Chính sách sử dụng chấp nhận được là gì?

Chính sách sử dụng chấp nhận được, thường được gọi là AUP, là một tài liệu bằng văn bản giải thích nhân viên và nhà thầu được phép và không được phép làm gì với công nghệ của công ty. Thông thường, nội dung này bao gồm laptop, máy tính để bàn, điện thoại di động, email, ứng dụng nhắn tin, quyền truy cập internet, phần mềm trên nền tảng đám mây và các tệp tin của công ty.

Mục tiêu không phải là để trừng phạt ai đó. Chính sách tốt là đưa ra các quy tắc rõ ràng bằng ngôn ngữ dễ hiểu. Một chính sách tốt giúp mọi người tránh các hành vi rủi ro, bảo vệ thông tin doanh nghiệp và tạo cho quản lý một cách xử lý công bằng khi có sai sót hoặc các vấn đề lặp lại.

Với một doanh nghiệp nhỏ, tài liệu này có thể ngắn gọn. Không cần phải có giọng điệu như sách giáo khoa luật. Chỉ cần rõ ràng, thực tế và bám sát cách đội ngũ của bạn vận hành.

Hầu hết các sự cố công nghệ trong doanh nghiệp nhỏ không phải do một hacker kiểu như trong phim. Chúng thường bắt đầu từ sự nhầm lẫn rất đời thường. Có người dùng tài khoản email cá nhân để làm việc. Một tệp được lưu sai chỗ. Nhân viên cài đặt phần mềm chưa được phê duyệt. Một chiếc điện thoại có email công ty bị mất. AUP giúp giảm bớt sự nhầm lẫn đó.

Chính sách cũng giúp đảm bảo tính nhất quán. Nếu một người được nói rằng họ có thể dùng thiết bị cá nhân cho công việc, trong khi người khác được nói rằng họ không được phép, bạn sẽ tạo ra sự bực bội và tăng rủi ro. Một chính sách viết sẵn sẽ đặt ra cùng một nền tảng chung cho tất cả mọi người.

Trong một số ngành, các quy định công nghệ bằng văn bản cũng có thể hỗ trợ các nỗ lực tuân thủ rộng hơn. Yêu cầu sẽ khác nhau theo ngành và theo từng bang. Ví dụ, các doanh nghiệp y tế có thể cần phải cân nhắc HIPAA, viết tắt của Health Insurance Portability and Accountability Act (Đạo luật về trách nhiệm và khả năng chuyển đổi bảo hiểm y tế). Các doanh nghiệp xử lý thẻ thanh toán có thể cần cân nhắc PCI, viết tắt của Payment Card Industry Data Security Standard (Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán). AUP không phải là toàn bộ chương trình tuân thủ, nhưng thường là một phần hữu ích.

Một chính sách thực tế thường giải thích thiết bị và tài khoản nào được phê duyệt để làm việc, loại cách sử dụng internet và email nào được phép, nhân viên nên xử lý dữ liệu công ty như thế nào, và điều gì xảy ra nếu không tuân thủ các quy tắc. Chính sách cũng có thể đề cập làm việc từ xa, thiết bị cá nhân, tải phần mềm, và cách báo cáo khi bị mất thiết bị hoặc phát hiện một tin nhắn đáng ngờ.

Nhiều doanh nghiệp cũng đưa vào một vài quy tắc bảo mật cơ bản bằng ngôn ngữ dễ hiểu. Ví dụ, yêu cầu mật khẩu mạnh, bật MFA, tức xác thực đa yếu tố (multi-factor authentication), và không lưu dữ liệu công ty trong các ứng dụng lưu trữ cá nhân. Nếu đội ngũ của bạn sử dụng laptop hoặc điện thoại của công ty, chính sách cũng có thể nêu rằng thiết bị kinh doanh trước hết là để phục vụ mục đích công việc.

Nếu bạn làm việc với MSP, tức nhà cung cấp dịch vụ CNTT được quản lý (managed IT services provider), họ có thể giúp bạn soạn thảo hoặc rà soát một chính sách như một phần của kế hoạch CNTT tổng thể. NodeBridge IT không viết hoặc thực thi chính sách. Chúng tôi cung cấp kiến thức tổng quát và có thể giúp bạn tìm một nhà cung cấp dịch vụ CNTT được quản lý độc lập nếu bạn muốn có hướng dẫn từ bên ngoài.