可接受使用政策是什麼？

可接受使用政策（AUP）通常是一份書面文件，說明員工與承包商在使用公司科技時「可以」與「不可以」做什麼。通常會包含：筆記型電腦、桌上型電腦、行動電話、電子郵件、通訊軟體、網際網路存取、雲端軟體，以及公司的檔案。

這份政策的目的不是要懲罰任何人。它是用白話提供清楚的規則。一份好的政策能幫助人避免高風險行為、保護商業資訊，也讓主管在面對錯誤或反覆發生的問題時，有一個公平的處理方式。

對小型企業而言，文件可以很短。不需要聽起來像法律課本。只要清楚、務實，並且和你們團隊實際的工作方式相關即可。

在小型企業中，多數科技問題並不是由電影裡那種駭客造成的。它們往往從日常的困惑開始。有人用個人電子郵件帳號來處理工作。檔案被存到了錯誤的位置。員工安裝了未核准的軟體。公司用的手機遺失了。

可接受使用政策可以幫助降低這些混亂帶來的問題。

它也有助於做法一致。如果一個人被告知可以用個人裝置來工作，另一個人卻被告知不行，你就會造成挫折與風險。書面政策能讓所有人都有相同的基本界線。

在某些產業，書面的科技使用規範也可能支持更廣泛的合規工作。要求會因產業與州別而有所不同。例如，醫療機構可能需要考慮 HIPAA，也就是《健康保險流通與責任法案》（Health Insurance Portability and Accountability Act）。處理付款卡的企業可能需要考慮 PCI，也就是《付款卡產業資料安全標準》（Payment Card Industry Data Security Standard）。可接受使用政策不是完整的合規計畫，但它常常是其中一個有用的部分。

一份務實的政策通常會說明：哪些裝置與帳號獲准用於工作、允許哪種網際網路與電子郵件使用方式、員工應如何處理公司資料，以及如果忽視規則會發生什麼。它也可能涵蓋遠端工作、個人裝置、軟體下載，以及如何通報遺失的裝置或可疑訊息。

許多企業也會用白話加入幾條基本的安全規則。例如，要求強密碼、啟用 MFA（多因素驗證），以及避免把公司資料放在個人儲存型應用程式中。如果你的團隊使用公司筆記型電腦或手機，政策也可能會寫明：商務裝置以商務用途為先。

如果你和 MSP（託管式 IT 服務供應商，managed IT services provider）合作，他們可能會在更廣泛的 IT 規劃中協助你擬定或審閱政策。NodeBridge IT 不會撰寫或執行政策。我們提供一般性的教育，並且若你想要外部指引，我們可以協助你找到獨立的託管式 IT 服務供應商。