去年底,大量流傳的「璩美鳳偷拍影片」癱瘓了各家企業的網路,聯電董事長曹興誠給員工的e-mail外流,導致數名員工被迫離職,不但佔據了各大新聞版面,也引起了一個值得注意的問題:e-mail也可能是「不效率」的來源,甚至是公司機密外洩的管道。
電子郵件的問世,確實是工作者的一大福音,無論是彼此間的溝通或企業運作的效率,都因而提升了不少。不過,令人傷透腦筋的事卻也接踵而至,舉凡電子郵件大量寄發造成伺服器性能降低、浪費資源於私人用途,甚或因而衍生的病毒防堵、網路防駭與企業資料防護等議題,不只是資訊部門每天的夢魘,也成為公司由下至上必須共同面對的問題。
在e-mail的使用上,企業究竟應如何兼顧自身的安全與利益,以及員工的隱私與尊嚴呢?一味的攔截、監控與處罰,或許不是最得人心的作法;企業其實更應該防患於未然,訂定明確的e-mail政策,做為可依據的行動準則。專門開發電子郵件防護產品的TFS Technology公司日前便舉出一套可供參考的e-mail政策建構流程,在保有電子郵件諸多優點的前提下,成功面對它所帶來的負面問題。
Step 1. e-mail使用總體檢
首先要針對目前公司e-mail的使用狀況收集資訊。一方面調閱郵件使用紀錄檔,另一方面直接詢問使用者,以期獲得各種主客觀情報。要注意的是,即使公司高層人士對e-mail的使用未必有透徹的了解,也必須邀請他們的參與,因為他們對文化的創造與企業的經營責無旁貸,所以對同仁在溝通時應有的禮節,或職場中應有的理想表現,都應該趁此機會多做觀察。
在紀錄檔方面,第一,花幾個星期衡量每天流量最大與最小的不同時段,並求取團隊或個人的個別使用量。一般而言,郵件的大部份流量會來自於特定的少數幾個人。第二,察看e-mail與附檔的寄件、收件人,分析出不屬於公務之用的部份。根據TFS公司的經驗,部份企業的郵件流量中可能有高達75%被員工用於處理私務。
在直接詢問使用者方面,可以試著問他們「每天大約寄收多少信件」、「寄收的郵件通常多大,有沒有附檔」、「通常傳些什麼樣的內容」等問題,一方面與紀錄檔做一比對,另一方面也找尋其中有無涉嫌外洩公司機密的部份。
除了以上兩大層面外,若有必要,也可以試著向企業文化相近或營業項目近似的其他公司取經,參考一下別人的郵件政策。
Step 2. 訂一個大家都認同的標準
e-mail政策的最終目的,還是希望能管好員工的使用情形,因此規定是否合理、是否容易理解,又是否具體可行,便成為重要的考量。以下是一些應優先規範的參考指標:
◆ e-mail是否可用做私人用途?可允許的私務使用限度為何?
◆ 郵件是否准許使用附檔,以及容許附寄的檔案大小與類型(例如是否可附寄影片檔或執行檔);
◆ 伺服器郵件的保管原則,包括如何備份、保留時間的長短等等;
◆ 業務或機密資訊應如何分級存放,如何加密;密碼如何設定,又是否適合在必要時以e-mail寄出;某些員工的e-mail地址是否要做某種程度的保密,以免競爭者、離職員工或政府部門人員知悉等等。
本階段中應成立包括高階主管、人事、法務、資訊等方面的跨部門小組,共同制定政策與原則。一方面可確保經營階層的支持,另一方面也可做為未來全面實施時的種子團隊。
Step 3. 白紙黑字說清楚講明白
根據上一階段所擬定的指標,訂定更加具體的書面原則,重點仍在合理、易理解、具體可行。比如說,e-mail的提供原本就是為了商業往來之用(或許也可准許做某種程度的私人運用),員工有義務運用e-mail讓企業營運更有效率,任何不當的使用方式,像是寄收任何騷擾性的、令人反感的、辱罵性的、褻瀆性的或任何非法資訊的情形,都是不該存在的。使用公司電腦所寫、所儲存、所寄收的任何文件或資訊,也不該太過期待隱私權的存在。
除此之外,業務上或機密性的資訊與文件,切記別誤把不該知悉的人士列入收件名單中,可以的話最好先加密再寄出;不明來源的附檔絕對不要任意開啟,以免誤中病毒,殃及其他同仁;加密或病毒防護軟體也應採用公司的一致版本,不要自行安裝外來版本;不屬公司版權的著作物,也不應利用e-mail流通。
以上種種原則,都應該在告知員工,徵得員工同意的狀況下訂定。對於濫用e-mail或違反既定政策的狀況,也應該明確的把懲治原則事先公開,以免屆時讓員工有據以抗辯的理由,造成爭議與互信感的流失。完成書面草案後,應交由郵件政策制定小組、e-mail使用經驗豐富的代表族群,以及經營階層代表等3方面審核其適切性,才能付諸實行。
**Step 4. 三令加五申,教育再教育
**公司除了應告知政策的開始推行外,也應宣導推行的理由,取得認同。在教育方面,則可分為「現有員工」、「新進員工」的教育,以及具提醒功能的「反覆再教育」。當面教育再好不過,因為可以隨時提問,有所互動;高階管理者是最難訓練的一群,因為他們多半極度忙碌,不過他們也是最常接觸機密資訊的一群,所以要列為重點。
報告中指出,新觀念必須經過5至7次的告知,人們才能真正吸收,因此務必要不時提醒員工e-mail使用不當對公司與個人造成的傷害,才能奏效。最後,最好能請員工簽具同意書,一方面讓員工對自己的行為負責,一方面一旦引發訴訟,也有排除爭議之效。
Step 5. 網路「糾察隊」定期追蹤
我們可以利用特定時間下的郵件流量或郵件的平均附檔大小這類較為客觀的數字,作為政策實施前後的對照依據。公司或許必須購買一些輔助用的工具軟體,以協助控管這些指標。不過,也別忘了利用幾個信得過的員工預做測試,才能選出最適於公司郵件政策的輔助工具。每隔半年,最好也重新檢討政策是否有修改的必要,與時俱進。必要時,亦可另找IT人員成立監督小組,讓政策可以持續推行下去。
企業e-mail政策的頒布只是起點,並不保證就能貫徹。如何不讓「璩美鳳影片」轉寄與聯電的類似事件再次發生,造成企業資源的浪費與各種困擾,則有賴為人部屬與在上位者的互信、互諒與智慧。(本文改寫自〈Five Keys to Protecting Your Organization's E-Mail〉,作者Erik Safsten為TFS Technology公司總裁)