建立并執(zhí)行可接受的使用政策

如果你還沒有為你們機構的計算機與網絡制訂一個可接受使用政策，你們公司就容易受到安全攻擊、遭受可能的法令罰款與法律訴訟——或者來自受到你們用戶行為傷害的人，或者來自因為網絡使用不當而遭到懲罰的用戶。

今天，不同規(guī)模的組織都對員工通過公司計算機設備或網絡連接所做的事情感到擔憂。這不再是浪費工作時間或網絡帶寬成本的問題。由于政府規(guī)章、民事訴訟與在線行為不當犯罪指控的日益增加，公司很有必要制訂并執(zhí)行管理計算機與網絡使用的明確條例來保護自己的資產；并有必要制訂政策來保護網絡的安全、阻止用戶帶進病毒、防止系統(tǒng)或整個網絡受到攻擊。

這就是為什么我們從一開始就有必要建立可接受使用政策的原因所在。僅告訴員工不要在工作機器上做與工作無關的事情是不夠的。你必須制訂并分發(fā)書面政策，并讓用戶簽名同意，表明他們收到并閱讀了該政策。關鍵在于構思有效、公正并不會隨機構擴大而過時的政策。

優(yōu)秀可接受使用政策基本要素

AUP規(guī)定一整套正式的規(guī)則，限制網絡與計算機設備的應用方式。其中應包括明確的聲明，對程序要求與用戶責任進行定義。

以下是制訂政策的幾點提示：

應明確說明所禁止的行為?！敖共贿m當的應用”這樣的短語含糊，而且不明確。你必須明確定義何為不適當的行為。當然，你可能無法想到所有被認為是“不適當的”行為，但應指出最常見的誤用行為。例如，你可以禁止發(fā)送包含露骨色情的電子郵件，或是色情文本與圖片、禁止使用網絡瀏覽器來訪問在線賭博網站，等等。
隱私聲明能夠處理你沒有特別提到的行為。例如，你可以禁止從事任何違反當地、州或聯邦法律的互聯網行為，或禁止發(fā)送任何透露公司、客戶或合作伙伴機密信息的電子郵件、即時信息、文件或其它通信。
為使政策高效、可執(zhí)行性強，政策必須得到管理方的支持，并指定專人負責監(jiān)督政策的制訂與更新。此人通常為首席信息官(CIO)。
政策應由公司律師進行審核。盡管在政策文本中有必要包含一些法律術語，但每項政策還應包含一份摘要，將難懂的語言“轉換”成一般用戶能夠理解的外行名詞。

政策內容

通常，UAP中應包含以下內容：

公司網絡用戶隱私政策及一份聲明，即出于安全考慮，公司計算機或公司網絡上存儲或發(fā)送的通信必須受到公司的監(jiān)控。
控股公司信息政策。共享密碼與賬戶信息政策：禁止用戶登錄自己賬戶以外的其它賬戶，或者允許其它人用他們的憑證登錄，或在他們登錄時使用他們的系統(tǒng)。

安全政策，如要求在離開辦公桌時鎖定工作站；電子郵件附件政策，禁止用戶廢除或回避計算機和網絡上的安全功能和機制；禁止安裝未授權的軟件；禁止未經授權復制公司信息或可移動媒體，或將其發(fā)送到網絡之外。

密碼術使用政策。

粘貼新聞組與討論板政策，需要棄權書聲明送交者的個人觀點并不代表公司立場。將個人所有的筆記本電腦、手持計算機與智能電話連接到公司網絡政策。禁止將未經許可的調制調解器、無線訪問點及其它設備連接到公司網絡上。

不適當應用與行為定義，如色情、版權違反與非法文件共享；發(fā)送騷擾或威脅內容；發(fā)送垃圾郵件；從事網絡欺詐及其它欺詐行為；入侵網絡內部或網絡之外的其它系統(tǒng)；傳播惡意代碼，未經許可訪問網絡上的數據；在網絡上截取發(fā)送到其他用戶的數據（應用“探測器”或其它工具）；應用欺騙技術來掩飾電子郵件地址或其它網絡行為。
這些就是一般由AUP處理的主題。它并不全面，且其內容因公司而異。

后果與執(zhí)行

違反政策的后果應該在政策中加以定義。由于違反本身的嚴重程度各不相同，根據特殊的違反現象以及違反者的企圖，其后果也有所不同。例如，給朋友發(fā)送一封簡短的包含無害內容的電子郵件的后果，就與利用公司網絡進行兼職（合法）業(yè)務的后果不同，相反，那些將兒童色情內容下載到公司計算機上的行為的后果也不一樣。

實際上，第一個例子可以定義為違反政策，或根本就算不上是違反政策。一些公司允許你有限制地將公司電子郵件賬戶用于個人目的，就像允許用公司電話進行有限的個人通話一樣。這又引起了另外一個問題：你應當僅設定你打算執(zhí)行的政策。

如果你制訂了一項限制性過強的政策，以防需要用它來反對某人，接著又忽略了它，那些由于違反此項或其它政策而隨后受到懲罰的用戶可能會爭辯，稱你在過去有意地容許違反政策而制訂了一條相沖突的不成文的政策，而且/或者你以武斷或不公正的方式執(zhí)行政策。根據這些理由，受懲罰的員工甚至能夠成功向你提起訴訟。

因此，我們應平等地執(zhí)行政策。這并不意味著一些人可以得到豁免，如果是這樣，應在政策中明確說明豁免的情況。例如，你制訂的政策可能禁止向外發(fā)送討論公司財政狀況的電子郵件，并用一個條款聲明此政策并不適用于公司財政官員——CEO，以及有理由這樣做的人員。

構造可擴展的政策

你的政策應定期進行審核與更新。隨著公司不斷壯大，管理理念會不斷變化，技術也會隨之發(fā)展，這時就需要對一些政策進行修改。

為使政策文件更易于擴展，可以考慮將其結構化，使每個政策禁令成為單獨的子文件，內容相關的子文件集中成章。每個子文件根據章節(jié)編號來識別。這樣每個政策就以活頁夾的形式保存下來。需要做出改動時，只要刪除或替代相應的部分。(zdnet)