什么是可接受使用政策（AUP）？

可接受使用政策（AUP，常见缩写）是一份书面文件，用来说明员工和承包商在使用公司技术时哪些可以做、哪些不可以做。通常这会涵盖笔记本电脑、台式机、移动电话、电子邮件、消息应用、互联网访问、云端软件以及公司文件。

目标不是惩罚任何人。它是用通俗语言给出清晰的规则。一份好的政策能帮助人们避免高风险行为，保护企业信息，并让管理者在处理错误或反复出现的问题时有一个公平的方式。

对小型企业而言，这份文件可以写得很简短。不需要听起来像法学教材。它只需要清楚、现实，并且与你们团队实际工作方式相关联。

大多数小型企业的技术问题并不是由“电影式”的黑客引起的。它们往往从日常的困惑开始：有人用个人邮箱账号来处理工作；文件被保存到了错误的位置；员工安装了未经批准的软件；丢失了一部带有公司邮箱的手机。可接受使用政策可以帮助减少这种困惑。

它也有助于保持一致性。如果有人被告知可以在工作中使用个人设备，而另一个人却被告知不可以，你就会制造挫败感和风险。一份书面政策能让每个人都有相同的基本要求。

在一些行业，书面的技术规则也可能支持更广泛的合规工作。合规要求因行业和州而异。例如，医疗健康类企业可能需要考虑 HIPAA（健康保险可携性与责任法案）。处理支付卡的企业可能需要考虑 PCI（支付卡行业数据安全标准）。可接受使用政策并不是完整的合规项目，但它常常是有用的一部分。

一份实用的政策通常会说明哪些设备和账户被批准用于工作、允许什么样的互联网和电子邮件使用方式、员工应如何处理公司数据，以及如果忽视规则会发生什么。它也可能会涉及远程办公、个人设备、软件下载，以及如何报告丢失的设备或可疑的信息。

很多企业还会用通俗的英文补充一些基础安全规则。例如：要求使用强密码、启用 MFA（多因素认证）、并避免将公司数据放在个人存储应用中。如果你的团队使用公司笔记本电脑或手机，政策也可能会说明：公司设备的首要用途是用于业务。

如果你与 MSP（托管式 IT 服务提供商）合作，他们可能会在更广泛的 IT 规划中帮助你起草或审核一份政策。NodeBridge IT 不会编写或执行政策。我们提供通用教育，并且如果你希望获得外部指导，我们可以帮你找到独立的托管式 IT 提供商。