質問：新興企業の電子メールポリシーを計画するにはどうすればよいですか？

あなたはこの質問をすることによってあなた自身の方針に違反しています。あなたは自分のスタートアップに関連する問題について外の世界とコミュニケーションを取ります。

あなたがあなた自身の方針に違反することから始めるという事実はあなたが問題を完全に考えていなかったことを示します。

あなたのポリシーは基本的に、スタートアップがオープンソースライブラリを使用していて、そのライブラリに問題がある場合、スタートアップの開発者はオープンソースライブラリのメーリングリストに投稿を書くことを許可されておらず、バグを報告することも許可されていません。オープンソースライブラリのバグトラッカー。

外界とのコミュニケーションを効果的に禁止すると、プログラマーの効率が低下します。完全な秘密が重要なスタートアップもあるかもしれませんが、ほとんどのスタートアップではおそらく価値がありません。

私はかつて大学でインターンシップをしました。私が働いていた学術グループは、ソース管理を使用していませんでした。には、外部データ転送を行わないという包括的なポリシーがありました。私は自分でソース管理をインストールするという賢明なことを行い、データを外部サーバーにバックアップできるかどうか尋ねました。私は基本的に「まあ、大丈夫」を得ました。

基本的に、外部データ転送を行わないという無意味なポリシーを回避することができました。しかし、彼らは外部データ転送を望まない理由を正確に説明していませんでした。その結果、会社の方針に沿ったデータをいつ伝達するかについて、賢明な決定を下すことができませんでした。

すべての外部通信を禁止しようとするのではなく、どの情報が安全に通信でき、どの情報が通信できないかについて開発者と話し合う必要があります。ほとんどのスタートアップでは、従業員がすべての情報を伝達することを禁止すべきではありません。

いくらお金と時間を費やしても、内部ユーザーが悪意のあることをするのを防ぐことは絶対にできません。 NSAに聞いてください。

ITポリシーは、私がこれまであまりにも多く書いてきたものであり、セキュリティのニーズと常識と現実の健全な量とのバランスを取る必要があります。内部ユーザーが悪意のあることをするのを難しくするように努める必要がありますが、愚かさを防ぐためにあなたの時間の大部分を費やしてください。これはほとんどの企業のセキュリティ監査に反映されています。確かに、侵入テストや職務の分離などがたくさんあります。しかし、内部システムの場合、監査は通常、追跡されているすべてのものに焦点を合わせます。誰かが悪意のあることをするのを100％防ぐことはできませんが、そうする場合は、ログファイルのどこかに保存しておくことをお勧めします。

あなたは1つの点でうまくやっています。それは、ITポリシーとセキュリティを初期のスタートアップとして考えていることです。悲しいことに、それは非常にまれです。私は通常、スタートアップ段階から確立された成長中の中小企業に移行している組織と協力したり話したりします。多くの人がこのテーマに合理的な時間を費やしておらず、ほとんどすべての人が計画と実施においてあまりにも怠惰です。

そうは言っても、あなたの質問から、あなたはスペクトルの反対側に傾いているように聞こえますが、それも危険です。その規模のチームから始めて、ポリシーを正当化し、チームの他のメンバーに伝える（販売する）ことができることを確認してください。成長するにつれて、定期的にこれらのポリシーを再検討し、より適切になるにつれて、職務の分離などにより制限を強化してください。

スタートアップで頑張ってください...

私は使用しています Google Apps for Business ;それはあなたが探しているものかもしれません、それは電子メールポリシーのための幅広い設定を持っています。ほんの数例を挙げると-

ユーザーが電子メールを交換できるドメインを制限します。
コンテンツコンプライアンス
添付ファイルのコンプライアンス
Secure Transport（TLS）コンプライアンス
2要素認証を実施する

反対意見を完全には理解していませんが、詳しく説明していただけますか？