利用規定を上司に納得させる方法
だから私はAUPに何があるべきかを知っています。この質問は、AUPを持っていることの重要性を上司に説明し、すべての人がAUPを知っているだけでなく、その価値と結果を理解していることを確認する方法について詳しく説明しています。
私たちは東海岸を拠点とするeコマース企業であり、全国および他のいくつかの国に出荷しています。私たちの注文はすべて、PC/Macを利用する運用チームのユーザーによってWeb経由で処理されます。1。管理コンソールにログインします。2。注文を管理します。3。管理タスクと電子メールを処理します。
インターネットアクセスにAUPを必要とし、機密データを保護することの価値を指摘する特定の法律や研究はありますか?
編集-私たちはクレジットカード情報を扱います。私たちは数字を保存しません(まだ..内部の議論とこれの理由)。ただし、そのようなデータにアクセスできる人もいます(場合によっては、CCゲートウェイプロバイダーに電話をかけて番号を取得することもできます)。これは、PCI-DSS要件に拘束されていることを意味します
AUPの最も強力なケースは、危険な行動を後でモップアップするのではなく、噛む前に対処または懲戒することができるということです。
コンプライアンスの面では、インターネット上での従業員の行動に対する雇用者の責任の問題があります(これは米国の問題だと私は信じています)。ワークステーションがクレジットカードデータを処理するシステムとネットワークを処理または共有する場合は、「情報セキュリティに対処するポリシーを維持する」必要があるというPCI-DSSの最終要件を呼び出すこともできます。
これを本当に売るべき2つの重要なポイント:
- ポリシーがない場合、法律は、スタッフによるすべての行動を暗黙的に承認すると想定しているようです。したがって、あなたはあなたのシステムを使用して犯罪を犯したあなたのスタッフに対して責任を負うかもしれません。 (警告-私は弁護士ではありません。実際にこれを見たのは英国と米国だけです)
- 禁止したい活動を定義する方針がなく、すべての従業員が署名している場合、彼らが容認できないと思うことをした場合、懲戒処分をとることも困難になります。