web-dev-qa-db-ja.com

質問:新興企業の電子メールポリシーを計画するにはどうすればよいですか?

私はソフトウェアのスタートアップの一員です。私はIT管理者の役割と、要件の収集(ビジネス分析)を担当しています。現在、私たちは7人のチームであり、全員が「コアチーム」に属しています。現在、会社の電子メールポリシーを定めることを計画しています。私の知識と経験から、私は次のことを提案しました。

  1. 電子メールアクセスは、プロジェクトおよび役割に固有である必要があります。
  2. 外界とのコミュニケーションは、役割やプロジェクトが要求する場合を除いて、完全に禁止されるべきです。例:その人がマーケティング部門にいるとき、またはプロジェクトがクライアントとのコミュニケーションが必要なクライアントを扱っているとき。

反対意見について:

  1. 私たちの1人は、同じ目的で2つの異なるIDを使用したくないので、フォーラムへのアクセスに会社IDを使用したいと主張しました。これは消化できません。
  2. 他の誰かが言った、彼の会社はプロジェクト関連の仕事のために職場で個人IDの使用を許可しました。彼は前の会社の仕事IDを使用して、外の世界と通信することができました。彼らはこの柔軟性を望んでいます。
  3. 誰かが紙の鉛筆でさえデータを漏らすことができます。これは完全に間違っているわけではありませんが、リークする努力ですか?
  4. スタートアップは信頼に基づいています。確かにそれらは機密性に過ぎませんか?
1
swap

あなたはこの質問をすることによってあなた自身の方針に違反しています。あなたは自分のスタートアップに関連する問題について外の世界とコミュニケーションを取ります。

あなたがあなた自身の方針に違反することから始めるという事実はあなたが問題を完全に考えていなかったことを示します。

あなたのポリシーは基本的に、スタートアップがオープンソースライブラリを使用していて、そのライブラリに問題がある場合、スタートアップの開発者はオープンソースライブラリのメーリングリストに投稿を書くことを許可されておらず、バグを報告することも許可されていません。オープンソースライブラリのバグトラッカー。

外界とのコミュニケーションを効果的に禁止すると、プログラマーの効率が低下します。完全な秘密が重要なスタートアップもあるかもしれませんが、ほとんどのスタートアップではおそらく価値がありません。

私はかつて大学でインターンシップをしました。私が働いていた学術グループは、ソース管理を使用していませんでした。には、外部データ転送を行わないという包括的なポリシーがありました。私は自分でソース管理をインストールするという賢明なことを行い、データを外部サーバーにバックアップできるかどうか尋ねました。私は基本的に「まあ、大丈夫」を得ました。

基本的に、外部データ転送を行わないという無意味なポリシーを回避することができました。しかし、彼らは外部データ転送を望まない理由を正確に説明していませんでした。その結果、会社の方針に沿ったデータをいつ伝達するかについて、賢明な決定を下すことができませんでした。

すべての外部通信を禁止しようとするのではなく、どの情報が安全に通信でき、どの情報が通信できないかについて開発者と話し合う必要があります。ほとんどのスタートアップでは、従業員がすべての情報を伝達することを禁止すべきではありません。

1
Christian

いくらお金と時間を費やしても、内部ユーザーが悪意のあることをするのを防ぐことは絶対にできません。 NSAに聞いてください。

ITポリシーは、私がこれまであまりにも多く書いてきたものであり、セキュリティのニーズと常識と現実の健全な量とのバランスを取る必要があります。内部ユーザーが悪意のあることをするのを難しくするように努める必要がありますが、愚かさを防ぐためにあなたの時間の大部分を費やしてください。これはほとんどの企業のセキュリティ監査に反映されています。確かに、侵入テストや職務の分離などがたくさんあります。しかし、内部システムの場合、監査は通常、追跡されているすべてのものに焦点を合わせます。誰かが悪意のあることをするのを100%防ぐことはできませんが、そうする場合は、ログファイルのどこかに保存しておくことをお勧めします。

あなたは1つの点でうまくやっています。それは、ITポリシーとセキュリティを初期のスタートアップとして考えていることです。悲しいことに、それは非常にまれです。私は通常、スタートアップ段階から確立された成長中の中小企業に移行している組織と協力したり話したりします。多くの人がこのテーマに合理的な時間を費やしておらず、ほとんどすべての人が計画と実施においてあまりにも怠惰です。

そうは言っても、あなたの質問から、あなたはスペクトルの反対側に傾いているように聞こえますが、それも危険です。その規模のチームから始めて、ポリシーを正当化し、チームの他のメンバーに伝える(販売する)ことができることを確認してください。成長するにつれて、定期的にこれらのポリシーを再検討し、より適切になるにつれて、職務の分離などにより制限を強化してください。

スタートアップで頑張ってください...

1
Zeb

私は使用しています Google Apps for Business ;それはあなたが探しているものかもしれません、それは電子メールポリシーのための幅広い設定を持っています。ほんの数例を挙げると-

ユーザーが電子メールを交換できるドメインを制限します。
コンテンツコンプライアンス
添付ファイルのコンプライアンス
Secure Transport(TLS)コンプライアンス
2要素認証を実施する

反対意見を完全には理解していませんが、詳しく説明していただけますか?

0
Ashley B