Я всегда публиковал (n) политику приемлемого / компьютерного / сетевого использования для сотрудников, использующих сеть / компьютер, или от пользователей, приходящих извне для использования общедоступных точек доступа или общедоступных компьютеров. Частные предприятия, колледжи и библиотеки размещают их на стене, в разделе своего веб-сайта, в своем справочнике, на специальном портале или в некоторой их комбинации.
Так делают все, и если вы работаете в сфере ИТ, вы, вероятно, работали над этим, или читали его в какой-то момент.
Однако я не смог найти ответа на один вопрос: зачем нужны эти политики?
Все просто решили начать публиковать их, чтобы избежать ответственности? Действительно ли эта политика имеет какой-либо юридический вес? Являются ли они просто для конечных пользователей, чтобы сообщить им, что они могут / не могут делать, прежде чем доступ будет отозван (возникает вопрос, что если политики предназначены для конечных пользователей, почему они написаны на юридическом языке, что средний конечный пользователь будут проблемы с чтением?)
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Я не поверенный. Далее следуют грубые упрощения.
Вы в значительной степени ответили на свой вопрос. Организации используют AUP, чтобы напрямую перекладывать ответственность за действия своих пользователей на пользователей. Они должны официально осуждать определенные виды деятельности в Интернете, чтобы защитить себя от судебных исков.
ДЛЯ УТОЧНЕНИЯ КОММЕНТАРИЙ: Федеральный закон США запрещает «несанкционированный доступ» к компьютерным системам. Если вы нарушите AUP, вы можете нарушить закон о киберпреступности!
Если я пиратую серию «Игры престолов» на работе, «сильные мира сего» могут подать на мою компанию в суд за нарушение авторских прав. Если они официально запрещают этот тип использования через AUP с ясными последствиями, вина перекладывается на меня.
С точки зрения персонала, AUP дает организациям возможность избежать «нежелательного поведения» со стороны пользователей. Я не хочу, чтобы вы просматривали «материалы сомнительного характера» на работе, но я не могу просто уволить вас за то, что вы вышли в Интернет. Если я четко обозначу последствия просмотра «материалов сомнительного характера» на работе, и вы подпишетесь, что согласны и понимаете, то я могу запретить вам, не моргнув глазом.
Комментарии dan_linder выше - это краткое изложение единственной причины, по которой я считаю, что AUP имеют какую-либо ценность: четко изложить ожидания, которые ИТ-специалисты возлагают на своих законных пользователей, и четко описать, что произойдет, если эти ожидания не оправдаются.
Это решительно возражает против супервыбельной AUP в стиле HR, которая выглядит так, будто кто-то получил оптовый заказ WeaselWords и решил использовать их все сразу. Эти политики строго относятся к классу AUP «прикрыть свою задницу», перекладывающим ответственность, и я ни разу, за 21 год работы в области сетевого и системного администрирования, не обнаружил, что они вообще могут быть полезны. Это также является аргументом против любой концепции, согласно которой вы можете использовать AUP против посторонних; они должны подчиняться закону, конечно, но они должны это делать, записываете вы это или нет; кроме этого, то, что вы записываете, не имеет для них никакого веса.
Итак: простой краткий документ, в котором говорится, что вам не следует делать с рабочими компьютерами и что происходит, когда вы нарушаете правила, - это единственный раз, когда я обнаружил, что AUP представляет ценность. В тех случаях, когда я обнаруживал нарушение, я мог спокойно пойти к кому-то, не вступая в конфронтацию, указать на двухстраничный документ, который они подписали, в котором говорилось, что они не будут делать X, указать (с особенности), что я знаю, что они делают много X, и прошу их прекратить это, чтобы мне не пришлось вызывать Силы Тьмы и подвергать их санкциям, как это сказано внизу страницы 2, чуть выше их подпись.
Итак, как написать один из них? Что ж, у SAGE есть хорошая публикация под названием A Guide to Developing Computing Policy Documents (Short Topics in System Administration, Dijker, 1996), если вы знаете кого-нибудь, у кого есть доступ к библиотеке SAGE.
Если это не удается, составьте свой собственный краткий список событий, которые происходят на вашем рабочем месте и вызывают проблемы для сети и ее пользователей в целом. Единственное, что я считаю наиболее ценным, - это явный запрет на передачу пароля по любой причине. Многие сотрудники думают, что лучший способ предоставить Сэму доступ к своему почтовому ящику во время отпуска - предоставить Сэму свои данные для входа, не зная об этом - хотя для бизнеса хорошо, что Сэм может читать их почту, пока их нет. это можно сделать так же легко и гораздо безопаснее с помощью имеющихся у нас технологий. Эту политику очень легко сформулировать одним предложением.
Большинство основных проблем можно запретить одним предложением. Запишите столько предложений, сколько вам понравится. Согласуйте содержание и страницу санкций с руководством. Попросите всех подписать его и дайте им копию. Работа выполнена.
Проще говоря, это дает вам право предпринимать некоторые действия, включая мониторинг сети, что в противном случае было бы незаконным в соответствии с законами о прослушивании. Это также позволяет информировать сотрудников о том, что является приемлемым, а что неприемлемо в компании, и в случае нарушения этих правил дает обоснование и обоснование для административных действий, которые необходимо предпринять.
Он также в некоторой степени распространяется на компанию, поскольку AUP может включать положения (если это законно), освобождающие организацию от ответственности за конкретные обстоятельства.
Короче говоря, основная цель AUP - прикрыть вашу заднюю часть.
Они понадобятся вам, если ваша компания хочет соответствовать таким стандартам, как ISO27001.