونوا قدوة يحتذى بها من خلال الالتزام الصارم بالسياسة بأنفسهم وتعزيز ثقافة الأمن داخل فرقهم. وهم مسؤولون عن معالجة أي مشاكل تتعلق بعدم الامتثال وتوفير الموارد اللازمة لتنفيذ الضمانات المطلوبة.

5.3 ضابط الأمن/قسم تكنولوجيا المعلومات

يتولى مسؤول الأمن وقسم تكنولوجيا المعلومات مهمة الإشراف على تنفيذ الضمانات المادية في جميع أنحاء المؤسسة. وهما مسؤولان عن وضع السياسات والإجراءات المتعلقة بالأمن المادي والحفاظ عليها وضمان تحديث هذه السياسات بأحدث المتطلبات التنظيمية وأفضل الممارسات في هذا المجال. يجب إجراء عمليات تدقيق وتقييمات منتظمة لتقييم الامتثال للسياسة وتحديد مجالات التحسين. في حالة وقوع حادث أمني، يقوم مسؤول الأمن وإدارة تكنولوجيا المعلومات بتنسيق جهود الاستجابة، بما في ذلك التحقيق والتخفيف من آثاره والتواصل مع أصحاب المصلحة المعنيين.

6. الامتثال

الامتثال لهذه السياسة إلزامي لجميع الموظفين والأفراد التابعين لها. قد يؤدي عدم الامتثال إلى اتخاذ إجراءات تأديبية، والتي يمكن أن تشمل إنهاء التوظيف أو الاتفاقات التعاقدية. هذه الإجراءات ضرورية للحفاظ على سلامة الوضع الأمني للمؤسسة والامتثال للالتزامات القانونية. بالإضافة إلى ذلك، قد يواجه الأفراد عقوبات قانونية بموجب القوانين الفيدرالية وقوانين الولاية المعمول بها، بما في ذلك تلك المنصوص عليها في قانون قابلية التأمين الصحي والمساءلة (HIPAA) وقانون كاليفورنيا لسرية المعلومات الطبية (CMIA). تلتزم المنظمة بتطبيق هذه السياسة لحماية المعلومات الحساسة والحفاظ على ثقة الأفراد الذين نخدمهم.

7. المراجع

تسترشد هذه السياسة بالعديد من اللوائح والمبادئ التوجيهية الرئيسية:

• قانون قابلية التأمين الصحي والمساءلة والمحاسبة (HIPAA), 45 CFR الجزء 164: يضع المعايير الوطنية لأمن المعلومات الصحية الإلكترونية المحمية.
• قانون كاليفورنيا لسرية المعلومات الطبية (CMIA): يحكم سرية المعلومات الطبية والإفصاح عنها في كاليفورنيا.
• إرشادات برنامج CalAIM ECM & CS: يوفر توجيهات محددة وأفضل الممارسات لبرنامج إدارة الرعاية المعززة والدعم المجتمعي.

تعمل هذه المراجع كإطار عمل أساسي لتدابير الأمن المادي لدينا وتضمن توافق سياساتنا مع المتطلبات القانونية والتنظيمية.

8. المراجعة والتنقيح

تخضع هذه السياسة لمراجعة رسمية سنويًا أو حسب الحاجة لاستيعاب التغييرات في اللوائح أو التطورات التكنولوجية أو الممارسات التنظيمية. تتضمن عملية المراجعة تقييم فعالية الضمانات الحالية، وتقييم مستويات الامتثال، وتحديث السياسة لمعالجة أي ثغرات أو تهديدات ناشئة يتم تحديدها. يجب الموافقة على جميع المراجعات من قبل السلطة المعينة وإبلاغ جميع الموظفين وأصحاب المصلحة المعنيين لضمان استمرار الامتثال والوعي.

1. الغرض

الغرض من هذه السياسة هو وضع مبادئ توجيهية شاملة لحماية المعلومات السرية الشفوية والمكتوبة والإلكترونية داخل المنظمة، وتحديدًا فيما يتعلق ببرنامج كاليفورنيا للتقدم والابتكار في برنامج إدارة الرعاية المعززة والدعم المجتمعي (ECM & CS). من خلال تنفيذ هذه السياسة، تهدف المنظمة إلى ضمان الامتثال لجميع القوانين الفيدرالية وقوانين الولاية ذات الصلة، بما في ذلك قانون قابلية التأمين الصحي والمساءلة (HIPAA)، والحفاظ على أعلى معايير النزاهة والسرية لجميع المعلومات الحساسة.

2. النطاق

تسري هذه السياسة على جميع الأفراد المرتبطين بالمنظمة، بما في ذلك الموظفين والمتعاقدين والمتطوعين والمتدربين وأي أشخاص آخرين لديهم إمكانية الوصول إلى المعلومات السرية المتعلقة ببرنامج إدارة المحتوى المؤسسي وإدارة المحتوى في كاليفورنيا. وهي تشمل جميع أشكال المعلومات السرية - الشفوية والمكتوبة والإلكترونية - وتحدد مسؤوليات جميع الأطراف في حماية هذه المعلومات من الوصول غير المصرح به أو استخدامها أو الإفصاح عنها أو تغييرها أو إتلافها.

3. التعاريف

تشير المعلومات السرية إلى أي بيانات أو معلومات خاصة أو حساسة أو مسجلة الملكية. وهذا يشمل، على سبيل المثال لا الحصر، المعلومات الصحية المحمية (PHI)، ومعلومات التعريف الشخصية (PII)، والسجلات المالية، وأي معلومات تنظيمية مملوكة. المعلومات الصحية المحمية هي أي معلومات حول الحالة الصحية للفرد، أو توفير الرعاية الصحية، أو دفع تكاليف الرعاية الصحية التي يمكن ربطها بشخص معين. المعلومات الصحية الإلكترونية المحمية (ePHI) هي المعلومات الصحية المحمية إلكترونيًا التي يتم إنشاؤها أو تخزينها أو نقلها أو استلامها إلكترونيًا. يُعرَّف أعضاء القوى العاملة بأنهم الموظفون والمتطوعون والمتدربون وأي أشخاص آخرين يخضع سلوكهم في أداء العمل لصالح المنظمة لسيطرتها المباشرة، بغض النظر عما إذا كانوا يتقاضون أجورًا من المنظمة أم لا.

4. بيانات السياسات

تلتزم المنظمة بحماية جميع أشكال المعلومات السرية من الوصول غير المصرح به أو استخدامها أو إفشائها أو تغييرها أو إتلافها. يُطلب من جميع أفراد القوى العاملة التعامل مع المعلومات السرية بمسؤولية وبما يتوافق مع القوانين والسياسات التنظيمية المعمول بها. يقتصر الوصول إلى المعلومات السرية بشكل صارم على الأفراد الذين يحتاجون إليها لأداء واجباتهم الوظيفية. يجب الإبلاغ عن أي خرق أو اشتباه في خرق المعلومات السرية على الفور وفقًا لإجراءات الإبلاغ عن الحوادث في المؤسسة.

5. الإجراءات

5.1. التحكم في الوصول

يُمنح الوصول إلى المعلومات السرية على أساس مبدأ الحد الأدنى من الامتيازات، مما يعني أن الأفراد يُمنحون الحد الأدنى من الوصول اللازم لأداء مهامهم الوظيفية. يجب على أعضاء فريق العمل استخدام معرّفات مستخدم فريدة وكلمات مرور قوية عند الوصول إلى الأنظمة الإلكترونية التي تحتوي على معلومات سرية. يجب الحفاظ على سرية كلمات المرور وعدم مشاركتها مع الآخرين. يجب التحكم في الوصول المادي إلى المناطق التي يتم فيها تخزين المعلومات السرية، مثل خزانات الملفات أو غرف الخوادم، من خلال الأقفال أو بطاقات الدخول أو غيرها من التدابير الأمنية. يجب مرافقة الزوار في المناطق التي يمكن الوصول إلى المعلومات السرية فيها.

5.2. التعامل مع المعلومات السرية

عند التعامل مع المعلومات الشفهية، يجب على أعضاء القوى العاملة التأكد من إجراء المحادثات التي تنطوي على معلومات سرية في أماكن خاصة لمنع الأفراد غير المصرح لهم من الاستماع إليها. ويشمل ذلك الانتباه للأماكن المحيطة في المكاتب المفتوحة أو المصاعد أو الكافيتريات أو الأماكن العامة.

بالنسبة للمعلومات المكتوبة، يجب تخزين الوثائق المادية التي تحتوي على معلومات سرية في أماكن آمنة عندما لا تكون قيد الاستخدام. قد يتضمن ذلك حفظ الوثائق في أدراج أو خزائن مغلقة. عند نقل الوثائق، يجب الاحتفاظ بها في مجلدات أو مظاريف آمنة وعدم تركها دون مراقبة.

يجب تخزين المعلومات الإلكترونية على خوادم آمنة مع تشفير مناسب وضوابط وصول مناسبة. يجب أن يقوم أعضاء فريق العمل بتسجيل الدخول أو قفل أجهزة الكمبيوتر الخاصة بهم عندما لا تكون قيد الاستخدام لمنع الوصول غير المصرح به. يجب أن تكون الأجهزة الإلكترونية مثل أجهزة الكمبيوتر المحمولة والأجهزة اللوحية والهواتف الذكية التي تحتوي على معلومات سرية مزودة بميزات أمنية مثل كلمات المرور أو الأقفال البيومترية.

5.3. نقل المعلومات السرية

يجب إرسال المعلومات السرية باستخدام طرق آمنة. عند إرسال الاتصالات الإلكترونية، يجب على أعضاء القوى العاملة استخدام خدمات البريد الإلكتروني المشفرة أو بروتوكولات نقل الملفات الآمنة. يجب عدم إرسال المعلومات السرية من خلال قنوات غير آمنة مثل البريد الإلكتروني العادي أو الرسائل الفورية ما لم تكن هناك تدابير أمنية مناسبة.

عند إرسال المعلومات السرية بالفاكس، يجب على أعضاء القوى العاملة التأكد من رقم الفاكس الخاص بالمستلم قبل الإرسال واستخدام ورقة غلاف تتضمن بيان السرية. يجب عليهم أيضًا التحقق من أن المستلم متاح لاستلام الفاكس لمنع الوصول غير المصرح به.

5.4. التخلص من المعلومات السرية

يجب التخلص من الوثائق السرية بشكل آمن. يجب تمزيق المستندات المادية باستخدام آلات التمزيق المتقاطعة أو وضعها في صناديق التخلص الآمنة المخصصة للمواد السرية. يجب تعقيم الوسائط الإلكترونية التي تحتوي على معلومات سرية، مثل الأقراص الصلبة أو أقراص USB أو الأقراص المدمجة، باستخدام طرق معتمدة لتدمير البيانات أو تدميرها فعلياً لمنع استرجاع البيانات.

5.5. استخدام الأجهزة الشخصية

إذا تم التصريح لأعضاء القوى العاملة باستخدام الأجهزة الشخصية للوصول إلى المعلومات السرية، فيجب أن تمتثل هذه الأجهزة لسياسات الأمان الخاصة بالمؤسسة. ويشمل ذلك تثبيت برامج الأمان، وتمكين تشفير الأجهزة، والالتزام بسياسات كلمات المرور. يجب ألا يتم تخزين المعلومات السرية على الأجهزة الشخصية ما لم يتم التصريح بها وتأمينها بشكل صريح. في حالة فقدان أو سرقة جهاز شخصي، يجب الإبلاغ عن الحادث على الفور.

5.6. التدريب والتوعية

يُطلب من جميع أعضاء القوى العاملة المشاركة في التدريب على حماية المعلومات السرية عند التعيين وعلى أساس سنوي بعد ذلك. ستغطي برامج التدريب موضوعات مثل التعرف على المعلومات السرية وإجراءات التعامل السليم والالتزامات القانونية وبروتوكولات الإبلاغ عن الانتهاكات أو الانتهاكات المشتبه بها. قد يتم توفير تدريب إضافي عند حدوث تغييرات في القوانين أو اللوائح أو السياسات التنظيمية لضمان الامتثال المستمر.

6. المسؤوليات

جميع أعضاء القوى العاملة مسؤولون عن فهم هذه السياسة والامتثال لها. يجب عليهم التعامل مع المعلومات السرية بشكل مناسب والإبلاغ عن أي انتهاكات مشتبه بها أو فعلية على الفور. يتحمل المشرفون والمديرون مسؤولية إضافية تتمثل في ضمان فهم فرقهم للسياسة والالتزام بإرشاداتها. يجب عليهم تسهيل الحصول على التدريب وأن يكونوا متاحين للرد على أي أسئلة أو مخاوف بشأن التعامل مع المعلومات السرية.

يتولى مسؤول أمن المعلومات مسؤولية الإشراف على تنفيذ التدابير الأمنية المصممة لحماية المعلومات السرية. ويشمل ذلك رصد الامتثال للسياسة وإجراء تقييمات أمنية منتظمة ومعالجة أي حوادث تنطوي على معلومات سرية.

7. المراقبة والامتثال

ستجري المنظمة عمليات تدقيق وتقييم منتظمة لمراقبة الامتثال لهذه السياسة. قد يتضمن ذلك مراجعة سجلات الوصول، وإجراء عمليات تفتيش مادية، وتقييم الضوابط الأمنية. قد يؤدي عدم الامتثال لهذه السياسة إلى اتخاذ إجراءات تأديبية، بما في ذلك إنهاء الخدمة. تحتفظ المنظمة بالحق في اتخاذ إجراءات قانونية إذا لزم الأمر.

8. الإخطار بالاختراق

في حالة حدوث خرق للمعلومات السرية، ستتبع المؤسسة جميع القوانين واللوائح المعمول بها فيما يتعلق بإخطار الأفراد والسلطات المتضررة. ويشمل ذلك إجراء تحقيق شامل لتحديد نطاق الاختراق، والتخفيف من أي ضرر، وتنفيذ تدابير لمنع وقوع حوادث مستقبلية. سيتم إخطار الأفراد المتضررين على الفور، وستتعاون المنظمة مع الهيئات التنظيمية حسب الاقتضاء.

9. المراجعة والتنقيح

ستتم مراجعة هذه السياسة على أساس سنوي وتحديثها عند الضرورة لتعكس التغييرات في القوانين أو اللوائح أو الممارسات التنظيمية. سيتم النظر في التعليقات الواردة من أعضاء القوى العاملة والدروس المستفادة من الحوادث أثناء عملية المراجعة لتعزيز فعالية السياسة.

10. المراجع

تسترشد هذه السياسة بقانون قابلية التأمين الصحي والمساءلة (HIPAA)، وقانون كاليفورنيا لسرية المعلومات الطبية (CMIA)، والقوانين الفيدرالية وقوانين الولاية الأخرى ذات الصلة. كما أنها تتماشى مع السياسات الداخلية للمؤسسة بشأن أمن المعلومات والخصوصية.

مقدمة

يكرس برنامج إدارة الرعاية المعززة والدعم المجتمعي (ECM & CS) في كاليفورنيا لإدارة الرعاية والدعم المجتمعي (ECM & CS) جهوده لتقديم خدمات إدارة رعاية عالية الجودة مع الالتزام بأقصى معايير السرية وحماية البيانات. في بيئة يتم فيها التعامل مع المعلومات الحساسة بشكل روتيني، من الضروري وجود سياسات قوية تحكم الوصول إلى البيانات السرية. تضع سياسة التحكم في الوصول هذه إطارًا شاملاً لمنح وتعديل وإلغاء الوصول إلى المعلومات السرية بناءً على التوظيف القائم على الأدوار داخل البرنامج. تم تصميم هذه السياسة لضمان حصول جميع الموظفين على حق الوصول المناسب بما يتماشى مع مسؤولياتهم الوظيفية والحفاظ على سرية المعلومات الحساسة بما يتوافق مع جميع القوانين واللوائح المعمول بها.

النطاق

تنطبق هذه السياسة على جميع الأفراد الذين لديهم إمكانية الوصول إلى المعلومات السرية داخل برنامج إدارة المحتوى الإلكتروني وإدارة المحتوى في كاليمار بما في ذلك على سبيل المثال لا الحصر الموظفين والمتعاقدين والمتطوعين والمتدربين والاستشاريين. وهي تغطي جميع أشكال البيانات السرية، سواء كانت مخزنة إلكترونيًا أو على الورق أو منقولة شفهيًا. تشمل السياسة جميع الأنظمة التنظيمية والشبكات وقواعد البيانات والمواقع المادية التي يتم فيها تخزين المعلومات السرية أو الوصول إليها.

بيان السياسة العامة

يعد الوصول إلى المعلومات السرية امتيازًا يترافق مع مسؤولية كبيرة. ويعتمد برنامج إدارة المحتوى المؤسسي وإدارة المحتوى في كاليفورنيا وإدارة المحتوى في كاليفورنيا على مبادئ الامتيازات الأقل والتحكم في الوصول القائم على الأدوار (RBAC) لتنظيم الوصول إلى البيانات الحساسة. وبموجب هذه السياسة، يتم تعيين حقوق الوصول بعناية لضمان حصول الأفراد على الحد الأدنى فقط من الوصول اللازم لأداء وظائفهم الوظيفية المحددة. يجب تعديل حقوق الوصول على الفور استجابةً لأي تغييرات في دور الفرد أو حالته الوظيفية، بما في ذلك الترقيات أو التنقلات الجانبية أو التخفيضات أو إنهاء الخدمة. يقلل هذا النهج من مخاطر الوصول غير المصرح به ويساعد على حماية سلامة وسرية المعلومات الحساسة.

الأدوار والمسؤوليات

مدير البرنامج

يتحمل مدير البرنامج المسؤولية النهائية عن تنفيذ سياسة التحكم في الوصول هذه وتطبيقها. ويشمل ذلك الموافقة على تعريفات الأدوار، وتحديد مستويات الوصول المناسبة لمختلف المناصب، وضمان توافق السياسة مع الأهداف التنظيمية والمتطلبات التنظيمية. يتعاون مدير البرنامج أيضًا مع الإدارات الأخرى لمعالجة أي مشكلات تتعلق بالتحكم في الوصول وحماية البيانات.

إدارة الموارد البشرية

يؤدي قسم الموارد البشرية (HR) دوراً حاسماً في إدارة حقوق الوصول. فالموارد البشرية مسؤولة عن إخطار قسم تكنولوجيا المعلومات (IT) ومسؤول الامتثال بجميع التغييرات التي تطرأ على الموظفين، بما في ذلك التعيينات الجديدة وتغييرات الأدوار وإنهاء الخدمة. يجب أن يتم هذا الإخطار على الفور لضمان إجراء تعديلات على حقوق الوصول في الوقت المناسب. كما أن قسم الموارد البشرية مكلف أيضًا بضمان أن تعكس التوصيفات الوظيفية بدقة متطلبات الوصول والمسؤوليات المرتبطة بكل دور، وبالتالي تسهيل تدابير مراقبة الوصول المناسبة.

قسم تكنولوجيا المعلومات

إدارة تكنولوجيا المعلومات مسؤولة عن إدارة الجوانب التقنية للتحكم في الوصول. ويشمل ذلك تهيئة وصيانة الأنظمة التي تفرض حقوق الوصول، ومعالجة الطلبات المصرح بها لمنح أو تعديل أو إلغاء الوصول، والتأكد من أن ضوابط الوصول تعمل بشكل صحيح. يحتفظ قسم تكنولوجيا المعلومات بسجلات تدقيق مفصلة للوصول إلى المعلومات السرية، وهي ضرورية لمراقبة الامتثال والتحقيق في الحوادث الأمنية المحتملة. بالإضافة إلى ذلك، يتعاون قسم تكنولوجيا المعلومات مع الموارد البشرية والمشرفين لضمان توافق حقوق الوصول مع المسؤوليات الوظيفية الحالية.

مسؤول الامتثال

يشرف مسؤول الامتثال على الالتزام بهذه السياسة ويضمن امتثال المنظمة لجميع القوانين واللوائح ذات الصلة، مثل قانون HIPAA. ويشمل هذا الدور إجراء عمليات تدقيق دورية ومراجعات الوصول للتحقق من أن حقوق الوصول قد تم تعيينها بشكل مناسب وأنه لم يحدث أي وصول غير مصرح به. مسؤول الامتثال مسؤول أيضًا عن تطوير وتقديم برامج تدريبية حول السرية وحماية البيانات والامتثال التنظيمي لتثقيف الموظفين حول مسؤولياتهم بموجب هذه السياسة.

المشرفون والمدراء

يتحمل المشرفون والمدراء المسؤولية المباشرة عن بدء طلبات الوصول لأعضاء فريقهم. ويجب أن يتأكدوا من أن هذه الطلبات تعكس بدقة إمكانية الوصول اللازمة لدور كل عضو من أعضاء الفريق. المشرفون مسؤولون أيضًا عن مراقبة امتثال فريقهم لسياسات الوصول، ومعالجة أي مسائل تتعلق بعدم الامتثال، وإبلاغ الموارد البشرية وتكنولوجيا المعلومات بأي تغييرات في حالة التوظيف أو الدور على الفور. يلعبون دورًا رئيسيًا في تعزيز أهمية حماية البيانات والسرية داخل فرقهم.

الموظفون والمستخدمون المصرح لهم

يجب على كل موظف ومستخدم مصرح له بالوصول إلى المعلومات السرية أن يستخدم هذا الوصول بمسؤولية. يُتوقع من المستخدمين الوصول فقط إلى المعلومات التي لديهم تفويض صريح لها والحفاظ على سرية أي معلومات يتعاملون معها. يجب عليهم عدم مشاركة بيانات اعتماد الوصول الخاصة بهم مع الآخرين ويجب عليهم الإبلاغ عن أي وصول غير مصرح به أو انتهاكات أمنية مشتبه بها على الفور إلى المشرف عليهم أو إدارة تكنولوجيا المعلومات أو مسؤول الامتثال. من المتوقع أيضًا أن يشارك الموظفون في الدورات التدريبية المطلوبة للبقاء على علم بالسياسات وأفضل الممارسات المتعلقة بحماية البيانات.

الإجراءات

تفويض الدخول للموظفين الجدد

عندما ينضم موظف جديد إلى المؤسسة، تبدأ إدارة الموارد البشرية عملية تفويض الوصول. يجب على قسم الموارد البشرية تقديم طلب وصول رسمي إلى قسم تكنولوجيا المعلومات، يوضح بالتفصيل دور الموظف الجديد وحقوق الوصول المحددة المطلوبة. يجب أن يستند هذا الطلب إلى ملفات تعريف وصول محددة مسبقاً تتوافق مع وظيفة الموظف. قبل منح أي حق وصول، يجب على الموظف الجديد إكمال التدريب الإلزامي على السرية وسياسات حماية البيانات واللوائح ذات الصلة مثل قانون HIPAA. ثم يقوم قسم تكنولوجيا المعلومات بعد ذلك بتكوين حقوق الوصول اللازمة، مما يضمن حصول الموظف على الأدوات اللازمة لأداء وظيفته بفعالية مع الحفاظ على الامتثال لمبدأ الامتيازات الأقل.

تعديل الوصول لتغيير الدور

في الحالات التي يتغير فيها دور الموظف - سواء كان ذلك بسبب الترقية أو النقل أو إعادة الهيكلة - يجب على المشرف إخطار كل من قسم الموارد البشرية وقسم تكنولوجيا المعلومات على الفور. يجب تقديم طلب تعديل الوصول، مع تحديد التغييرات في المسؤوليات والتعديلات المقابلة المطلوبة في حقوق الوصول. تقوم إدارة تقنية المعلومات بمراجعة الطلب وتعديل صلاحية وصول الموظف وفقًا لذلك. إذا كان الدور الجديد ينطوي على التعامل مع أنواع مختلفة من المعلومات السرية أو يتطلب تصريحًا أمنيًا إضافيًا، يجب على الموظف إكمال أي تدريب إضافي ضروري قبل منح حقوق الوصول الجديدة.

إزالة الوصول عند الإنهاء

عند إنهاء خدمة الموظف، سواءً كان إنهاء الخدمة طوعياً أو غير طوعي، يكون قسم الموارد البشرية مسؤولاً عن بدء عملية إزالة الوصول. يجب على قسم الموارد البشرية إخطار إدارة تكنولوجيا المعلومات فور تلقي إشعار بإنهاء الخدمة. يجب على إدارة تكنولوجيا المعلومات إلغاء جميع امتيازات الوصول الخاصة بالموظف بحلول نهاية آخر يوم عمل له. وهذا يشمل تعطيل حسابات الشبكة، وإلغاء الوصول إلى التطبيقات وقواعد البيانات، واسترداد أي أجهزة مملوكة للمؤسسة. كما يجب أن تجمع الموارد البشرية أيضًا جميع أجهزة الوصول المادي من الموظف المغادر، مثل شارات التعريف والمفاتيح وبطاقات الدخول، لمنع الوصول المادي غير المصرح به إلى مرافق المؤسسة.

مراجعة الوصول الدوري

لضمان الامتثال المستمر لسياسات التحكم في الوصول، يجري مسؤول الامتثال وإدارة تكنولوجيا المعلومات مراجعات نصف سنوية لجميع حقوق الوصول. خلال هذه المراجعات يتحققون من أن وصول كل فرد لا يزال مناسبًا لدوره ومسؤولياته الحالية. وتتضمن عملية المراجعة التحقق من سجلات الوصول، وتأكيد تعيينات الأدوار، والتأكد من عدم منح أي وصول غير مصرح به. يتم توثيق أي اختلافات يتم تحديدها وإبلاغ مدير البرنامج لاتخاذ إجراءات تصحيحية فورية. يساعد هذا النهج الاستباقي على منع الانتهاكات الأمنية والحفاظ على سلامة المعلومات السرية.

سجلات التدقيق والمراقبة

تحتفظ إدارة تكنولوجيا المعلومات بسجلات تدقيق شاملة تسجل جميع عمليات الوصول إلى المعلومات السرية. تسجل هذه السجلات تفاصيل مثل هوية المستخدم، والبيانات التي تم الوصول إليها، ووقت الوصول، والإجراءات التي تم تنفيذها. تتم مراجعة سجلات التدقيق كل ثلاثة أشهر للكشف عن أي أنماط من الوصول غير المصرح به أو الأنشطة المشبوهة. إذا تم العثور على أي مخالفات، يتعاون قسم تكنولوجيا المعلومات مع مسؤول الامتثال للتحقيق في الأمر بدقة. ثم يتم اتخاذ التدابير المناسبة لمعالجة أي مشاكل أمنية، والتي قد تشمل اتخاذ إجراءات تأديبية ضد الأفراد الذين انتهكوا السياسة.

بروتوكول الوصول في حالات الطوارئ

في الظروف الاستثنائية التي يكون فيها الوصول الفوري إلى المعلومات السرية ضروريًا لمعالجة حالة طارئة، يجوز منح حق الوصول المؤقت. ويتطلب مثل هذا الوصول موافقة صريحة من مدير البرنامج أو مفوض معتمد. يجب توثيق طلب الوصول في حالات الطوارئ، بما في ذلك مبررات الوصول والمعلومات المحددة المطلوبة. ستقوم إدارة تكنولوجيا المعلومات بمنح الوصول المؤقت ومراقبة جميع الأنشطة التي يتم تنفيذها بموجب هذا البند. يتم إلغاء الوصول في حالات الطوارئ بمجرد انتفاء الحاجة إليه، ويتم إجراء مراجعة بعد الحدث لتقييم مدى ملاءمة الوصول وتحديث السياسات أو الإجراءات إذا لزم الأمر.

الامتثال والإنفاذ

إن الامتثال لسياسة مراقبة الدخول هذه إلزامي لجميع الأفراد في نطاق هذه السياسة. قد يؤدي عدم الامتثال إلى اتخاذ إجراءات تأديبية، والتي يمكن أن تشمل التوبيخ أو الإيقاف عن العمل أو إنهاء العمل أو العقد، واحتمال اتخاذ إجراءات قانونية في حالة انتهاك القوانين. تأخذ المنظمة الانتهاكات على محمل الجد بسبب المخاطر المحتملة التي تشكلها على العملاء والشركاء وسمعة المنظمة. من المتوقع أن يقوم جميع الموظفين بالإبلاغ عن أي انتهاكات مشتبه بها لهذه السياسة إلى مشرفهم أو مسؤول الامتثال أو من خلال قنوات الإبلاغ المعمول بها دون خوف من الانتقام.

التعاريف

معلومات سرية

تشير المعلومات السرية إلى أي بيانات محمية بموجب الأطر القانونية أو التنظيمية، بما في ذلك على سبيل المثال لا الحصر قانون قابلية التأمين الصحي والمساءلة (HIPAA). ويشمل ذلك المعلومات الصحية الشخصية (PHI)، ومعلومات التعريف الشخصية (PII)، والسجلات المالية، ومعلومات الأعمال التجارية المملوكة، وأي بيانات أخرى من واجب المؤسسة حمايتها من الإفصاح غير المصرح به.

التحكم في الوصول المستند إلى الدور (RBAC)

التحكم في الوصول المستند إلى الأدوار هو نهج أمني يتم فيه تعيين أذونات الوصول إلى أدوار محددة داخل المؤسسة، بدلاً من المستخدمين الأفراد. ثم يتم تعيين أدوار للمستخدمين بناءً على وظائفهم الوظيفية، والتي تحدد مستوى وصولهم إلى الأنظمة والمعلومات. تعمل هذه الطريقة على تبسيط إدارة الوصول وتعزيز الأمن من خلال ضمان وصول المستخدمين فقط إلى المعلومات الضرورية لأدوارهم.

مبدأ الحد الأدنى من الامتيازات

مبدأ الحد الأدنى من الامتيازات هو مفهوم أمني ينص على ضرورة منح المستخدمين الحد الأدنى من الوصول - أو الأذونات - الضروري لأداء مهامهم الوظيفية. من خلال الحد من حقوق الوصول، تقلل المنظمة من مخاطر الوصول غير المصرح به إلى المعلومات الحساسة وتقلل من التأثير المحتمل للاختراقات الأمنية.

السياسات ذات الصلة

سياسة التحكم في الوصول هذه جزء من مجموعة شاملة من السياسات المصممة لحماية المعلومات السرية وضمان الامتثال التنظيمي. وتشمل السياسات الأخرى ذات الصلة ما يلي:

• سياسة خصوصية البيانات: يحدد التزام المؤسسة بحماية البيانات الشخصية ويحدد إجراءات التعامل مع هذه المعلومات.
• سياسة أمن المعلومات: يحدد التدابير المتخذة لحماية أصول المعلومات الخاصة بالمؤسسة من التهديدات مثل الوصول غير المصرح به والهجمات الإلكترونية واختراق البيانات.
• سياسة الامتثال لقانون HIPAA: تفاصيل المتطلبات والإجراءات المحددة للتعامل مع المعلومات الصحية المحمية بما يتوافق مع لوائح قانون HIPAA.
• اتفاقية سرية الموظفين: اتفاقية ملزمة يجب أن يوقع عليها جميع الموظفين، يقرون فيها بمسؤولياتهم في حماية المعلومات السرية.

من المتوقع أن يكون الموظفون على دراية بهذه السياسات وأن يدمجوا إرشاداتها في ممارسات عملهم اليومية.

المراجع

قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA)

قانون فيدرالي تم سنه لحماية المعلومات الصحية الحساسة للمرضى من الكشف عنها دون موافقة المريض أو علمه. يُطلب من المنظمات التي تتعامل مع المعلومات الصحية المحمية الإلكترونية (PHI) تنفيذ ضمانات إدارية ومادية وتقنية لضمان سرية وسلامة وأمن المعلومات الصحية المحمية الإلكترونية (ePHI).

إرشادات برنامج CalAIM ECM & CS

المبادئ التوجيهية الخاصة بالولاية التي تحدد متطلبات تنفيذ برنامج إدارة الرعاية المعززة والدعم المجتمعي. توفر هذه المبادئ التوجيهية توجيهات بشأن عمليات البرنامج، وأهلية المشاركين، والإبلاغ عن البيانات، والجوانب الهامة الأخرى التي تؤثر على كيفية إدارة المعلومات السرية.

دليل موظفي المنظمة

مورد شامل يحتوي على سياسات إضافية تتعلق بسلوك الموظفين، وتوقعات مكان العمل، والتزامات السرية، وإجراءات معالجة الانتهاكات. ويكمل الكتيب هذه السياسة من خلال توفير سياق أوسع وإرشادات حول المعايير التنظيمية.

الموافقة والمراجعة

تسري سياسة التحكم في الوصول هذه اعتباراً من [يُدرج تاريخ السريان]. ستتم مراجعة السياسة سنويًا أو حسبما تقتضيه التغييرات في المتطلبات التنظيمية أو الهيكل التنظيمي أو الاحتياجات التشغيلية. يجب أن يوافق مدير البرنامج على تنقيحات السياسة لضمان الاتساق مع الأهداف التنظيمية وتفويضات الامتثال.

شكر وتقدير

يُطلب من جميع الأفراد الذين يتم منحهم حق الوصول إلى المعلومات السرية التوقيع على نموذج إقرار يؤكد أنهم قرأوا وفهموا ووافقوا على الامتثال لسياسة مراقبة الوصول هذه. يتم الاحتفاظ بالإقرار الموقّع في ملف الموظف أو سجلات المتعاقدين. من خلال التوقيع، يؤكد الأفراد التزامهم بالتمسك بمعايير المنظمة لحماية البيانات والسرية.

الخاتمة

يعد الالتزام بسياسة التحكم في الوصول هذه أمرًا ضروريًا للحفاظ على سرية وسلامة وتوافر المعلومات الحساسة داخل برنامج إدارة المحتوى الإلكتروني وإدارة المحتوى في كاليمار. ومن خلال اتباع الإجراءات والمبادئ التوجيهية الموضحة في هذه السياسة، تضمن المنظمة الامتثال للمتطلبات القانونية والتنظيمية، وتحمي خصوصية الأفراد، وتحافظ على الثقة التي وضعها فينا العملاء والشركاء والمجتمع. إنها مسؤولية جماعية تقع على عاتق جميع الموظفين للمساهمة في توفير بيئة عمل آمنة وأخلاقية حيث يتم التعامل مع المعلومات السرية بأعلى مستوى من الرعاية والاحترافية.

1. الغرض

الغرض من هذه السياسة هو وضع إجراءات شاملة للتخلص الآمن من المعلومات السرية داخل برنامج كاليفورنيا للتقدم والابتكار في برنامج إدارة الرعاية المعززة والدعم المجتمعي (ECM & CS) في كاليفورنيا. من خلال تنفيذ هذه الإجراءات، نهدف إلى ضمان الامتثال الكامل لجميع القوانين الفيدرالية وقوانين الولاية المعمول بها، بما في ذلك قانون قابلية التأمين الصحي والمساءلة (HIPAA) ولوائح الخصوصية في كاليفورنيا. يعد التخلص الآمن أمرًا بالغ الأهمية لمنع الوصول غير المصرح به إلى المعلومات الحساسة أو الإفصاح عنها أو إساءة استخدامها، وبالتالي حماية خصوصية الأفراد والحفاظ على سلامة برنامج إدارة المحتوى الإلكتروني ودعم المجتمع.

2. النطاق

تنطبق هذه السياسة على جميع الأفراد المرتبطين ببرنامج إدارة المحتوى المؤسسي وإدارة المحتوى في كاليمار. ويشمل ذلك الموظفين والمتعاقدين والمتطوعين وأي شركاء خارجيين يتعاملون مع المعلومات السرية بأي صفة كانت. كل شخص ضمن هذا النطاق مسؤول عن فهم الإجراءات الموضحة في هذه السياسة والالتزام بها لضمان التخلص الآمن من المعلومات السرية.

3. التعاريف

معلومات سرية يشير إلى أي بيانات محمية بموجب القانون الفيدرالي أو قانون الولاية. وهذا يشمل، على سبيل المثال لا الحصر، المعلومات الصحية المحمية (PHI) ومعلومات التعريف الشخصية (PII) والبيانات التنظيمية الحساسة. التخلص من النفايات يُعرف بأنه فعل التخلص من المعلومات أو الوسائط التي تحتوي على معلومات سرية أو إتلافها بطريقة تمنع الوصول غير المصرح به أو إعادة بناء المعلومات.

4. بيان السياسة العامة

يجب التخلص من جميع المعلومات السرية بشكل آمن لمنع أي احتمال للوصول غير المصرح به أو الكشف عنها أو إساءة استخدامها. يجب أن تجعل طرق التخلص المستخدمة المعلومات غير قابلة للاسترداد وغير قابلة للقراءة. تنص هذه السياسة على الالتزام الصارم بممارسات التخلص الآمن من السجلات المادية والإلكترونية على حد سواء، مع ضمان فهم جميع الموظفين للإجراءات اللازمة وتنفيذها.

5. الإجراءات

5.1 السجلات المادية

يجب التعامل مع جميع الوثائق المادية التي تحتوي على معلومات سرية بعناية فائقة أثناء عملية التخلص منها. وقبل التخلص منها، يجب تخزين هذه الوثائق في أماكن آمنة. وعلى وجه التحديد، يجب وضعها في حاويات مقفلة مخصصة للمواد السرية في انتظار التمزيق. يجب أن تكون هذه الحاويات مكتوب عليها بوضوح “سري-للتمزيق” لمنع الوصول إليها عن طريق الخطأ أو سوء التعامل معها.

عند التخلص من هذه المستندات، يجب استخدام آلات التقطيع المتقاطع للتدمير في الموقع. يضمن التمزيق المتقاطع أن يتم تمزيق المستندات إلى قطع صغيرة لا يمكن إعادة تجميعها، وبالتالي حماية المعلومات الموجودة بداخلها. إذا تم استخدام خدمة تمزيق من طرف ثالث، فمن الضروري التحقق من أن مزود الخدمة معتمد ويلتزم بمعايير السرية الصارمة. يجب على مزود الخدمة تقديم شهادة إتلاف لكل دفعة من المستندات التي يتم إتلافها، لتكون بمثابة سجل يمكن التحقق منه للامتثال.

يتحمل المشرفون مسؤولية الإشراف على عملية التمزيق. ويجب أن يتحققوا من إتمام عملية التمزيق بانتظام وتوثيقها وفقًا لذلك. ويضمن هذا الإشراف اتساق عملية التخلص من الملفات وعدم تعرض أي معلومات سرية للخطر بسبب التأخير أو الهفوات الإجرائية.

5.2 السجلات الإلكترونية

تتطلب السجلات الإلكترونية عناية خاصة بسبب إمكانية استعادة البيانات حتى بعد حذفها. عند التخلص من السجلات الإلكترونية، يجب استخدام برنامج آمن لحذف البيانات. يجب أن تتوافق البرمجيات مع معايير وزارة الدفاع (DoD 5220.22-M) لتعقيم البيانات، والتي تتضمن الكتابة فوق البيانات عدة مرات لمنع أي إمكانية لاستعادتها.

بالنسبة للوسائط الإلكترونية التي لا يمكن مسحها بأمان - مثل الأقراص الصلبة التالفة أو الأجهزة غير العاملة - يجب استخدام طرق التدمير المادي. يمكن أن يشمل التدمير المادي إزالة المغناطيسية (إزالة مغناطيسية وسائط التخزين) أو التمزيق أو الحرق. تضمن هذه الطرق عدم إمكانية إعادة بناء البيانات بأي وسيلة.

يعد التنسيق مع قسم تكنولوجيا المعلومات أمرًا بالغ الأهمية للتخلص من الخوادم وأجهزة الكمبيوتر والأجهزة المحمولة والمعدات الإلكترونية الأخرى. قسم تكنولوجيا المعلومات مسؤول عن ضمان محو جميع البيانات بشكل آمن قبل التخلص من المعدات أو إعادة تخصيصها أو إعادة تدويرها. يجب عليهم اتباع أفضل الممارسات في هذا المجال والاحتفاظ بسجلات لعملية التخلص.

5.3 أجهزة التخزين المحمولة

تشكّل أجهزة التخزين المحمولة مثل محركات أقراص USB والأقراص المدمجة وأقراص الفيديو الرقمية (DVD) خطرًا فريدًا بسبب حجمها وقابليتها للنقل. يجب إجراء جرد دقيق لجميع أجهزة التخزين المحمولة التي تحتوي على معلومات سرية. يجب أن يتضمن هذا الجرد تفاصيل مثل نوع الجهاز والمعلومات التي يحتويها والجهة الحافظة الحالية له.

عندما لا تعود هناك حاجة إلى أجهزة التخزين المحمولة، يجب التخلص منها بشكل آمن. التدمير المادي هو الطريقة المفضلة لضمان عدم إمكانية استرجاع البيانات. قد تشمل الطرق تمزيق الأجهزة أو حرقها، اعتماداً على المواد المستخدمة.

5.4 أجهزة الفاكس والطابعات والناسخات

تحتوي العديد من أجهزة الفاكس والطابعات وآلات النسخ الحديثة على ذاكرة داخلية تخزن نسخاً من المستندات التي يعالجها الجهاز. قبل التخلص من هذه المعدات أو إعادة تخصيصها، يجب مسح جميع البيانات المخزنة من الذاكرة الداخلية. قد يؤدي عدم القيام بذلك إلى الوصول غير المصرح به إلى معلومات سرية.

إذا كانت المعدات مستأجرة وستتم إعادتها إلى البائع، فمن الضروري التأكد من أن البائع ملزم تعاقدياً بمسح جميع البيانات من ذاكرة المعدات بشكل آمن. يجب توثيق هذه الاتفاقية خطيًا، مما يوفر الحماية القانونية ويضمن الامتثال.

5.5 مقاولو الطرف الثالث

عند مشاركة متعاقدين خارجيين في التخلص من المعلومات السرية، يجب بذل العناية الواجبة للتحقق من امتثالهم لهذه السياسة وجميع المتطلبات القانونية. ويشمل ذلك مراجعة إجراءاتهم وشهاداتهم وسجلهم في التعامل مع المعلومات السرية.

يجب إبرام اتفاقات مكتوبة مع جميع المتعاقدين الخارجيين، تحدد صراحةً التزاماتهم المتعلقة بالسرية والإجراءات التي يجب عليهم اتباعها للتخلص الآمن من المعلومات. يجب أن تتضمن هذه الاتفاقيات أحكامًا للتدقيق والتحقق من الامتثال، بما يضمن التزام المتعاقدين بنفس المعايير العالية التي تتبعها المنظمة.

6. المسؤوليات

يتحمل جميع الموظفين مسؤولية الالتزام بهذه السياسة والإبلاغ عن أي انتهاكات أو مخاطر محتملة على الفور إلى المشرف عليهم أو مسؤول الامتثال. اليقظة ضرورية لمنع الوصول غير المصرح به إلى المعلومات السرية.

يجب على المشرفين التأكد من امتثال أعضاء فريقهم للسياسة. وهم مسؤولون عن توفير الموارد والدعم اللازمين لممارسات التخلص الآمن من النفايات والإبلاغ عن أي مشاكل أو مخاوف على الفور.

يضطلع قسم تكنولوجيا المعلومات بدور حاسم في إدارة التخلص الآمن من المعدات الإلكترونية. وهي مكلفة بتنفيذ الحلول التقنية لتدمير البيانات وتقديم التوجيه والدعم للأقسام الأخرى حسب الحاجة.

يشرف مسؤول الامتثال على تنفيذ هذه السياسة على مستوى المؤسسة. ويشمل ذلك إجراء عمليات تدقيق منتظمة لتقييم الامتثال، ومعالجة أي مشاكل يتم تحديدها، وتحديث السياسة حسب الضرورة لتعكس التغييرات في القوانين أو الممارسات التنظيمية.

7. التدريب

لضمان التنفيذ الفعال، يجب على جميع الموظفين والمنتسبين الخضوع لتدريب إلزامي على التخلص الآمن من المعلومات السرية. سيتم توفير هذا التدريب عند التعيين وسنوياً بعد ذلك. سيغطي التدريب أهمية التخلص الآمن من المعلومات السرية والإجراءات المحددة الواجب اتباعها والآثار القانونية المترتبة على عدم الامتثال. إن التعليم المستمر يعزز التزام المنظمة بالسرية ويزود الموظفين بالمعرفة اللازمة للاضطلاع بمسؤولياتهم بفعالية.

8. الامتثال والإنفاذ

الامتثال لهذه السياسة إلزامي. قد يؤدي عدم الامتثال إلى اتخاذ إجراءات تأديبية، بما في ذلك إنهاء التوظيف أو العقود. وفي حالات سوء السلوك المتعمد أو الإهمال الجسيم، قد يتم اتخاذ إجراءات قانونية أيضاً. تلتزم المنظمة بتطبيق هذه السياسة لحماية سرية المعلومات والحفاظ على الثقة مع العملاء والشركاء والهيئات التنظيمية.

9. المراجع

تسترشد هذه السياسة بالعديد من التشريعات الرئيسية والتوجيهات التنظيمية، بما في ذلك:

• قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA): يضع معايير وطنية لحماية المعلومات الصحية.
• قانون كاليفورنيا لسرية المعلومات الطبية (CMIA): يحكم خصوصية المعلومات الطبية داخل الولاية.
• قانون خصوصية المستهلك في كاليفورنيا (CCPA) توفير حقوق المستهلكين فيما يتعلق بمعلوماتهم الشخصية.
• لوائح إدارة خدمات الرعاية الصحية (DHCS): الإشراف على برنامج ميدي-كال والبرامج ذات الصلة.

توفر هذه المراجع الإطار القانوني الذي تعمل ضمنه هذه السياسة وتؤكد على أهمية الامتثال.

10. المراجعة والتنقيح

ستتم مراجعة هذه السياسة سنويًا لضمان مواكبتها للمتطلبات القانونية وأفضل الممارسات. وستتم مراجعتها حسب الحاجة استجابة للتغييرات في التشريعات أو التكنولوجيا أو الإجراءات التنظيمية. سوف يتم الاسترشاد بالتعليقات الواردة من الموظفين ونتائج عمليات تدقيق الامتثال في أي تحديثات ضرورية، مما يضمن تطور السياسة لمواجهة التحديات الناشئة.