我总是发布可接受的/计算机/网络使用政策,供使用网络/计算机的员工或从外部进入使用公共接入点或公共计算机的用户使用。私营企业、大学和图书馆都将其张贴在墙上、网站上、手册中、强制门户中或其中的某种组合中。
每个人都会这样做,如果你从事 IT 工作,那么你可能在某个时候研究过、使用过或者读过这样的书。
然而,有一个问题我一直无法找到答案:为什么需要这些政策?
是不是每个人都决定开始发布这些政策以帮助避免承担责任?这些政策真的具有法律效力吗?它们是否只是为了让最终用户知道在撤销访问权限之前他们可以做什么/不能做什么(这引出了一个问题,如果这些政策是为最终用户制定的,为什么它们会以普通最终用户难以阅读的法律术语来写?)
答案1
dan_linder 的上述评论简要总结了我认为 AUP 有价值的唯一原因:清楚地说明 IT 对其合法用户的期望,并清楚地总结如果这些期望得不到满足会发生什么。
这强烈反对人力资源风格的超级华而不实的 AUP,这种 AUP 读起来就像有人收到大量 WeaselWords 并决定一次性使用它们。这些政策严格属于保护自己、转移责任的 AUP 类,在 21 年的网络和系统管理生涯中,我从未发现它们有任何用处。这也反对任何你可以使用 AUP 来对付外人的概念;当然,他们必须遵守法律,但无论你是否写下来,他们都必须这样做;除此之外,你写下的东西对他们没有任何影响。
因此:一份简单、简短的文档说明了您不应该对工作计算机做什么以及违反规定时会发生什么,这是我发现 AUP 唯一有价值的时候。在这些情况下,当我发现违规行为时,我可以以非对抗的方式悄悄地走到某人面前,指着一份他们签名的两页文件,上面说他们不会做 X,指出(具体说明)我知道他们做了很多 X,并要求他们停止,这样我就不必召唤黑暗力量并让他们受到制裁,就像第 2 页底部他们签名上方所说的那样。
那么,您该如何编写这些内容呢?如果您认识任何可以访问 SAGE 图书馆的人,SAGE 有一本很好的出版物,名为《计算政策文档开发指南》(系统管理中的简短主题,Dijker,1996 年)。
如果做不到这一点,请制定一份简短的清单,列出在工作场所发生的、对网络及其用户整体造成问题的事件。我发现最有价值的一件事是明确禁止共享密码,无论出于何种原因。许多员工认为,让 Sam 在他们休假时访问他们的邮箱的最佳方式是向 Sam 提供他们的登录详细信息,但他们不知道的是 - 虽然 Sam 可以在他们不在时阅读他们的邮件对公司有好处 - 但利用我们掌握的技术,这可以同样轻松、更安全地完成。这也是一个用一句话就能说清楚的政策。
大多数主要问题都可以用一句话来禁止。写下尽可能多的句子,只要你觉得合适。与管理层商定内容和制裁页面。让每个人都签字,并给他们一份副本。大功告成。
答案2
免责声明:我不是律师。以下是极其简化的说法。
您几乎已经回答了自己的问题。组织使用 AUP 将用户行为的责任直接转嫁给用户。他们必须公开谴责某些类型的互联网活动,以保护自己免受法律诉讼。
澄清评论:美国联邦法律禁止“未经授权访问”计算机系统。如果您违反 AUP,则可能违反网络犯罪法!
如果我在工作中盗版了《权力的游戏》的一集,那么“当权者”可以直接以侵犯版权为由起诉我的公司。如果他们通过 AUP 明确禁止此类使用,并明确后果,那么责任就会转移到我身上。
从人事角度来看,AUP 为组织提供了针对其用户的“不良行为”的补救措施。我不希望你在工作中浏览“性质可疑的材料”,但我不能因为你上网就解雇你。如果我明确说明在工作中浏览“性质可疑的材料”的后果,并且你签字表示同意并理解,那么我可以毫不犹豫地解雇你。
答案3
简单来说,它赋予你采取某些行动的权利,包括网络监控,否则根据窃听法,这些行动是非法的。它还允许员工了解公司内部什么是可以接受的,什么是不可接受的,如果这些规则被违反,则提供采取行政行动的理由和理由。
它也在某种程度上涵盖了公司,因为 AUP 可以包含条款(在合法的情况下)以免除组织在特定情况下的责任。
简而言之,AUP 的主要目的是保护你的后方。
答案4
如果您的公司想要遵守 ISO27001 等标准,您就需要它们。