จริยธรรมธุรกิจ / กฎหมายสำหรับผู้ดูแลระบบไอที

22

ในฐานะผู้ดูแลระบบมีสิ่งใดบ้างที่ไม่ชัดเจนที่ไม่ควรทำอย่างมีจริยธรรมหรือถูกกฎหมายแม้จะได้รับคำสั่งให้ทำก็ตาม ฉันสนใจมากขึ้นในการถูกต้องตามกฎหมายสิ่งที่จัดเรียงของการดำเนินการอย่างจริงจังอาจเกิดความเสียหายของผู้ให้บริการในอนาคตของคุณหรือคุณได้รับในปัญหาเกี่ยวกับกฎหมาย

ตัวอย่างเช่นจะไม่เคยลบไฟล์บางประเภทแม้เมื่อบอสร้องขอหรือไม่

โดยเฉพาะอย่างยิ่งฉันสงสัยเกี่ยวกับสหรัฐอเมริกา นอกจากนี้ฉันไม่ได้อยู่ในสถานการณ์เช่นนี้ในขณะนี้อีกคำถามหนึ่งที่ทำให้ฉันคิดว่านี่คือข้อมูลที่ฉันควรรู้

จริง ๆ แล้วฉันไม่ได้พยายามเรียกการอภิปรายเกี่ยวกับจริยธรรมหรือสถานการณ์ที่ซับซ้อนซึ่งเป็นการดีที่สุดที่จะเรียกทนายความ แต่รายการตรวจสอบหรือวรรณกรรมบางส่วนหรือกฎหมายบางอย่างที่ทุกคนไอทีควรรู้

untagged 
ไคล์แบรนด์
แหล่งที่มา
4
นี่ควรเป็นบทความวิกิเนื่องจากไม่มีคำตอบที่ถูกหรือผิด
John Gardeniers
1
อาจจะไม่มีสิทธิหรือผิดคำตอบ แต่จะมีจริยธรรมและผิดจรรยาบรรณตอบผมว่า ... เราไม่ควรชื่อเสียงรางวัลจริยธรรม? ;-)
Chris W. Rea
@ John nonsense - คุณยังต้องรับผิดชอบต่อการกระทำของคุณ
Jim B
+1 สำหรับคำถามที่ยอดเยี่ยม
Chris W. Rea
จิมคุณอ่านบางอย่างที่ฉันไม่ได้เขียน ฉันไม่คิดว่าฉันจะไม่รับผิดชอบต่อการกระทำของเรา ค่อนข้างตรงกันข้าม อ่านคำตอบของฉันด้านล่าง
John Gardeniers

คำตอบ:

4

ฉันคิดว่าถ้าคุณเก็บเอกสาร / อิเล็กทรอนิคส์ของสิ่งที่คุณถามโดยหัวหน้าของคุณมันจะทำให้คุณปลอดภัยจากปัญหาทางกฎหมายใด ๆ

นั่นคือไม่เพียง แต่ลบระเบียนบางส่วนเพราะเจ้านายของคุณบอกให้คุณในขณะที่พูดคุยกับเครื่องทำน้ำเย็นเพราะมันอาจจะลากคุณเข้าสู่ sh * t ที่คุณไม่รู้และเจ้านายของคุณสามารถปฏิเสธได้ว่าเคยทำเช่นนั้น บางสิ่ง. หากเจ้านายของคุณบอกอะไรคุณด้วยวาจาให้กลับไปที่สำนักงานของคุณแล้วส่งอีเมล "ยืนยัน" ตามที่คุณร้องขอ

จริยธรรมเป็นสิ่งที่ยุ่งยากมากสำหรับผู้ดูแลระบบ sys เพราะเราสัมผัสหลายแง่มุมของธุรกิจ แต่ถ้าสิ่งที่มีกลิ่นคาวคุณแล้วให้เขียนหรือพิมพ์ก่อนที่จะทำ

เกลนวาย
แหล่งที่มา
4
แน่นอน - ถ้าคุณถูกขอให้ทำอะไรบางอย่าง "ปิดการบันทึก" นั่นหมายความว่ามันผิดจรรยาบรรณ
pjc50
3

ในฐานะชาวอเมริกันหากคุณรับผิดชอบระบบ CMS ที่เก็บข้อมูลทางการเงินคุณควรทำความคุ้นเคยกับกฎหมาย Sarbanes-Oxley Actซึ่งให้ภาระหน้าที่แก่ธุรกิจในการเก็บบันทึกทางการเงินบางประเภทในช่วงระยะเวลาหนึ่ง

(ข้อผูกมัด: IANAL)

Nexus
แหล่งที่มา
ฉันได้ดูที่ก่อนหน้านี้ แต่ไม่ได้รับอะไรจริง ๆ จากมันสำหรับผู้ดูแลระบบไอที (อาจเป็น CIO) ...
Kyle Brandt
SOX จะทำก็ต่อเมื่อคุณเป็น บริษัท มหาชน (เช่น บริษัท ของคุณทำ IPO) หรือถ้า บริษัท ตั้งใจที่จะเป็นสาธารณะ
feniix
2

ฉันไม่มีทนายดังนั้นโปรดนำเกลือต่อไปนี้ไปด้วย

เท่าที่ฉันรู้ปัญหาเดียวที่มีความถูกต้องตามกฎหมายคือถ้าคุณลบหลักฐานของกิจกรรมที่ผิดกฎหมาย นั่นอาจทำให้คุณเดือดร้อนอย่างแน่นอน

ในทางกลับกันถ้าคุณลบบันทึกที่ไม่มีหลักฐานของสิ่งผิดกฎหมาย แต่ยังคงถูกหมายศาลหลังจากความจริงมันไม่น่าเป็นไปได้ที่คุณจะประสบปัญหาดังกล่าว

EasyTarget
แหล่งที่มา
3
คุณจะรู้ได้อย่างไรว่าบันทึกหมายศาลที่คุณลบไม่ได้มีหลักฐานของกิจกรรมที่ผิดกฎหมาย อย่างไรก็ตามมีกฎระเบียบมากมายในอุตสาหกรรมและรัฐบาลจำนวนมากที่กำหนดว่าระเบียนใดที่สามารถและไม่สามารถทำลายได้และเมื่อใด มันค่อนข้างซับซ้อน
Boden
1
นี่คือสถานการณ์ที่สนุก คุณทำงานให้กับสำนักพิมพ์ข่าวและในกรณีข้อมูลล่าสุดเกี่ยวกับการสืบสวนอย่างต่อเนื่องถูกรั่วไหลออกมาจากตำรวจท้องที่ ข้อมูลทำให้ผู้มีอำนาจในท้องถิ่นตกอยู่ในสภาพแสงไม่ดีและพวกเขาก็หมดหวังที่จะหาแหล่งที่มาของการรั่วไหล ผู้บริหารระดับสูงถือว่าพวกเขาจะสามารถหาผู้พิพากษาที่จะลงนามในหมายค้น เนื่องจากระบบของคุณมีข้อมูลที่สามารถระบุแหล่งที่มาจำนวนเท่าใดคุณจะถูกขอให้ลบข้อมูลและกำจัดเทปที่เกี่ยวข้องทั้งหมดออก feds จะไม่ชอบ แต่คุณมีสิทธิ์ตามรัฐธรรมนูญในการปกป้องแหล่งที่มาของคุณ คุณจะทำอะไร? :)
Roy
2
Roy: โทรหาทนายความเมื่อมันซับซ้อน :-)
Kyle Brandt
2
หากพวกเขาไม่มีเหตุผลที่จะเชื่อว่ามีบางสิ่งผิดกฎหมายเกิดขึ้นพวกเขาไม่สามารถได้รับหมายจับเพื่อรับแหล่งที่มา นี่คือเว็บไซต์ที่เจาะลึกประเด็นที่เน้นไปที่นักข่าว rcfp.org/handbook/c04p08.html
Shial
นั่นเป็นเรื่องจริงมากและ +1 สำหรับการอ้างอิง อย่างไรก็ตามการรั่วไหลของข้อมูลเกี่ยวกับการสอบสวนอย่างต่อเนื่องเป็นอาชญากรรมส่วนใหญ่จึงมีคำถามเล็กน้อยว่ามีสิ่งผิดกฎหมายเกิดขึ้น รัฐและประเทศส่วนใหญ่มีข้อ จำกัด ในการค้นหาห้องข่าว แต่การค้นหายังคงเกิดขึ้น การเข้ารหัสที่รัดกุมเป็นวิธีการทั่วไปในการปกป้องแหล่งที่มาและผู้แจ้งเบาะแสต่อสถานการณ์ดังกล่าว แต่มีเหตุผลว่าทำไมองค์กรข่าวบางแห่งจึงเก็บอุปกรณ์ที่มีราคาแพง
รอย
2

นี่เป็นคำถามที่น่าสนใจ เราต้องทำอย่างไรเมื่อนายจ้างขอให้ทำสิ่งที่ผิดศีลธรรมและผิดกฎหมายอย่างชัดเจน

อาจเป็นการเข้าถึงไฟล์หรือข้อมูลส่วนบุคคลการเผยแพร่เนื้อหาในการห้ามการลบข้อมูลที่ควรเก็บไว้หรือการเก็บข้อมูลที่ควรลบ

ฉันคิดว่าคำตอบของคำถามนี้ต้องเป็นเชิงอัตวิสัย พนักงานมีการป้องกันและหนี้สินที่แตกต่างกันภายใต้ระบบกฎหมายที่แตกต่างกัน ตำแหน่งและสถานะของคุณภายใน บริษัท อาจกำหนดตัวเลือกที่มีให้คุณ จากนั้นมีปัจจัยส่วนบุคคล ไกลแค่ไหนที่คุณเต็มใจที่จะไปทำงานของคุณ?

โดยส่วนตัวแล้วฉันปฏิเสธที่จะช่วยแจกจ่ายจดหมายที่ไม่พึงประสงค์และป้องกันการเผยแพร่ผลการลงคะแนนอย่างผิดกฎหมาย ทั้งสองครั้งที่ฉันสามารถหาฝ่ายสนับสนุนในฝ่ายกฎหมายและผู้บริหารระดับสูงตามลำดับ แต่มันก็เป็นเรื่องดีที่จะเดิน - ในทั้งสองกรณีการตัดสินผิดเล็กน้อยอาจทำให้ฉันเสียงานแม้ภายใต้กฎหมายป้องกันของนอร์เวย์

บรรทัดล่างคือมันขึ้นอยู่กับแต่ละบุคคลที่จะต้องพิจารณาสถานการณ์ชั่งน้ำหนักความรับผิดชอบและความภักดีประเมินความเสี่ยงตัดสินใจและในที่สุดก็อยู่กับผลที่ตามมา

รอย
แหล่งที่มา
2

จริยธรรมเป็นแนวคิดที่ลื่นไหลและแตกต่างกันอย่างมากระหว่างวัฒนธรรมและสถานที่ นูฟพูดอย่างนั้น

คุณต้องเข้าใจก่อนว่ากฎหมายท้องถิ่นบังคับใช้กับสถานการณ์อย่างไรเพราะบางครั้งมันหยุดตรงนั้น ฉันไม่เชื่อว่าพวกเราคนใดควรปฏิบัติตามคำแนะนำที่เรารู้ว่าเป็นการละเมิดกฎหมายเว้นแต่ว่าเราพร้อมที่จะยอมรับผลที่เกิดขึ้นจากการทำเช่นนั้น ขั้นต่อไปคือการใช้ความเชื่อส่วนตัวของคุณ (จริยธรรมศีลธรรมศาสนาอะไรก็ตาม) บางครั้งจะมีความขัดแย้งและคุณต้องตัดสินใจด้วยตัวเอง

ฉันเองปฏิเสธที่จะทำสิ่งต่าง ๆ หลายครั้งเพราะฉันไม่เชื่อว่าสิ่งที่ฉันถูกขอให้ทำคือ "ถูกต้อง" ไม่ว่าจะถูกกฎหมายหรือศีลธรรม บางครั้งฉันก็ชนะการโต้เถียงและบางครั้งคนอื่นก็ทำตามคำแนะนำเดียวกันเพราะพวกเขารู้สึกไม่ดีเกี่ยวกับเรื่องนี้ (หรือกลัวว่าจะตกงาน) ในขณะที่ฉันไม่เคยถูกไล่ออกจากสถานการณ์เช่นนี้เป็นการส่วนตัวฉันก็รู้จักคนอื่นที่เคยเป็น ถ้าฉันรู้สึกมั่นมากพอฉันจะเสี่ยงนั้นทุกครั้ง

John Gardeniers
แหล่งที่มา
อืม ... ฉันเห็นด้วยกับสิ่งนั้น ฉันไม่ต้องกังวลมากกับการสูญเสียงานของฉัน แต่แน่นอนฉันไม่มีลูกหรือจำนอง :-) แต่จริงๆแล้วสิ่งที่ฉันต้องการรายการสิ่งที่คิดเสมอสองครั้ง สิ่งที่ต้องคำนึงถึงในอุตสาหกรรมบางประเภทก็เป็นสิ่งที่ดีเช่นกัน แต่ฉันคิดว่าอุตสาหกรรมเหล่านั้นมักจะมีทิศทางสำหรับสิ่งนั้น
Kyle Brandt
+1 สำหรับ "จริยธรรม [... ] แตกต่างกันอย่างมากระหว่างวัฒนธรรมและสถานที่"
CesarGon
2

ฉันได้เขียนบทความที่ชื่อว่า "ผู้จัดการผู้จัดการ" ซึ่งครอบคลุมหัวข้อนี้เมื่อ 6 ปีก่อนหรือมากกว่านั้น แต่สิ่งที่จะเกิดขึ้นคือ ** ครอบคลุม A ****

หลักการผู้ดูแลระบบทั้งหมดควรมีชีวิตอยู่โดย CYAเสมอ ไม่สำคัญว่าใครจะเป็นผู้รับผิดชอบให้ทำเพื่อ "ในกรณี" เสมอ นั่นคือเหตุผลที่นโยบายคอมพิวเตอร์ควรถูกนำไปใช้เสมอมันครอบคลุมคุณจากความรับผิดหากพวกเขาลงนามหรืออย่างน้อยก็ส่งมันออกไปด้วยความตั้งใจนั้น เช่นเดียวกันกับพรอมต์การเข้าสู่ระบบนโยบายความปลอดภัยท้องถิ่นใช้มันด้วยเหตุผลนั้นเช่นกัน ทันทีที่พวกเขาลงชื่อเข้าใช้คอมพิวเตอร์ให้บอกว่าพวกเขาเห็นด้วยกับข้อกำหนดของนโยบาย

ฉันมีประสบการณ์ส่วนตัวกับสถานการณ์ประเภทนี้และคาดเดาสิ่งที่เกิดขึ้นกับฉันเมื่อ FBI จับกุม CFO ของเราด้วยข้อหาหลายครั้ง ไม่มีอะไรและเพราะฉัน CYA และหลักฐานทั้งหมดได้รับการบันทึกในกรณีที่มีบางสิ่งไม่ดีเกิดขึ้น

AdminAlive
แหล่งที่มา
1

ตรวจสอบให้แน่ใจว่าคุณมีนโยบายที่สอดคล้องกับข้อกำหนดของอุตสาหกรรม (ขึ้นอยู่กับสิ่งที่ บริษัท ทำตามข้อกำหนดเหล่านี้จะแตกต่างกัน)

หากฉันถูกขอให้แตะอีเมลผู้ใช้รายอื่นหรือค้นพบบางอย่างฉันจะได้รับบางอย่างเป็นลายลักษณ์อักษรจากแผนกทรัพยากรบุคคลของเราพร้อมด้วยลายเซ็นของพวกเขา ฉันก็เลยบอก CYA ให้พวกเขาฟัง ผู้คนยินดีที่จะยอมรับเมื่อคุณบอกพวกเขาว่าคุณไม่ต้องการละเมิดความเป็นส่วนตัวของข้อมูลใด ๆ และยังช่วยให้คุณไว้วางใจได้ว่าคุณเป็นคนที่เกี่ยวข้อง

การประกันภัยที่ดีที่สุดคือการสำรองข้อมูลเต็มรูปแบบในที่เก็บข้อมูลนอกสถานที่ โดยเฉพาะอย่างยิ่งถ้าคุณมีนโยบายการรักษาความปลอดภัยหลายปี (ที่องค์กรของฉันเรามีตู้เซฟที่ฟาร์โก, เทปทุกเดือนไปที่นั่นและอยู่ที่นั่นอย่างไม่สิ้นสุด) หากคุณลบบางสิ่งที่ผิดกฎหมาย คุณสามารถชี้ผู้ตรวจสอบไปที่การสำรองข้อมูล หากใครบางคนต้องการลบข้อมูลสำรองก็มีบางอย่างที่ผิดกฎหมายเกิดขึ้น

Shial
แหล่งที่มา
1
อาจมีเหตุผลที่ดีอย่างสมบูรณ์ที่จะลบข้อมูลสำรองตามกฎหมายที่เกี่ยวข้อง บางประเทศต้องการลบข้อมูลที่ละเอียดอ่อนหรือข้อมูลส่วนบุคคลตามคำขอของลูกค้าหรือบุคคล อีกประการหนึ่งคือบันทึกการสื่อสารมักจะอยู่ภายใต้ข้อ จำกัด บางประการ การเก็บรักษาสูงสุดในสหภาพยุโรปคือ 12 เดือนในเวลาที่จะต้องลบบันทึกรวมถึงการสำรองข้อมูลใด ๆ
รอย
ไม่จำเป็นว่าในหลายกรณีการกำจัดสำเนาสำรองเป็นสัญญาณของกิจกรรมที่ผิดกฎหมาย (โดยเฉพาะ บริษัท การเงิน) มี oblligations ทางกฎหมายที่จะไม่ให้การสำรองข้อมูลสำหรับการขยายระยะเวลาสำหรับข้อมูลเช่นอีเมลและการเงินบันทึกเป็น
จิม B
1
ใช่ฉันคิดว่ามีนโยบายตามความต้องการของอุตสาหกรรม
Shial
1

IANAL แรก แต่ฉันมีส่วนเกี่ยวข้องในประเด็นด้านกฎหมายไอที ความเข้าใจของฉันคือการกระทำของไอทีเกิดขึ้นกับสิ่งที่สามารถคาดหวังได้อย่างสมเหตุสมผลสำหรับคนไอทีที่จะรู้ EG หัวหน้าบอกให้คุณลบไฟล์ที่ติดตั้ง คุณรู้ว่าพวกเขากำลังสอบสวน คุณทำเช่นนั้นและคุณมีแนวโน้มที่จะถูกเรียกเก็บเงินกับสิ่งกีดขวาง ในสถานการณ์เดียวกันและคุณไม่มีความคิดใด ๆ ว่ามีการสอบสวนใด ๆ (และรัฐบาลจะทำการตัดสินใจนั้น) และมีเหตุผลที่คุณจะถูกขอให้ลบไฟล์เหล่านั้นคุณก็จะโอเค

ตามที่ระบุไว้ก่อนหน้านี้มีกฎระเบียบอื่น ๆ ที่อาจนำไปใช้ ในข้อบังคับเทคโนโลยีชีวภาพ 21 cfr ตอนที่ 11 จะมีผลบังคับใช้

ในฐานะที่เป็นพนักงานไอทีคุณถูกมองว่ามีความเข้าใจในสิ่งที่สมเหตุสมผลและเป็นธรรมเนียมปฏิบัติ (ฉันเชื่อว่าเป็นสิ่งที่ถูกกฎหมาย) อย่างไรก็ตามมันไม่ใช่เรื่องผิดกฎหมายสำหรับพวกเขาที่จะไล่คุณออกไปเพราะไม่ได้ทำกิจกรรมตามที่ร้องขอ ความสะดวกสบายเล็ก ๆ น้อย ๆ เพราะคุณน่าจะเป็นคนที่ถูกทำเครื่องหมายในรัฐเล็ก ๆ

จิมข
แหล่งที่มา
1

เป็นคำถามที่ดีมาก ฉันไม่สามารถอ้างอิงอะไรกับสหรัฐอเมริกาได้จริง ๆ เพราะฉันไม่ได้ทำงานที่นั่น แต่จริยธรรม / กฎหมายถูกต้องเป็นหนึ่งในสิ่งเหล่านั้นที่มักจะปลูกฝังในการทำงานของทุกคนที่มีสิทธิ์ของระบบที่ยกระดับ แต่ดูเหมือนจะไม่ อยู่ใกล้กับคำแนะนำที่เป็นทางการมากพอ โดยส่วนตัวแล้วมันทำให้ฉันหวังว่าจะมีองค์กรอุตสาหกรรมที่แข็งแกร่งที่เป็นตัวแทนของเราในลักษณะเดียวกับที่แพทย์และนักกฎหมายทำ ฉันรู้ (โดยเฉพาะในสหราชอาณาจักร) British Computer Society มีการเผยแพร่จรรยาบรรณสำหรับสมาชิกซึ่งทำให้ฉันเข้าร่วมเพื่อรู้สึกว่ารหัสนั้นเป็นการป้องกันที่เหมาะสมสำหรับการเปลี่ยนคำร้องที่ผิดจรรยาบรรณฉันคาดเดาว่า ACM อาจจะเป็น ที่คล้ายกันจากมุมมองของสหรัฐ?

โดยส่วนตัวแล้วฉันมักจะทำงานกับกฎเดียวกันกับที่คนอื่นพูดถึง CYA เอกสารการตรวจสอบและบันทึกทุกอย่างเท่าที่จะเป็นไปได้และถ้ามันทำให้คุณรู้สึกไม่สบายใจที่จะทำตามคำขอฉันเชื่อมั่นในเข็มทิศทางศีลธรรมของฉันและพยายามทำให้แน่ใจว่าเอกสารนั้นได้รับอนุญาตให้สูงที่สุดเท่าที่จะทำได้

Mike1980
แหล่งที่มา
0

ดังที่ได้กล่าวไว้ก่อนหน้านี้เห็นได้ชัดว่ามีสายดีที่จะเดินในหลาย ๆ สถานการณ์ที่นำเสนอประเด็นทางจริยธรรม พวกเราส่วนใหญ่รู้สึกว่ามีภาระผูกพันตามมาตรฐานส่วนบุคคลและวิชาชีพในการปฏิบัติตนอย่างมีจริยธรรม พนักงานของรัฐอาจถูกลงโทษทางอาญาในหลายกรณีสำหรับการปฏิบัติที่ถือว่าเป็นเรื่องปกติในภาคเอกชน (ของขวัญจากพนักงานขาย ฯลฯ )

วิธีที่ดีที่สุดในการจัดการกับสถานการณ์ประเภทนี้คือการป้องกันไม่ให้เกิดขึ้น

สำหรับปัญหาด้านเทคนิค: จำกัด สิทธิ์ขั้นตอนการตั้งค่าการควบคุมภายในและหลักฐานการตรวจสอบเพื่อให้ผู้คนสามารถปกปิดพฤติกรรมได้ยาก หากทุกคนรู้ว่ามีหลักฐานการตรวจสอบอยู่นั่นจะเป็นอุปสรรค พุชสำหรับนโยบายวัฏจักรข้อมูล ... (เช่นการเลือกรอบระยะเวลา) ในสภาพแวดล้อมที่มีขนาดใหญ่กว่าคุณใช้ส่วนให้บริการ / ส่วนให้ความช่วยเหลือในการวางไฟร์วอลล์ระหว่างผู้ใช้และไอทีหรือผู้ใช้และการบัญชี

สำหรับปัญหาของมนุษย์: คุณต้องตระหนักถึงกฎหมาย / ข้อบังคับที่คุณต้องปฏิบัติ ถ้าอย่างนั้นคุณต้องมีกระดูกสันหลัง ปฏิเสธ". การทำเช่นนั้นอาจหมายความว่าคุณต้องเผชิญกับการโต้ตอบจากฝ่ายบริหารของคุณ

duffbeer703
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.