Hoppa till innehåll
AMPthilly startsida
Kom igång
Efterlevnad och revision

Vad är en policy för godtagbar användning?

Policy för godtagbar användning förklarad: en enkel definition, exempel på klausuler för internet, e-post, lösenord och privat användning, hur du skriver en, vad som händer när den bryts, och hur en AUP skiljer sig från en BYOD-policy.

AMPthilly Uppdaterad

En policy för godtagbar användning (AUP) anger hur medarbetare får använda företagets utrustning, nätverk och data, och vilken användning som är förbjuden.

En policy för godtagbar användning (AUP) är ett dokument som anger hur medarbetare får använda företagets utrustning, nätverk och data - och vilken användning som är förbjuden. Det är avtalet bakom varje utlämnad laptop och telefon: organisationen tillhandahåller utrustningen, och användaren accepterar reglerna som följer med. Termen kommer från datorvärlden, där en AUP styrde vem som fick göra vad på ett delat nätverk; idag täcker den hela arbetsuppsättningen - enheter, internetåtkomst, e-post, molnkonton och datan som flödar genom alltihop. Eftersom det mesta av den utrustningen är en databärande enhet handlar AUP:n lika mycket om att skydda data som hårdvara.

I klartext är betydelsen av en AUP enkel: det är regelboken för att använda företagets teknik säkert och lagligt, skriven så att en vanlig medarbetare kan läsa den och veta var gränserna går. Den ligger vid sidan av policyn för inventariehantering, som styr utrustningen från organisationens sida, och den är dokumentet folk faktiskt signerar när utrustning byter händer.

Det här lär du dig

Vad en AUP täcker

Den typiska policyn tar upp, i klart språk:

  • Skötsel och förvaring av utrustning - enheten stannar hos den namngivna innehavaren, rapporteras snabbt vid förlust, skada eller stöld, och lämnas tillbaka när anställningen avslutas.
  • Tillåten och förbjuden användning - om rimlig privat användning är okej, och de hårda förbuden: olagligt innehåll, trakasserier, olicensierad programvara, sidoverksamhet på företagets utrustning.
  • Internet- och nätverksanvändning - vad företagets uppkoppling är till för, vilka kategorier av webbplatser eller tjänster som är otillåtna, och förväntningen att arbetstrafiken går först.
  • Säkerhetsbeteende - låsa skärmen, inte dela inloggningsuppgifter, inte stänga av säkerhetsfunktioner, inte ansluta okända enheter.
  • Datahantering - vad som får lagras lokalt, vad som måste stanna i godkända system och vad som aldrig får lämna organisationen.
  • Övervakning och konsekvenser - vad arbetsgivaren får granska eller logga, och vad som händer när reglerna bryts.

Listan ovan är skelettet; avsnitten nedan gör varje del till den sortens konkreta klausul som folk som söker faktiskt vill lyfta in i sitt eget dokument.

Exempel på policy för godtagbar användning (klausuler att anpassa)

Den som söker efter exempel på policy för godtagbar användning är oftast ute efter färdiga klausuler att skriva om, inte juridisk standardtext. Här är den sortens klausuler en AUP på en arbetsplats innehåller, grupperade efter tema. Behandla dem som mönster att anpassa till dina egna system och din lokala lagstiftning - inte en färdig mall.

  • Internet och webbsurf - “Företagets internetåtkomst finns främst för arbetet. Rimligt privat surfande är tillåtet på rasterna, förutsatt att det är lagligt, inte förbrukar orimligt mycket bandbredd och inte utsätter nätverket för risk.” Webbplatser med olagligt innehåll, spel om pengar eller skadlig kod brukar pekas ut som otillåtna.
  • E-post och meddelanden - “Företagets e-post- och meddelandekonton är till för arbetet. Skicka inte konfidentiell data till privata adresser, vidarebefordra inte kedjebrev och använd inte kontot på ett sätt som ger en felaktig bild av företaget.” Många policyer lägger till att e-post är en företagshandling och kan sparas.
  • Sociala medier - “Publicera inget i företagets namn utan tillstånd, och röj inte konfidentiell information eller kunduppgifter. Personliga åsikter som publiceras från privata konton ska inte framställas som företagets ståndpunkt.”
  • Lösenord och inloggningsuppgifter - “Dela inte lösenord, återanvänd inte ett privat lösenord till ett arbetskonto, och skriv inte ned uppgifter där andra kan hitta dem. Aktivera flerfaktorsautentisering (MFA) där det erbjuds.” Hygien kring inloggningsuppgifter är en av de vanligaste klausulerna i moderna policyer.
  • Installation av programvara - “Installera bara programvara som IT har godkänt. Installera inte olicensierade, piratkopierade eller okontrollerade program, och stäng inte av säkerhetsverktyg eller uppdateringar.”
  • Flyttbara lagringsmedier - “Anslut inte okända USB-minnen eller extern lagring till företagets enheter. Använd bara godkända medier för att överföra företagets data.”
  • Rimlig privat användning - “Begränsad privat användning av företagets utrustning är tillåten där den inte stör arbetet, bryter mot någon annan klausul i policyn eller lagrar privata filer som tränger undan arbetsdata.”

En praktisk AUP behöver sällan mer än en eller två sidor med klausuler som dessa. Konsten är att hålla dem tillräckligt specifika för att gå att tillämpa och tillräckligt korta för att folk faktiskt läser dem.

Vanliga regler för laptops och telefoner

Klausulerna som lönar sig är de tråkiga. Inga privata molnkonton för arbetsfiler - det är dit data försvinner när någon slutar. Inga familjemedlemmar på jobbdatorn - “mitt barn installerade det” är en högst verklig incidentkategori. Rapportera skador direkt i stället för vid återlämningen - en sprucken skärm som upptäcks elva månader senare kan ingen längre ställas till svars för. Och lämna tillbaka själva enheten, inte ett fabriksåterställt skal: raderingen är organisationens ansvar och ska ske genom korrekt datarening, så att bevis och data hanteras medvetet i stället för att utplånas av en välmenande medarbetare på väg ut.

Samma logik gäller telefoner. En jobbtelefon rymmer e-post, meddelanden och sparade inloggningar, så AUP:n kräver oftast en skärmlås eller biometrisk upplåsning, snabb rapportering om den tappas bort, och inget jailbreak eller installation av appar utanför officiella källor. Inga av dessa regler är märkvärdiga - de är helt enkelt de vardagsvanor som hindrar en databärande enhet från att bli ett dataintrång.

Hur du skriver en policy för godtagbar användning

Många sökningar på mall för policy för godtagbar användning handlar egentligen om “hur skapar jag en”. Du behöver ingen nedladdning - du behöver en metod. En användbar AUP växer fram i åtta steg:

  1. Definiera omfattning och vem den gäller för. Namnge vilka som omfattas - anställda, konsulter, tillfällig personal och eventuella externa kunder eller partner som får åtkomst eller utrustning.
  2. Lista utrustningen och systemen som omfattas. Datorer, telefoner, verktyg, nätverket, e-post, molnkonton och eventuella verksamhetssystem. Ett register över informationstillgångar eller ett allmänt inventarieregister gör listan lätt att hålla aktuell.
  3. Ange tillåten kontra förbjuden användning. Beskriv nivån för rimlig privat användning och de hårda förbuden tydligt, så att inget behöver gissas.
  4. Ange regler för säkerhet och datahantering. Lösenord och MFA, skärmlås, godkänd programvara, flyttbara medier, och var företagsdata får och inte får finnas.
  5. Upplys om övervakning. Berätta i förväg vad som kan loggas eller granskas, så att övervakningen är transparent i stället för en överraskning.
  6. Ange konsekvenserna. Beskriv vad som händer när reglerna bryts (se nedan) - en outtalad konsekvens är svår att tillämpa.
  7. Fånga en signerad bekräftelse vid utlämningen. Signaturen är det som förvandlar ett dokument till ett avtal; samla in den när utrustning och åtkomst lämnas ut.
  8. Granska och bekräfta på nytt vid väsentlig förändring. Se över policyn regelbundet och varje gång något väsentligt ändras - nya verktyg, nya arbetssätt - och låt folk signera igen.

Följ de stegen så får policyn en ryggrad: omfattning, utrustning, regler, säkerhet, övervakning, konsekvenser, signatur, översyn.

Vem som behöver signera en AUP

En AUP skyddar dig bara om de den gäller faktiskt har godkänt den, så var tydlig med vem som signerar:

  • Anställda signerar vid onboarding, i samma stund som de får utrustning och konton.
  • Konsulter och tillfällig personal signerar enligt villkoren för uppdraget - ofta en kortare version som täcker samma säkerhets- och dataregler under den tid arbetet pågår.
  • Externa kunder och partner som tilldelas utrustning eller ges åtkomst signerar också. I ett system med en särskild kundroll ser de externa mottagarna bara sina egna inventarier, men användningsreglerna gäller ändå för dem.

Oavsett vem som signerar är principen densamma som bakom en kvittens eller ett låneavtal för utrustning: bekräftelsen är knuten till personen och utrustningen den håller, och den registreras där du kan hitta den senare.

Varför personal signerar vid utlämning av utrustning

En AUP fungerar genom bekräftelse. Standardupplägget: policyn signeras vid onboarding, i samma stund som laptop, telefon eller verktygslåda byter händer, så att regler och ansvar börjar gälla samtidigt. Signaturen gör två saker - den gör reglerna möjliga att tillämpa, och den tar bort invändningen “ingen sa något till mig”. Utlämningsposten är lika viktig som signaturen; i AMPthilly loggar varje utlåning vem som fick vilken utrustning och när, och återlämningen noterar skick och kommentarer - ett naturligt komplement till en signerad AUP i arkivet.

BYOD och distansarbete: att utöka AUP:n till privata enheter

Hybrid- och distansarbete drev AUP:n bortom företagsdatorn. När folk använder privata telefoner och hemmanätverk i arbetet - bring your own device, eller BYOD - måste policyn säga hur ett bra beteende ser ut utanför kontorsnätverket:

  • Säkra anslutningar - att använda en VPN eller ett godkänt säkert nätverk för arbetet, inte öppet publikt wifi, när du hanterar företagsdata.
  • MFA på företagskonton - så att ett stulet lösenord på en privat enhet inte blir en öppen dörr.
  • Ingen företagsdata på privata molnkonton - arbetsfiler stannar i godkända system, inte på en privat disk eller i ett fotobibliotek.
  • Konfidentiell data på hemmanätverk - vettig hantering av känslig information vid arbete hemifrån, inklusive vem mer som kan se skärmen.
  • Utträdesklausulen - företagsdata på en privat enhet tas bort när personen slutar, på samma sätt som en företagsenhet raderas.

Det är här AUP:n och BYOD-reglerna möts. Många organisationer väver helt enkelt in reglerna för privata enheter i AUP:n i stället för att underhålla ett separat BYOD-dokument, vilket ger ett signerat avtal i stället för två.

Vad som händer när AUP:n bryts

En policy utan tänder är dekoration. De flesta organisationer tillämpar stegvis, progressiv hantering så att reaktionen matchar brottet:

  • Mindre snedsteg (en klick av misstag, ett enstaka överskridande av privat användning) - en muntlig eller skriftlig varning och en snabb repetition av reglerna.
  • Måttligt brott (att strunta i säkerhetsregler, installera ej godkänd programvara) - en formell varning och, där det är befogat, indragen eller begränsad åtkomst.
  • Allvarligt eller upprepat brott (avsiktligt exponerad data, ihållande nonchalans) - disciplinära åtgärder upp till uppsägning.
  • Brottsligt beteende (bedrägeri, stöld, olagligt innehåll) - anmälan till relevant myndighet.

Två principer gör hanteringen försvarbar. För det första måste en konsekvens stå i policyn som personen signerade - du kan inte säga upp någon för att ha brutit mot en regel som aldrig skrevs ned. För det andra måste policyn tillämpas konsekvent; en AUP som tillämpas mot vissa men inte andra är svår att stå för. Det hjälper också att upplysa om övervakning i förväg, så att personalen vet vad som kan loggas - vilket tas upp tillsammans med datalagringsrutiner i din datalagringspolicy - i stället för att upptäcka det i efterhand. När brottet rör en återlämnad eller beslagtagen enhet är det spårbarhetskedjan och inventariens verifieringskedja som gör om “vi tror att de gjorde det” till något du kan agera på.

AUP jämfört med BYOD-, IT-säkerhets- och datalagringspolicyer

AUP:n är ett av flera överlappande dokument som folk regelbundet blandar ihop. Så här delar de upp sig:

  • Policy för godtagbar användning - regler som vänder sig till användaren för att använda företagets utrustning, nätverk och data. Det här är dokumentet medarbetare läser och signerar.
  • BYOD-policy - det specifika fallet med privata enheter som används i arbetet. Ofta ett avsnitt i AUP:n snarare än en fristående policy.
  • IT- eller informationssäkerhetspolicy - det överordnade, strategiska moderdokumentet som sätter organisationens samlade säkerhetsläge, och AUP:n är dess vardagliga, mänskligt läsbara uttryck. Ramverk som ISO 27001 inventariehantering ligger på den här nivån.
  • Policy för inventariehantering - de regler som vänder sig till organisationen för hur utrustning köps in, registreras, underhålls och avvecklas. Se posten om policy för inventariehantering för hela kontrasten.
  • Datalagringspolicy - vilken data som sparas, var och hur länge innan den raderas.

Kortversionen: AUP:n säger vad en person får göra; säkerhetspolicyn sätter strategin bakom reglerna; inventariepolicyn styr utrustningen själv; och lagringspolicyn styr datans livslängd. De överlappar med flit, och en städad uppsättning policyer korshänvisar i stället för att duplicera.

AUP:n vid avslutad anställning och enhetens slut

Policyns sista klausuler gör störst nytta när någon slutar. Utrustningen lämnas tillbaka och stäms av mot utlämningsposten; det som inte dyker upp följs upp medan personen fortfarande går att nå. Återlämnade enheter lämnar AUP:ns domän och går vidare till avveckling: data raderas eller enheten skickas till ITAD, med dokumenterad destruktion i stället för antaganden. En bra AUP säger också tydligt att företagsdata på privata enheter raderas när anställningen upphör - klausulen alla glömmer tills den plötsligt behövs.

Vanliga misstag

  • En policy för alla. Kontorspersonal, fälttekniker och konsulter använder utrustning olika; en enda generisk AUP passar ingen.
  • Signaturer som försvinner. En signerad AUP som inte går att hitta tre år senare kan lika gärna inte finnas.
  • Regler utan utlämningshistorik. “Du ansvarar för din utrustning” går inte att tillämpa om ingen har registrerat vilken utrustning var och en faktiskt har.
  • Inga exempelklausuler eller detaljer. En policy som säger “använd utrustningen ansvarsfullt” utan att nämna lösenord, programvara, flyttbara medier eller privat användning lämnar varje gråzon åt diskussion.
  • Skriven och bortglömd. En AUP som inte har hängt med sedan distansarbetet och de verktyg folk faktiskt använder idag ignoreras - och selektivt ignorerade policyer är svårast att tillämpa.

FAQ

När ska medarbetare signera policyn för godtagbar användning? Före eller i samma stund som de får utrustning eller systemåtkomst - vanligtvis vid onboarding, i samband med att dator och konton lämnas ut. En signatur i efterhand försvagar policyn: poängen är att personen har godkänt reglerna innan de går att bryta. Be om en ny bekräftelse när policyn ändras väsentligt, och spara den signerade kopian så att du hittar den flera år senare.

Är en policy för godtagbar användning juridiskt bindande? Den kan ha verklig tyngd när den görs rätt - tydligt kommunicerad, skriftligt bekräftad och konsekvent tillämpad. Arbetsgivare stödjer sig på en signerad AUP för att motivera disciplinära åtgärder, kräva tillbaka skadad eller aldrig återlämnad utrustning och visa aktsamhet efter en säkerhetsincident. En AUP som ingen har sett, eller som bara tillämpas mot vissa, är inte mycket värd. Exakt hur långt den håller rättsligt avgörs av arbetsrätten där du verkar.

Vad är skillnaden mellan en AUP och en policy för inventariehantering? AUP:n vänder sig till användaren: den säger vad en medarbetare får och inte får göra med datorn, telefonen, nätverket och datan framför sig. Policyn för inventariehantering vänder sig till organisationen: hur utrustning köps in, registreras, underhålls och avvecklas. De möts vid utlämningen - inventarieprocessen lämnar ut enheten, och AUP:n styr användningen därifrån.

Vad ska en policy för godtagbar användning innehålla? En användbar AUP täcker omfattning (vem och vad den gäller för), vilken utrustning och vilka system den styr, tillåten kontra förbjuden användning, regler för säkerhet och datahantering, hygien kring lösenord och inloggningsuppgifter, en upplysning om övervakning, konsekvenserna av att bryta mot reglerna och en signerad bekräftelse. De starkaste policyerna anger också en rimlig nivå av privat användning och en utträdesklausul som tar bort företagsdata från privata enheter, så att ingenting lämnas otydligt.

Vad är skillnaden mellan en policy för godtagbar användning och en BYOD-policy? En AUP är den breda regelboken som vänder sig till användaren och gäller företagets utrustning, nätverk och data. En BYOD-policy (bring your own device) är den smalare uppsättningen regler för privata telefoner och datorer som används i arbetet - vad som måste säkras, vilken data som får lagras och vad som tas bort när någon slutar. I många organisationer vävs BYOD-reglerna in i AUP:n i stället för att skrivas som ett separat dokument.

Vilka konsekvenser får det att bryta mot en policy för godtagbar användning? De flesta organisationer tillämpar konsekvenser i nivåer: en muntlig eller skriftlig varning och repetition vid ett mindre snedsteg, indragen åtkomst vid ett allvarligare brott, uppsägning vid ett avsiktligt eller upprepat, och anmälan till myndighet där beteendet var brottsligt. Två saker gör att konsekvenserna håller - påföljden måste stå i policyn som personen signerade, och den måste tillämpas konsekvent mot alla.

Är privat användning av företagets utrustning tillåten enligt en AUP? Oftast en del, inom vissa gränser. Många AUP:er tillåter rimlig, tillfällig privat användning - lätt webbsurf eller ett snabbt meddelande på rasten - samtidigt som de drar hårda gränser kring olagligt innehåll, trakasserier, sidoverksamhet på företagets utrustning och lagring av privata filer som tränger undan arbetsdata. Poängen med klausulen är att sätta en uttalad förväntan i stället för att låta personalen gissa vad som räknas som rimlig användning.

Sammanfattningen

En policy för godtagbar användning är den mänskligt läsbara regelboken för företagets teknik: den definierar vem som omfattas, vad de får och inte får göra med enheter, nätverk och data, hur säkerhet och privat användning hanteras, vad som övervakas och vad som händer när reglerna bryts. De starkaste policyerna är specifika (riktiga klausuler, inte “använd ansvarsfullt”), signerade vid utlämning, utökade till att täcka BYOD och distansarbete, och konsekvent tillämpade. Knyt varje bekräftelse till personen och utrustningen den faktiskt håller, så slutar AUP:n vara ett arkivskåpsdokument och börjar bli något du kan tillämpa.

Verktyg som gör det enklare

AMPthilly håller inventariesidan av en AUP ärlig. Varje laptop, telefon eller verktyg får en utskrivbar QR-etikett som öppnar sin post i vilken telefonwebbläsare som helst - ingen app att installera. Låna ut ett föremål till en anställd, konsult eller kund så registrerar systemet vem som håller det och när; återlämningar fångar skick och kommentarer; och mallar för onboarding och offboarding ser till att rätt utrustning går ut och kommer tillbaka. Varje utlåning, återlämning, överföring och statusändring hamnar i inventariens verifieringshistorik, så att en signerad AUP alltid har utlämningsspåret bakom sig. Börja gratis - 3 användare och 25 inventarier, inget kreditkort krävs - eller prata med oss om en större utrullning.

Relaterade termer

  • Policy för inventariehantering - den organisationsvända motsvarigheten till en användarvänd AUP
  • Databärande enhet - den typ av utrustning en AUP främst finns till för att skydda
  • Datalagringspolicy - hur länge övervakad data och poster sparas
  • Kvittens - den signerade bekräftelsen på att en inventarie bytt händer
  • Datarening - vad som händer med enhetens data när AUP:ns ansvar tar slut
  • ITAD - avvecklingsvägen för återlämnad IT-utrustning
  • Destruktionsintyg - bevis på att data på en återlämnad enhet har förstörts
  • Elavfall - där avvecklad utrustning inte får hamna
Ordlista

Fortsätt läsa

Relaterade guider

Begrepp i den här guiden

Kom igång gratis - inget kort krävs

Låt registret göra jobbet

AMPthilly ger varje tillgång en ägare, en plats och en historik - utlåning och återlämning, utskrivbara QR-etiketter, servicedesk och revisionslogg på ett ställe. Gratisplanen täcker 3 användare och 25 tillgångar - SSO och MFA ingår.

Starta gratis Se funktionerna