工作場所科技裝置的可接受使用策略（Acceptable Use Policy）

什麼是可接受使用策略（Acceptable Use Policy，AUP）？

幾乎所有曾經創業或在公司工作過的人，都多少接觸過可接受使用策略。不論是自己要負責制定，還是更常見的情況——被要求閱讀並簽署，表示理解並遵守公司對員工行為的規範。

其實，AUP 不只存在於雇傭關係中，它無所不在。從軟體授權合約到網站的存取條款，可接受使用策略幾乎隨處可見——只是很多時候，它藏在「細則」裡，很容易被略過。

不管你只是快速瀏覽，還是仔細研讀，AUP 都是產品或服務提供者與使用者之間具有法律約束力的協議。

在討論 AUP 為什麼重要、通常包含什麼之前，我們先來釐清定義。

由於「可接受使用策略 」在字典裡並沒有明確定義，我們可以把它拆開來看：「可接受使用（Acceptable Use）」和「策略（Policy）」。

「可接受使用（Acceptable Use）」指的是： 對接受方來說是合宜的、令人滿意的、可接受的、受歡迎的。

「策略（Policy）」則是： 在特定情境下，從多種可能中選擇出來的一套明確行動方針，用來指導和決定現在與未來的決策。

合在一起，可接受使用策略基本意思就是 ：一套規範，限制產品或服務可以如何被使用，同時規定應該如何正確使用。

AUP 涵蓋什麼內容？

AUP 通常會清楚列出哪些行為或做法是不允許的。

在工作場所的科技使用上，AUP 適用於企業、學校和服務供應商（例如 ISP、雲端應用和網站），通常用來：

• 降低法律風險
• 維持服務品質（QoS）
• 設定使用期望
• 遵循監管規範
• 確保企業運作流程與持續性

可接受使用策略範例：數據與影音串流

有一家公司最近轉型為遠端工作，仰賴員工保持工作效率來維持營運。 因此，公司提供員工公司所有的 MacBook Pro 與 iPhone，採用 COPE 模式（公司擁有、個人可用），讓員工可以同時拿來處理私人事務。

企業行動方案的一個常見規範，是數據流量由所有員工共享。如果有員工整天都在看影片，導致一個月就用掉五成流量，可能會衍生兩個問題：

1. 員工因為看影片而耽誤了正職工作；
2. 流量被過度消耗，導致其他需要網路的員工可用資源不足，影響效率。

在這個例子裡，要求所有員工閱讀並簽署 AUP，可以有效防止這種情況：

1. 在上班時間限制使用串流平台；
2. 清楚解釋流量池的運作方式，並讓員工了解自己能用多少。

AUP 應該包含哪些內容？

什麼都要！好啦，也許不是什麼都要寫，但至少要把能讓員工的可接受使用策略真正發揮作用的重點都包含進去。這並沒有一套「通用」的 AUP 模板。雖然有些範本可供參考，但每家公司的需求不同，所以 AUP 也會有所差異。

以下是制定有效 AUP 的幾個原則：

• 提供範例或可用的替代方案
• 涵蓋故意與非故意的違規行為
• 解釋如何監控並執行規範
• 詳細說明違規後的處理方式與後果
• 包含所有使用者，沒有例外
• 列出社群媒體使用的規範
• 讓策略符合你公司自身的特殊需求
• 用詞必須清楚，避免模棱兩可

AUP 在桌機和行動裝置上的適用範圍有差別嗎？

基本上沒有。就公司資料安全而言，AUP 都會明確規範使用者應該如何正確使用和保護公司系統與資料。這同樣適用於員工自攜裝置（BYOD），即使是用個人裝置處理公司資料，也必須遵守 AUP。換句話說，即使裝置是員工自己的，公司資料仍然屬於公司，所以必須按照 AUP 的規範來保護。

行動裝置設計上是以「單人使用」為主，因此會帶來更多隱私上的顧慮。即便是公司提供的行動裝置，若員工拿來連線外部 Wi-Fi，或撥打私人電話，仍涉及個人隱私。

為了避免在「隱私」與「安全」之間拉鋸，可以透過磁碟分區來解決，以讓使用者與企業都能安心。一個區域專門加密存放公司資料；另一個區域用來存放個人資料，避免資料混淆。 這對行動裝置的 AUP 是很好的補強功能：無論裝置是誰擁有的，既能確保公司資料受控又安全，同時保障員工隱私。

撰寫 AUP 時還可以納入這些重點：

CYOD（自選裝置）/COPE（公司配發）

公司是否提供員工裝置？是否允許私人用途？如果可以的話，具體哪些用途是允許的？

BYOD（自攜裝置）

員工的自有裝置是否需要註冊到公司的 MDM？管理員能在員工的個人裝置上執行哪些操作？

隱私權

公司如何看待使用者隱私？公司能存取哪些資料？這些資料會被存在哪裡，以及保存多久？

工作環境

如果你的組織是全遠端、混合模式，或正準備轉型，就要在策略中清楚說明：當員工分散在不同地點，甚至跨國工作時，這些規範要怎麼落實。要注意，有些地區的法規比其他地方更嚴格，這會直接影響你的 AUP 是否精準、是否有效。

國際考量

舉例來說，如果你的組織要處理歐洲的資料，就可能受到 GDPR 的規範。如果員工用了沒通過 GDPR 認證的軟體，就算公司總部不在歐洲，也可能觸犯合規規範。

合規性

你的組織，以及所有員工，都可能受到地方、州、聯邦，或特定區域法規的約束。這其中可能涉及不同地區、不同國家，甚至特定產業的規範。搞清楚這些規範的細節非常重要，才能避免因違規而付出高昂代價，甚至面臨民事或刑事處罰。

為什麼可接受使用策略（AUP）對員工很重要？

就像前面提到的，AUP 是由管理產品或服務的組織所制定的。主要目的是保護他們自身的利益。不過，一份寫得完善的 AUP，不只是用清楚簡潔的語言說明產品或服務的使用規範，同時也能在某種程度上保護使用者（在這裡就是員工）。

AUP 是健全的資訊安全架構中不可或缺的一部分。透過自動化方式顯示 AUP ，可以明確指出使用者哪些行為是允許的、哪些是不允許的，幫助他們避免做出可能對自己（以及公司）帶來負面影響的行為。 要求使用者確認這些條款，可以幫助他們避免陷入可能被認定為不公平，甚至引發行政或法律處分的情況。

那我的組織要怎麼落實 AUP 呢？

回到前面的例子，員工簽署了一份列出可接受使用規範的文件。規範寫得清楚又好懂。但接下來要怎麼做呢？AUP 本身真的能不能避免員工在上班時間串流影片、耗盡共享的數據流量？

簡單說，不能。不過就像多數 IT 相關的情況一樣，可以透過多種控管方式搭配起來，來落實管理策略。 AUP 也一樣，只是它提供的是書面準則，明確說明終端使用者的行為該是如何，以及哪些事情能做、哪些不能做。

如果再搭配內容篩選、數據 流量限制等功能的軟體（例如 Jamf Data Policy），IT 管理員就能在落實 AUP 的同時，透過安全控管限制使用者可以造訪哪些網站。另外，不論員工是有意還是無意，只要達到預設的數據流量使用門檻，管理員就會收到通知。接著，系統會自動封鎖存取網路資源，或是把他們的行動網路降速。

能落實 AUP 的軟體，可以替公司做到哪些事？

• 避免因流量超標而產生「帳單爆表」的情況
• 替使用者設定數據流量上限，避免過度使用
• 提供詳細的使用紀錄
• 限制存取違法或不合規的網站
• 讓員工能持續保持工作效率
• 提供使用者和管理員即時的通知提醒
• 讓 IT 可以依需要調整設定

最終，你的 AUP 內容以及要如何搭配 Jamf Pro 策略來落實合規性， 都取決於組織的需求、所提供的產品與服務，以及員工應有的行為規範。你還需要額外考量所有營運據點的位置，以及終端使用者和客戶所在的位置。 請仔細思考還有哪些細節，是產品或服務運作上不可或缺，或是貴組織獨有的重要需求。