허용 사용 정책이란 무엇인가요?

허용 사용 정책(AUP)은 직원과 계약직이 회사 기술로 무엇을 할 수 있고 할 수 없는지를 설명하는 문서입니다. 일반적으로 노트북, 데스크톱, 모바일 휴대폰, 이메일, 메시징 앱, 인터넷 접속, 클라우드 소프트웨어, 회사 파일 등이 포함됩니다.

목적은 사람을 처벌하는 것이 아닙니다. 쉬운 말로 명확한 규칙을 제공하는 것입니다. 좋은 정책은 사람들이 위험한 행동을 피하도록 돕고, 비즈니스 정보를 보호하며, 관리자가 실수나 반복되는 문제를 공정한 방식으로 처리할 수 있는 기준을 제공합니다.

소규모 비즈니스라면 이 문서는 짧아도 됩니다. 법 교과서처럼 들릴 필요는 없습니다. 중요한 것은 팀이 실제로 어떻게 일하는지와 연결되어 있고, 명확하며, 현실적이어야 한다는 점입니다.

소규모 비즈니스에서 발생하는 대부분의 기술 문제는 영화 속 해커로 인해 생기지 않습니다. 대개 일상적인 혼란에서 시작됩니다. 누군가가 업무를 위해 개인 이메일 계정을 사용합니다. 파일이 엉뚱한 위치에 저장됩니다. 직원이 승인되지 않은 소프트웨어를 설치합니다. 회사 이메일이 있는 휴대폰을 분실합니다. 허용 사용 정책은 이러한 혼란을 줄이는 데 도움이 됩니다.

또한 일관성을 높여줍니다. 한 사람에게는 업무용으로 개인 기기를 사용할 수 있다고 말하면서 다른 사람에게는 사용할 수 없다고 하면, 사람들은 불만을 느끼고 위험도 커집니다. 문서로 된 정책은 모두에게 동일한 기본 기준을 제공합니다.

일부 업종에서는 서면으로 된 기술 규칙이 더 넓은 준수(컴플라이언스) 노력에도 도움이 될 수 있습니다. 요구사항은 업종과 주(州)에 따라 다릅니다. 예를 들어 의료 사업은 HIPAA, 즉 「건강보험 이전 및 책임에 관한 법률(Health Insurance Portability and Accountability Act)」을 고려해야 할 수 있습니다. 결제 카드를 처리하는 비즈니스는 PCI, 즉 「결제 카드 산업 데이터 보안 표준(Payment Card Industry Data Security Standard)」을 고려해야 할 수 있습니다. 허용 사용 정책은 전체 준수 프로그램은 아니지만, 종종 유용한 한 가지 구성 요소입니다.

실용적인 정책은 대개 업무에 승인된 기기와 계정, 허용되는 인터넷 및 이메일 사용 방식, 직원들이 회사 데이터를 어떻게 다뤄야 하는지, 그리고 규칙을 무시했을 때 어떤 일이 발생하는지 등을 설명합니다. 또한 원격 근무, 개인 기기 사용, 소프트웨어 다운로드, 분실된 기기나 의심스러운 메시지를 보고하는 방법도 포함될 수 있습니다.

많은 비즈니스는 간단한 보안 규칙 몇 가지도 쉬운 영어로 함께 포함합니다. 예를 들어 강력한 비밀번호를 요구하고, MFA(멀티 팩터 인증, multi-factor authentication)를 켜며, 회사 데이터를 개인 저장용 앱에 저장하지 않도록 하는 것입니다. 팀이 회사 노트북이나 휴대폰을 사용한다면, 정책에서 ‘업무 기기는 우선적으로 업무 용도에 사용한다’고 명시할 수도 있습니다.

MSP(관리형 IT 서비스 제공업체, managed IT services provider)와 함께 일한다면, 이들은 더 폭넓은 IT 계획의 일부로서 정책을 작성하거나 검토하는 데 도움을 줄 수 있습니다. NodeBridge IT는 정책을 작성하거나 강제하지 않습니다. 저희는 일반적인 교육을 제공하며, 원하신다면 외부 가이드가 필요할 때 연결된 곳을 찾아드릴 수 있습니다.