建立并執(zhí)行可接受的使用政策

如果你還沒有為你們機構(gòu)的計算機與網(wǎng)絡(luò)制訂一個可接受使用政策，你們公司就容易受到安全攻擊、遭受可能的法令罰款與法律訴訟——或者來自受到你們用戶行為傷害的人，或者來自因為網(wǎng)絡(luò)使用不當(dāng)而遭到懲罰的用戶。

今天，不同規(guī)模的組織都對員工通過公司計算機設(shè)備或網(wǎng)絡(luò)連接所做的事情感到擔(dān)憂。這不再是浪費工作時間或網(wǎng)絡(luò)帶寬成本的問題。由于政府規(guī)章、民事訴訟與在線行為不當(dāng)犯罪指控的日益增加，公司很有必要制訂并執(zhí)行管理計算機與網(wǎng)絡(luò)使用的明確條例來保護自己的資產(chǎn)；并有必要制訂政策來保護網(wǎng)絡(luò)的安全、阻止用戶帶進病毒、防止系統(tǒng)或整個網(wǎng)絡(luò)受到攻擊。

這就是為什么我們從一開始就有必要建立可接受使用政策的原因所在。僅告訴員工不要在工作機器上做與工作無關(guān)的事情是不夠的。你必須制訂并分發(fā)書面政策，并讓用戶簽名同意，表明他們收到并閱讀了該政策。關(guān)鍵在于構(gòu)思有效、公正并不會隨機構(gòu)擴大而過時的政策。

優(yōu)秀可接受使用政策基本要素

AUP規(guī)定一整套正式的規(guī)則，限制網(wǎng)絡(luò)與計算機設(shè)備的應(yīng)用方式。其中應(yīng)包括明確的聲明，對程序要求與用戶責(zé)任進行定義。

以下是制訂政策的幾點提示：

應(yīng)明確說明所禁止的行為?！敖共贿m當(dāng)?shù)膽?yīng)用”這樣的短語含糊，而且不明確。你必須明確定義何為不適當(dāng)?shù)男袨?。?dāng)然，你可能無法想到所有被認為是“不適當(dāng)?shù)摹毙袨?，但?yīng)指出最常見的誤用行為。例如，你可以禁止發(fā)送包含露骨色情的電子郵件，或是色情文本與圖片、禁止使用網(wǎng)絡(luò)瀏覽器來訪問在線賭博網(wǎng)站，等等。
隱私聲明能夠處理你沒有特別提到的行為。例如，你可以禁止從事任何違反當(dāng)?shù)亍⒅莼蚵?lián)邦法律的互聯(lián)網(wǎng)行為，或禁止發(fā)送任何透露公司、客戶或合作伙伴機密信息的電子郵件、即時信息、文件或其它通信。
為使政策高效、可執(zhí)行性強，政策必須得到管理方的支持，并指定專人負責(zé)監(jiān)督政策的制訂與更新。此人通常為首席信息官(CIO)。
政策應(yīng)由公司律師進行審核。盡管在政策文本中有必要包含一些法律術(shù)語，但每項政策還應(yīng)包含一份摘要，將難懂的語言“轉(zhuǎn)換”成一般用戶能夠理解的外行名詞。

政策內(nèi)容

通常，UAP中應(yīng)包含以下內(nèi)容：

公司網(wǎng)絡(luò)用戶隱私政策及一份聲明，即出于安全考慮，公司計算機或公司網(wǎng)絡(luò)上存儲或發(fā)送的通信必須受到公司的監(jiān)控。
控股公司信息政策。共享密碼與賬戶信息政策：禁止用戶登錄自己賬戶以外的其它賬戶，或者允許其它人用他們的憑證登錄，或在他們登錄時使用他們的系統(tǒng)。

安全政策，如要求在離開辦公桌時鎖定工作站；電子郵件附件政策，禁止用戶廢除或回避計算機和網(wǎng)絡(luò)上的安全功能和機制；禁止安裝未授權(quán)的軟件；禁止未經(jīng)授權(quán)復(fù)制公司信息或可移動媒體，或?qū)⑵浒l(fā)送到網(wǎng)絡(luò)之外。

密碼術(shù)使用政策。

粘貼新聞組與討論板政策，需要棄權(quán)書聲明送交者的個人觀點并不代表公司立場。將個人所有的筆記本電腦、手持計算機與智能電話連接到公司網(wǎng)絡(luò)政策。禁止將未經(jīng)許可的調(diào)制調(diào)解器、無線訪問點及其它設(shè)備連接到公司網(wǎng)絡(luò)上。

不適當(dāng)應(yīng)用與行為定義，如色情、版權(quán)違反與非法文件共享；發(fā)送騷擾或威脅內(nèi)容；發(fā)送垃圾郵件；從事網(wǎng)絡(luò)欺詐及其它欺詐行為；入侵網(wǎng)絡(luò)內(nèi)部或網(wǎng)絡(luò)之外的其它系統(tǒng)；傳播惡意代碼，未經(jīng)許可訪問網(wǎng)絡(luò)上的數(shù)據(jù)；在網(wǎng)絡(luò)上截取發(fā)送到其他用戶的數(shù)據(jù)（應(yīng)用“探測器”或其它工具）；應(yīng)用欺騙技術(shù)來掩飾電子郵件地址或其它網(wǎng)絡(luò)行為。
這些就是一般由AUP處理的主題。它并不全面，且其內(nèi)容因公司而異。

后果與執(zhí)行

違反政策的后果應(yīng)該在政策中加以定義。由于違反本身的嚴重程度各不相同，根據(jù)特殊的違反現(xiàn)象以及違反者的企圖，其后果也有所不同。例如，給朋友發(fā)送一封簡短的包含無害內(nèi)容的電子郵件的后果，就與利用公司網(wǎng)絡(luò)進行兼職（合法）業(yè)務(wù)的后果不同，相反，那些將兒童色情內(nèi)容下載到公司計算機上的行為的后果也不一樣。

實際上，第一個例子可以定義為違反政策，或根本就算不上是違反政策。一些公司允許你有限制地將公司電子郵件賬戶用于個人目的，就像允許用公司電話進行有限的個人通話一樣。這又引起了另外一個問題：你應(yīng)當(dāng)僅設(shè)定你打算執(zhí)行的政策。

如果你制訂了一項限制性過強的政策，以防需要用它來反對某人，接著又忽略了它，那些由于違反此項或其它政策而隨后受到懲罰的用戶可能會爭辯，稱你在過去有意地容許違反政策而制訂了一條相沖突的不成文的政策，而且/或者你以武斷或不公正的方式執(zhí)行政策。根據(jù)這些理由，受懲罰的員工甚至能夠成功向你提起訴訟。

因此，我們應(yīng)平等地執(zhí)行政策。這并不意味著一些人可以得到豁免，如果是這樣，應(yīng)在政策中明確說明豁免的情況。例如，你制訂的政策可能禁止向外發(fā)送討論公司財政狀況的電子郵件，并用一個條款聲明此政策并不適用于公司財政官員——CEO，以及有理由這樣做的人員。

構(gòu)造可擴展的政策

你的政策應(yīng)定期進行審核與更新。隨著公司不斷壯大，管理理念會不斷變化，技術(shù)也會隨之發(fā)展，這時就需要對一些政策進行修改。

為使政策文件更易于擴展，可以考慮將其結(jié)構(gòu)化，使每個政策禁令成為單獨的子文件，內(nèi)容相關(guān)的子文件集中成章。每個子文件根據(jù)章節(jié)編號來識別。這樣每個政策就以活頁夾的形式保存下來。需要做出改動時，只要刪除或替代相應(yīng)的部分。(zdnet)