建立并執(zhí)行可接受的使用政策

如果你還沒有為你們機(jī)構(gòu)的計(jì)算機(jī)與網(wǎng)絡(luò)制訂一個(gè)可接受使用政策，你們公司就容易受到安全攻擊、遭受可能的法令罰款與法律訴訟——或者來自受到你們用戶行為傷害的人，或者來自因?yàn)榫W(wǎng)絡(luò)使用不當(dāng)而遭到懲罰的用戶。

今天，不同規(guī)模的組織都對員工通過公司計(jì)算機(jī)設(shè)備或網(wǎng)絡(luò)連接所做的事情感到擔(dān)憂。這不再是浪費(fèi)工作時(shí)間或網(wǎng)絡(luò)帶寬成本的問題。由于政府規(guī)章、民事訴訟與在線行為不當(dāng)犯罪指控的日益增加，公司很有必要制訂并執(zhí)行管理計(jì)算機(jī)與網(wǎng)絡(luò)使用的明確條例來保護(hù)自己的資產(chǎn)；并有必要制訂政策來保護(hù)網(wǎng)絡(luò)的安全、阻止用戶帶進(jìn)病毒、防止系統(tǒng)或整個(gè)網(wǎng)絡(luò)受到攻擊。

這就是為什么我們從一開始就有必要建立可接受使用政策的原因所在。僅告訴員工不要在工作機(jī)器上做與工作無關(guān)的事情是不夠的。你必須制訂并分發(fā)書面政策，并讓用戶簽名同意，表明他們收到并閱讀了該政策。關(guān)鍵在于構(gòu)思有效、公正并不會(huì)隨機(jī)構(gòu)擴(kuò)大而過時(shí)的政策。

優(yōu)秀可接受使用政策基本要素

AUP規(guī)定一整套正式的規(guī)則，限制網(wǎng)絡(luò)與計(jì)算機(jī)設(shè)備的應(yīng)用方式。其中應(yīng)包括明確的聲明，對程序要求與用戶責(zé)任進(jìn)行定義。

以下是制訂政策的幾點(diǎn)提示：

應(yīng)明確說明所禁止的行為?！敖共贿m當(dāng)?shù)膽?yīng)用”這樣的短語含糊，而且不明確。你必須明確定義何為不適當(dāng)?shù)男袨椤．?dāng)然，你可能無法想到所有被認(rèn)為是“不適當(dāng)?shù)摹毙袨?，但?yīng)指出最常見的誤用行為。例如，你可以禁止發(fā)送包含露骨色情的電子郵件，或是色情文本與圖片、禁止使用網(wǎng)絡(luò)瀏覽器來訪問在線賭博網(wǎng)站，等等。
隱私聲明能夠處理你沒有特別提到的行為。例如，你可以禁止從事任何違反當(dāng)?shù)亍⒅莼蚵?lián)邦法律的互聯(lián)網(wǎng)行為，或禁止發(fā)送任何透露公司、客戶或合作伙伴機(jī)密信息的電子郵件、即時(shí)信息、文件或其它通信。
為使政策高效、可執(zhí)行性強(qiáng)，政策必須得到管理方的支持，并指定專人負(fù)責(zé)監(jiān)督政策的制訂與更新。此人通常為首席信息官(CIO)。
政策應(yīng)由公司律師進(jìn)行審核。盡管在政策文本中有必要包含一些法律術(shù)語，但每項(xiàng)政策還應(yīng)包含一份摘要，將難懂的語言“轉(zhuǎn)換”成一般用戶能夠理解的外行名詞。

政策內(nèi)容

通常，UAP中應(yīng)包含以下內(nèi)容：

公司網(wǎng)絡(luò)用戶隱私政策及一份聲明，即出于安全考慮，公司計(jì)算機(jī)或公司網(wǎng)絡(luò)上存儲(chǔ)或發(fā)送的通信必須受到公司的監(jiān)控。
控股公司信息政策。共享密碼與賬戶信息政策：禁止用戶登錄自己賬戶以外的其它賬戶，或者允許其它人用他們的憑證登錄，或在他們登錄時(shí)使用他們的系統(tǒng)。

安全政策，如要求在離開辦公桌時(shí)鎖定工作站；電子郵件附件政策，禁止用戶廢除或回避計(jì)算機(jī)和網(wǎng)絡(luò)上的安全功能和機(jī)制；禁止安裝未授權(quán)的軟件；禁止未經(jīng)授權(quán)復(fù)制公司信息或可移動(dòng)媒體，或?qū)⑵浒l(fā)送到網(wǎng)絡(luò)之外。

密碼術(shù)使用政策。

粘貼新聞組與討論板政策，需要棄權(quán)書聲明送交者的個(gè)人觀點(diǎn)并不代表公司立場。將個(gè)人所有的筆記本電腦、手持計(jì)算機(jī)與智能電話連接到公司網(wǎng)絡(luò)政策。禁止將未經(jīng)許可的調(diào)制調(diào)解器、無線訪問點(diǎn)及其它設(shè)備連接到公司網(wǎng)絡(luò)上。

不適當(dāng)應(yīng)用與行為定義，如色情、版權(quán)違反與非法文件共享；發(fā)送騷擾或威脅內(nèi)容；發(fā)送垃圾郵件；從事網(wǎng)絡(luò)欺詐及其它欺詐行為；入侵網(wǎng)絡(luò)內(nèi)部或網(wǎng)絡(luò)之外的其它系統(tǒng)；傳播惡意代碼，未經(jīng)許可訪問網(wǎng)絡(luò)上的數(shù)據(jù)；在網(wǎng)絡(luò)上截取發(fā)送到其他用戶的數(shù)據(jù)（應(yīng)用“探測器”或其它工具）；應(yīng)用欺騙技術(shù)來掩飾電子郵件地址或其它網(wǎng)絡(luò)行為。
這些就是一般由AUP處理的主題。它并不全面，且其內(nèi)容因公司而異。

后果與執(zhí)行

違反政策的后果應(yīng)該在政策中加以定義。由于違反本身的嚴(yán)重程度各不相同，根據(jù)特殊的違反現(xiàn)象以及違反者的企圖，其后果也有所不同。例如，給朋友發(fā)送一封簡短的包含無害內(nèi)容的電子郵件的后果，就與利用公司網(wǎng)絡(luò)進(jìn)行兼職（合法）業(yè)務(wù)的后果不同，相反，那些將兒童色情內(nèi)容下載到公司計(jì)算機(jī)上的行為的后果也不一樣。

實(shí)際上，第一個(gè)例子可以定義為違反政策，或根本就算不上是違反政策。一些公司允許你有限制地將公司電子郵件賬戶用于個(gè)人目的，就像允許用公司電話進(jìn)行有限的個(gè)人通話一樣。這又引起了另外一個(gè)問題：你應(yīng)當(dāng)僅設(shè)定你打算執(zhí)行的政策。

如果你制訂了一項(xiàng)限制性過強(qiáng)的政策，以防需要用它來反對某人，接著又忽略了它，那些由于違反此項(xiàng)或其它政策而隨后受到懲罰的用戶可能會(huì)爭辯，稱你在過去有意地容許違反政策而制訂了一條相沖突的不成文的政策，而且/或者你以武斷或不公正的方式執(zhí)行政策。根據(jù)這些理由，受懲罰的員工甚至能夠成功向你提起訴訟。

因此，我們應(yīng)平等地執(zhí)行政策。這并不意味著一些人可以得到豁免，如果是這樣，應(yīng)在政策中明確說明豁免的情況。例如，你制訂的政策可能禁止向外發(fā)送討論公司財(cái)政狀況的電子郵件，并用一個(gè)條款聲明此政策并不適用于公司財(cái)政官員——CEO，以及有理由這樣做的人員。

構(gòu)造可擴(kuò)展的政策

你的政策應(yīng)定期進(jìn)行審核與更新。隨著公司不斷壯大，管理理念會(huì)不斷變化，技術(shù)也會(huì)隨之發(fā)展，這時(shí)就需要對一些政策進(jìn)行修改。

為使政策文件更易于擴(kuò)展，可以考慮將其結(jié)構(gòu)化，使每個(gè)政策禁令成為單獨(dú)的子文件，內(nèi)容相關(guān)的子文件集中成章。每個(gè)子文件根據(jù)章節(jié)編號來識別。這樣每個(gè)政策就以活頁夾的形式保存下來。需要做出改動(dòng)時(shí)，只要?jiǎng)h除或替代相應(yīng)的部分。(zdnet)