建立并执行可接受的使用政策

如果你还没有为你们机构的计算机与网络制订一个可接受使用政策，你们公司就容易受到安全攻击、遭受可能的法令罚款与法律诉讼——或者来自受到你们用户行为伤害的人，或者来自因为网络使用不当而遭到惩罚的用户。

今天，不同规模的组织都对员工通过公司计算机设备或网络连接所做的事情感到担忧。这不再是浪费工作时间或网络带宽成本的问题。由于政府规章、民事诉讼与在线行为不当犯罪指控的日益增加，公司很有必要制订并执行管理计算机与网络使用的明确条例来保护自己的资产；并有必要制订政策来保护网络的安全、阻止用户带进病毒、防止系统或整个网络受到攻击。

这就是为什么我们从一开始就有必要建立可接受使用政策的原因所在。仅告诉员工不要在工作机器上做与工作无关的事情是不够的。你必须制订并分发书面政策，并让用户签名同意，表明他们收到并阅读了该政策。关键在于构思有效、公正并不会随机构扩大而过时的政策。

优秀可接受使用政策基本要素

AUP规定一整套正式的规则，限制网络与计算机设备的应用方式。其中应包括明确的声明，对程序要求与用户责任进行定义。

以下是制订政策的几点提示：

应明确说明所禁止的行为。“禁止不适当的应用”这样的短语含糊，而且不明确。你必须明确定义何为不适当的行为。当然，你可能无法想到所有被认为是“不适当的”行为，但应指出最常见的误用行为。例如，你可以禁止发送包含露骨色情的电子邮件，或是色情文本与图片、禁止使用网络浏览器来访问在线赌博网站，等等。
隐私声明能够处理你没有特别提到的行为。例如，你可以禁止从事任何违反当地、州或联邦法律的互联网行为，或禁止发送任何透露公司、客户或合作伙伴机密信息的电子邮件、即时信息、文件或其它通信。
为使政策高效、可执行性强，政策必须得到管理方的支持，并指定专人负责监督政策的制订与更新。此人通常为首席信息官(CIO)。
政策应由公司律师进行审核。尽管在政策文本中有必要包含一些法律术语，但每项政策还应包含一份摘要，将难懂的语言“转换”成一般用户能够理解的外行名词。

政策内容

通常，UAP中应包含以下内容：

公司网络用户隐私政策及一份声明，即出于安全考虑，公司计算机或公司网络上存储或发送的通信必须受到公司的监控。
控股公司信息政策。共享密码与账户信息政策：禁止用户登录自己账户以外的其它账户，或者允许其它人用他们的凭证登录，或在他们登录时使用他们的系统。

安全政策，如要求在离开办公桌时锁定工作站；电子邮件附件政策，禁止用户废除或回避计算机和网络上的安全功能和机制；禁止安装未授权的软件；禁止未经授权复制公司信息或可移动媒体，或将其发送到网络之外。

密码术使用政策。

粘贴新闻组与讨论板政策，需要弃权书声明送交者的个人观点并不代表公司立场。将个人所有的笔记本电脑、手持计算机与智能电话连接到公司网络政策。禁止将未经许可的调制调解器、无线访问点及其它设备连接到公司网络上。

不适当应用与行为定义，如色情、版权违反与非法文件共享；发送骚扰或威胁内容；发送垃圾邮件；从事网络欺诈及其它欺诈行为；入侵网络内部或网络之外的其它系统；传播恶意代码，未经许可访问网络上的数据；在网络上截取发送到其他用户的数据（应用“探测器”或其它工具）；应用欺骗技术来掩饰电子邮件地址或其它网络行为。
这些就是一般由AUP处理的主题。它并不全面，且其内容因公司而异。

后果与执行

违反政策的后果应该在政策中加以定义。由于违反本身的严重程度各不相同，根据特殊的违反现象以及违反者的企图，其后果也有所不同。例如，给朋友发送一封简短的包含无害内容的电子邮件的后果，就与利用公司网络进行兼职（合法）业务的后果不同，相反，那些将儿童色情内容下载到公司计算机上的行为的后果也不一样。

实际上，第一个例子可以定义为违反政策，或根本就算不上是违反政策。一些公司允许你有限制地将公司电子邮件账户用于个人目的，就像允许用公司电话进行有限的个人通话一样。这又引起了另外一个问题：你应当仅设定你打算执行的政策。

如果你制订了一项限制性过强的政策，以防需要用它来反对某人，接着又忽略了它，那些由于违反此项或其它政策而随后受到惩罚的用户可能会争辩，称你在过去有意地容许违反政策而制订了一条相冲突的不成文的政策，而且/或者你以武断或不公正的方式执行政策。根据这些理由，受惩罚的员工甚至能够成功向你提起诉讼。

因此，我们应平等地执行政策。这并不意味着一些人可以得到豁免，如果是这样，应在政策中明确说明豁免的情况。例如，你制订的政策可能禁止向外发送讨论公司财政状况的电子邮件，并用一个条款声明此政策并不适用于公司财政官员——CEO，以及有理由这样做的人员。

构造可扩展的政策

你的政策应定期进行审核与更新。随着公司不断壮大，管理理念会不断变化，技术也会随之发展，这时就需要对一些政策进行修改。

为使政策文件更易于扩展，可以考虑将其结构化，使每个政策禁令成为单独的子文件，内容相关的子文件集中成章。每个子文件根据章节编号来识别。这样每个政策就以活页夹的形式保存下来。需要做出改动时，只要删除或替代相应的部分。(zdnet)