Come convincere il capo di una politica di utilizzo accettabile

Naviga le tue risposte
4

Quindi so cosa DOVREBBE essere in un AUP. Questa domanda circola di più su come spiego ai miei capi l'importanza di avere una AUP e garantire che tutti non solo ne siano a conoscenza ma ne capiscano il valore e le conseguenze.

Siamo una società di e-commerce basata sulla costa orientale che spedisce a livello nazionale e in molti altri paesi. I nostri ordini vengono tutti elaborati via web dagli utenti dei nostri team operativi che utilizzano i loro PC / Mac per 1. Accedere alle console di amministrazione, 2. Gestire gli ordini e 3. Gestire le attività amministrative e l'email

Esistono leggi o studi specifici che indicano il valore di aver bisogno di una AUP per l'accesso a Internet e di proteggere con sicurezza i dati riservati?

MODIFICA - Gestiamo le informazioni della carta di credito. Non archiviamo i numeri (ancora ... dibattito interno e ragionamento per questo). Alcune persone possono avere accesso a tali dati anche se (anche yb chiama il nostro fornitore di Gateway CC per ottenere il numero in determinati casi). Ciò significa che siamo vincolati ai requisiti PCI-DSS

    
posta CogitoErgoSum 22.02.2011 - 16:35
fonte

2 risposte

6

Il caso più strong per AUP è che puoi affrontare o disciplinare un comportamento rischioso prima che ti morda piuttosto che doverlo pulire in seguito.

Sul fronte della conformità vi è la questione della responsabilità del datore di lavoro per le azioni dei dipendenti su Internet (che ritengo sia un problema negli Stati Uniti). Se le workstation gestiscono o condividono una rete con sistemi che gestiscono i dati delle carte di credito, è possibile anche richiamare il requisito finale di PCI-DSS che afferma che è necessario "Mantenere una politica che risolva la sicurezza delle informazioni".

    
risposta data 22.02.2011 - 17:49
fonte
5

Due punti chiave che dovrebbero davvero essere venduti:

  • Se non hai una politica, la legge sembra presumere che tu approvi implicitamente tutto il comportamento del tuo staff. Quindi puoi assumerti la responsabilità per il tuo personale che commette crimini usando i tuoi sistemi. (caveat - Non sono un avvocato, e l'ho visto solo nel Regno Unito e negli Stati Uniti)
  • Se non si dispone di una politica che definisce le attività che si desidera vietare e che è sottoscritta da tutti i dipendenti, sarà anche difficile prendere provvedimenti disciplinari se fanno qualcosa che si ritiene inaccettabile.
risposta data 22.02.2011 - 20:06
fonte

Leggi altre domande sui tag

Quali standard di sicurezza dovrebbero essere implementati in una semplice applicazione web [chiusa] Quanto è rischioso usare la posta elettronica per gestire le password?