如何说服老板接受可接受的使用政策

信息安全 企业政策
2021-08-20 12:49:11

所以我知道 AUP 中应该包含什么。这个问题更多地围绕着我如何向我的老板解释拥有 AUP 的重要性,并确保每个人不仅知道它,而且理解它的价值和后果。

我们是一家总部位于东海岸的电子商务公司,向全国和其他几个国家发货。我们的订单都是由我们运营团队中的用户通过网络处理的,他们使用他们的 PC/Mac 来 1. 登录到管理控制台,2. 管理订单和 3. 处理管理任务和电子邮件

是否有任何具体的法律或研究表明需要 AUP 进行互联网访问和保护机密数据的价值?

编辑 - 我们确实处理信用卡信息。我们不存储数字(但......内部辩论和推理)。不过,有些人可能可以访问此类数据(在某些情况下,甚至可以致电我们的 CC 网关提供商以获取该号码)。这意味着我们受 PCI-DSS 要求的约束

2个回答

AUP 最有力的案例是,您可以在风险行为咬到您之前解决或管教它,而不必事后清理。

在合规方面,存在雇主对互联网上员工行为的责任问题(我认为这在美国是一个问题)。如果工作站处理或与处理信用卡数据的系统共享网络,您还可以调用 PCI-DSS 的最终要求,即您必须“维护解决信息安全问题的策略”。

真正应该卖这个的两个关键点:

  • 如果您没有政策,法律似乎假定您默许您的员工的所有行为。因此,您可能会为您的员工使用您的系统犯罪而承担责任。(警告——我不是律师,我真的只在英国和美国见过这种情况)
  • 如果您没有定义您希望禁止的活动的政策,并且所有员工都签署了该政策,那么如果他们做了您认为不可接受的事情,您也会发现很难采取纪律处分。
其它你可能感兴趣的问题
上一篇OCSP:什么是“hackedirl.files.wordpress.com”? 下一篇使用 CryptoJS 的基于 Web 的秘密管理器