Aby chronić firmę, jej pracowników, klientów i dostawców, wszyscy pracownicy powinni otrzymać kopię firmowej polityki dotyczącej dopuszczalnego korzystania z zasobów IT – w szczególności dostępu do internetu i poczty elektronicznej, a także polityki ochrony danych. Konieczne może być również wprowadzenie odrębnej polityki BYOD (ang. Bring Your Own Device), obejmującej korzystanie z urządzeń osobistych oraz zakres (jeśli w ogóle) ich łączenia z firmowymi systemami informatycznymi.
Wszelkie tego typu zasady powinny stanowić część umowy o pracę – w zakresie, w jakim jakiekolwiek ich naruszenie może skutkować podjęciem działań dyscyplinarnych, a w niektórych przypadkach nawet zwolnieniem z pracy.
Posiadanie polityki akceptowalnego użytkowania nie tylko pomaga chronić organizację przed narażeniem na oprogramowanie typu malware, działania prawne i utratę danych korporacyjnych/osobowych, ale może również pomóc w przypadku sporów z pracownikami.
Pracownicy muszą być świadomi treści wszystkich wysyłanych przez siebie wiadomości e-mail. Jeden e-mail wysłany nierozważnie może mieć negatywne konsekwencje i niezamierzone konsekwencje, zarówno dla pracownika, jak i organizacji, takie jak wysokie grzywny i szkody wizerunkowe.
Materiał nielegalny
Ze względu na nieocenzurowany charakter treści w internecie, istnieje wiele stron internetowych zawierających treści obraźliwe, obsceniczne i nielegalne (w Wielkiej Brytanii). Pracownicy nie powinni korzystać z takich stron, a firma powinna podjąć próby ich zablokowania, jeśli to możliwe.
Wirusy i phishing
Wyglądające niewinnie strony internetowe i wiadomości e-mail mają na celu nakłonienie użytkowników do pobrania materiałów, w których stwierdzono obecność wirusa, lub do ujawnienia poufnych danych firmy lub danych osobowych, których normalnie by nie ujawniono.
Pracownicy powinni przejść szkolenie, które nauczy ich rozpoznawania charakterystycznych oznak fałszywych wiadomości e-mail i wykonywania prostych kontroli online przed przesłaniem danych do witryny internetowej.
Pracownicy powinni również zostać poinformowani o procedurach postępowania w przypadku, gdy padną ofiarą takich ataków.
Telefony osobiste, zestawy słuchawkowe i korzystanie z sieci społecznościowych
Firmy mogą chcieć uwzględnić odniesienia do korzystania z telefonów osobistych, zestawów słuchawkowych i serwisów społecznościowych. Korzystanie z nich lub ograniczenia w ich używaniu będą w dużej mierze zależeć od środowiska pracy.
Oświadczenie o polityce modelowej
Aby zminimalizować potencjalne problemy tego typu, pracodawcy powinni rozważyć opracowanie oświadczenia dotyczącego polityki dostępu do Internetu i poczty e-mail dla wszystkich pracowników.
Poniżej zamieszczono propozycję oświadczenia dotyczącego polityki, która może stanowić przydatny punkt wyjścia.
Polityka i zakres
Przedsiębiorstwa uważają Internet i pocztę e-mail za ważne narzędzia biznesowe.
Zachęcamy pracowników do zwiększenia swojej produktywności poprzez korzystanie z takich narzędzi – jednak wyłącznie zgodnie z wytycznymi określonymi w niniejszym dokumencie.
Internet jest w dużej mierze nieuregulowany i nieocenzurowany, a naszym obowiązkiem jest ochrona bezpieczeństwa wewnętrznych informacji firmy, naszych klientów, dostawców i pracowników przed złośliwymi, obscenicznymi i niezgodnymi z prawem materiałami.
Monitorowanie – akapity opcjonalne – jeden
Firma zastrzega sobie prawo do monitorowania poczty elektronicznej i stron internetowych odwiedzanych przez pracownika. Monitorowanie może odbywać się losowo lub w przypadku podejrzenia zachowania naruszającego firmową politykę dotyczącą dostępu do poczty elektronicznej i internetu.
Kierownictwo poinformuje pracowników, że mogą być monitorowani w dowolnym momencie podczas korzystania z systemów biznesowych.
Ukryty monitoring będzie stosowany wyłącznie w wyjątkowych okolicznościach i wyłącznie po uzyskaniu zgody starszego(ych) pracownika(ów) firmy.
Monitorowanie – akapity opcjonalne – dwa
Firma zastrzega sobie prawo do monitorowania poczty elektronicznej i ruchu internetowego. Jednak poszczególni użytkownicy nie będą identyfikowani w procesie monitorowania.
Zakłada się, że wszyscy pracownicy rozumieją i akceptują niniejszą politykę, chyba że dyrektor (partner) zostanie powiadomiony o odmiennym brzmieniu. Wszelkie wyjątki muszą zostać dołączone do umowy o pracę pracownika i podpisane przez dyrektora (partnera) i pracownika.
Wszystkie zasoby firmy, w tym komputery, dostęp do Internetu i poczta elektroniczna, udostępniane są wyłącznie do celów służbowych.
Celem niniejszej polityki jest zapewnienie, że rozumiesz, w jakim zakresie możesz korzystać z komputera/komputerów będących własnością firmy/przedsiębiorstwa do celów prywatnych. Polityka ta określa sposób korzystania z dostępu do Internetu w firmie/przedsiębiorstwie, aby spełnić wymogi prawne i biznesowe.
Niniejsza polityka ma zastosowanie do wszystkich pracowników firmy, a jej nieprzestrzeganie może skutkować podjęciem działań dyscyplinarnych zgodnie z Procedurą Dyscyplinarną. Ponadto, jeśli Twoje zachowanie jest niezgodne z prawem lub niezgodne z prawem, możesz ponieść osobistą odpowiedzialność.
Zasady ogólne
Komputer i dostęp do Internetu są Państwu udostępniane w celu wsparcia działalności firmy.
Prywatne korzystanie z komputerów i internetu jest dozwolone, z zastrzeżeniem ograniczeń zawartych w niniejszej polityce. Wszelkie prywatne korzystanie z komputerów i internetu powinno odbywać się w czasie wolnym pracownika i nie może kolidować z jego obowiązkami służbowymi. Prywatne korzystanie nie może zakłócać działania systemów informatycznych ani szkodzić reputacji firmy.
Należy zachować ostrożność korzystając z Internetu i nigdy nie polegać na informacjach otrzymanych lub pobranych bez odpowiedniego potwierdzenia źródła.
Dostęp do Internetu i poczty elektronicznej
Następujący użytkownicy mają dostęp do Internetu i poczty e-mail ze wszystkich następujących komputerów:
Użytek osobisty
Dostęp do Internetu do celów prywatnych jest zabroniony w normalnych godzinach pracy. Sporadyczne korzystanie z Internetu w celach prywatnych jest dozwolone poza godzinami pracy, jednak należy przestrzegać ograniczeń określonych w punkcie „Przeglądanie/pobieranie materiałów” (poniżej).
Prywatnych wiadomości e-mail nie można wysyłać ani odbierać, chyba że w nagłym wypadku i po uzyskaniu uprzedniej zgody kierownika.
Wiadomości e-mail i załączniki do wiadomości e-mail
Wiadomości e-mail muszą podlegać tym samym zasadom, co korespondencja wysyłana na papierze firmowym.
Wiadomości e-mail nie mogą zawierać kontrowersyjnych stwierdzeń/opinii na temat organizacji ani osób. W szczególności należy unikać odniesień rasowych lub seksualnych, uwag poniżających lub potencjalnie oszczerczych/zniesławiających oraz wszelkich treści, które mogłyby zostać uznane za nękanie.
Wiadomości e-mail nie mogą zawierać treści obraźliwych.
Nie wolno świadomie wysyłać wiadomości e-mail zawierających wirusy.
Wiadomości e-mail pochodzące z nieznanego źródła nie mogą być otwierane, lecz ujawniane kierownictwu (patrz Ujawnianie ).
Wiadomości e-mail wysyłane na zewnątrz muszą zawierać klauzulę wyłączającą odpowiedzialność firmy (zobacz przykład poniżej)
Wiadomości e-mail (wysłane i odebrane) muszą być przechowywane w odpowiednich plikach klienta i muszą być nadawane zgodnie z tą samą konwencją nazewnictwa, która obowiązuje przy przechowywaniu listów i innej korespondencji.
Wiadomości e-mail z załącznikami zawierającymi dane wrażliwe muszą być szyfrowane i chronione hasłem. Haseł nigdy nie należy wysyłać pocztą elektroniczną. W miarę możliwości staraj się przesyłać te dane inną drogą.
Przeglądanie/pobieranie materiałów
Należy przeglądać/pobierać wyłącznie materiały pochodzące z rzetelnych witryn biznesowych, komercyjnych lub rządowych.
Nie należy przeglądać ani pobierać żadnych innych materiałów. Dotyczy to w szczególności gier, wygaszaczy ekranu, muzyki/wideo oraz materiałów nielegalnych, obscenicznych lub obraźliwych.
Laptopy/komputery przenośne i przenośne urządzenia multimedialne
Podróżowanie z laptopami/urządzeniami przenośnymi
Laptopy podlegają kontroli władz, szczególnie w przypadku podróży lotniczych/morskich/kolejowych, zarówno w Wielkiej Brytanii, jak i poza nią. Jeśli pracownik posiada laptop należący do firmy, musi upewnić się, że nie zawiera on świadomie nielegalnych materiałów.
Laptopy zawierające dane korporacyjne powinny być szyfrowane.
Korzystanie z laptopów/urządzeń przenośnych na połączeniach zdalnych
Laptopy firmowe/firmowe mogą być używane do obsługi poczty e-mail/internetu bez połączenia z serwerem firmowym. Należy zainstalować odpowiednie oprogramowanie zabezpieczające, które umożliwi taki dostęp i zmniejszy ryzyko wirusów lub włamań.
Korzystanie z przenośnych urządzeń multimedialnych
Przenośne urządzenia multimedialne obejmują dyski USB, płyty CD, płyty DVD itp.
Jeśli urządzenia te zawierają poufne dane korporacyjne lub osobowe, dane przechowywane na tych urządzeniach powinny być szyfrowane.
Korzystając z urządzeń przenośnych należy używać wyłącznie urządzeń zatwierdzonych do użytku służbowego.
Ujawnienie
Pracownicy mają obowiązek zgłaszania kierownictwu następujących kwestii:
- podejrzane wiadomości e-mail/załączniki do wiadomości e-mail/strony internetowe
- znaleziono na komputerze materiały obsceniczne/nielegalne
- uporczywe korzystanie z Internetu w celach osobistych
- uporczywe pobieranie materiałów nielegalnych/obscenicznych/obraźliwych
- utrata danych korporacyjnych lub utrata maszyn i urządzeń zawierających dane korporacyjne
Dyscyplinarny
Naruszenie którejkolwiek z zasad jest sprawą dyscyplinarną.
Nielegalne działania będą również zgłaszane odpowiednim władzom.
Niewłaściwe użycie
Komputery są cennym zasobem dla naszej firmy. Jednakże, ich niewłaściwe wykorzystanie może skutkować poważnymi konsekwencjami zarówno dla pracowników, jak i dla firmy. Firma jest szczególnie narażona na ryzyko, gdy pracownicy mają dostęp do internetu. Charakter internetu uniemożliwia zdefiniowanie wszystkich przypadków niewłaściwego użytkowania. Oczekuje się jednak, że pracownicy zadbają o to, aby korzystanie z komputerów i internetu przez nich było zgodne z ogólnymi wymogami profesjonalizmu.
W szczególności podczas korzystania z komputera lub Internetu pracownikom nie wolno:
- kopiować, przesyłać, pobierać lub w inny sposób przekazywać komercyjne oprogramowanie lub jakiekolwiek materiały chronione prawem autorskim należące do firmy/przedsiębiorstwa lub innych stron trzecich
- korzystać z oprogramowania, które nie zostało wyraźnie zatwierdzone do użytku przez firmę/przedsiębiorstwo
- kopiuj lub pobieraj jakiekolwiek oprogramowanie lub pliki elektroniczne bez korzystania ze środków ochrony antywirusowej zatwierdzonych przez firmę
- odwiedzać stron internetowych lub pobierać plików zawierających materiały nieprzyzwoite, obsceniczne, pornograficzne, obraźliwe lub inne budzące sprzeciw
- zamieszczać w Internecie lub na jego stronach nieprzyzwoitych, obscenicznych, pornograficznych, obraźliwych lub w inny sposób budzących sprzeciw uwag, propozycji lub materiałów
- ujawniać lub upubliczniać poufne lub zastrzeżone informacje (w tym dane osobowe) na temat firmy, jej pracowników, klientów i kontaktów biznesowych.
Następujące działania są wyraźnie zabronione:
- celowe wprowadzenie jakiejkolwiek formy wirusa komputerowego
- próba uzyskania dostępu przez Internet do zastrzeżonych obszarów systemu komputerowego firmy lub systemów komputerowych bądź danych innej organizacji lub osoby bez zezwolenia lub inne działania hakerskie.
- pobieranie informacji korporacyjnych na przenośne nośniki danych (takie jak dysk USB lub płyta CD), chyba że zarząd wyraźnie zatwierdził taką czynność
- przesyłanie danych osobowych/prywatnych (na przykład muzyki, filmów lub zdjęć) z przenośnych nośników danych (takich jak dysk USB lub płyta CD) na dysk lokalny lub sieciowy, chyba że kierownictwo wyraźnie zatwierdziło taką działalność.
- instalacja oprogramowania, na które firma nie wyraziła zgody.
Monitorowanie
Zastrzegamy sobie prawo i możliwość kontroli dowolnych systemów oraz wglądu i przeglądu wszelkich danych zarejestrowanych w tych systemach w dowolnym momencie i bez uprzedzenia. Wszelkie informacje przechowywane na komputerze, niezależnie od tego, czy znajdują się na dysku twardym, dysku komputerowym, czy w inny sposób, mogą podlegać kontroli przez firmę. Kontrola ta pomaga zapewnić zgodność z wewnętrznymi politykami i przepisami prawa. Wspiera ona przeprowadzanie wewnętrznych dochodzeń i zarządzanie systemami informatycznymi.
Aby zapewnić zgodność z niniejszą polityką, firma może korzystać z oprogramowania monitorującego w celu monitorowania korzystania z internetu i blokowania dostępu do określonych stron internetowych, aby upewnić się, że nie dochodzi do poważnych naruszeń polityki. Zastrzegamy sobie prawo do dostępu, pobierania, odczytywania i usuwania wszelkich informacji generowanych, odbieranych lub wysyłanych w wyniku korzystania z internetu przez upoważniony personel, w celu zapewnienia zgodności ze wszystkimi naszymi politykami. Monitorowanie będzie wykorzystywane wyłącznie w uzasadnionych celach.
Przykładowy e-mail z zastrzeżeniem
Niniejsza wiadomość e-mail i wszelkie zawarte w niej załączniki są poufne i przeznaczone wyłącznie do użytku osoby, do której jest adresowana. Wszelkie przedstawione poglądy lub opinie są wyłącznie poglądami autora i niekoniecznie odzwierciedlają poglądy firmy/firmy. Jeśli nie jesteś adresatem, informujemy, że otrzymałeś/aś tę wiadomość e-mail omyłkowo i że jakiekolwiek jej wykorzystanie, rozpowszechnianie, drukowanie, przekazywanie lub kopiowanie jest surowo zabronione.
Jeśli otrzymałeś tę wiadomość e-mail przez pomyłkę, skontaktuj się z nadawcą.
Ustawa o spółkach z 2006 r. – wiadomości e-mail i strony internetowe
Zgodnie z prawem spółek każda spółka musi podawać na formularzach i dokumentach korporacyjnych (dotyczy to również wiadomości e-mail i stron internetowych) swój numer rejestracyjny, miejsce rejestracji i adres siedziby.
W szczególności wszystkie wiadomości e-mail wysyłane poza firmę muszą zawierać te informacje – czy to jako część podpisu firmowego, czy jako część nagłówka/stopki firmowej.
