IT管​​理者向けのビジネス倫理/合法性

システム管理者として、それを行うように指示された場合でも、倫理的または合法的に行われるべきではない明白でないことがありますか？私は法的にもっと興味があります。どんな種類の行動があなたの将来の運送業者に深刻な損害を与えるか、あなたを法律に困らせる可能性があります。

たとえば、上司が要求した場合でも、特定の種類のファイルを削除しても大丈夫ですか？

特に、私はアメリカについて疑問に思っています。また、私は現時点ではこのような状況ではありません。別の質問で、これが知っておくべき情報だと考えました。

本当に、私は倫理の議論、または弁護士に電話することが最善である複雑なシナリオの引き金を引こうとはしていません。しかし、チェックリスト、またはいくつかの文献、またはすべてのIT担当者が知っておくべきいくつかの法律。

倫理的に言えば、http：//lopsa.org/CodeOfEthicsをフォローするよりもはるかに悪いことがあります

上司からあなたに求められたものの紙/電子的な証跡を保管しておけば、法的問題からあなたを守ることができると思います

つまり、ウォータークーラーでチャットをしているときに上司から言われたので、一部のレコードを削除しないでください。事。上司が口頭で何かを言ったら、あなたのオフィスに戻り、あなたの要求を「確認」するメールを彼/彼女に送ってください。

倫理は、システム管理者にとって非常に難しいことです。なぜなら、私たちはビジネスの多くの側面に触れているからです。

アメリカ人として、財務データを保持するCMSシステムに責任がある場合、特定の種類の財務記録を一定期間保持する義務を企業に課すSarbanes-Oxley Actに精通する必要があります。

（必須：IANAL）

私は弁護士ではありませんので、塩の入った以下のものをお持ちください。

私の知る限り、合法性に関する唯一の問題は、違法行為の証拠を削除する場合です。それは確かにいくつかのトラブルに巻き込まれる可能性があります。

一方、違法な証拠を含んでいないレコードを削除したにもかかわらず、事実の後に召喚状が提出された場合、そのためにトラブルに陥ることはほとんどありません。

これは興味深い質問です。雇用主から明らかに不道徳であり、違法である可能性のあることを行うよう求められた場合、私たちは何をしますか。

個人のファイルやデータへのアクセス、禁輸措置での資料の公開、保持する必要のあるデータの削除、または削除する必要のあるデータの保持などが考えられます。

この質問への答えはかなり主観的でなければならないと思います。従業員は、さまざまな法制度の下でさまざまな保護と責任を負っています。会社内でのあなたの地位と地位は、あなたが利用できるオプションを決定するかもしれません。次に、個人的な要因があります。仕事を続けるためにどこまで進んでいきますか？

個人的には、未承諾メールの配信を拒否し、投票結果の違法な公開を積極的に防止しました。どちらの場合も、法務部と上級管理職のサポートをそれぞれ見つけることができましたが、歩くのはいいことです-どちらの場合も、ノルウェーの保護法の下でさえ、小さな判断が私の仕事を犠牲にするかもしれません。

要点は、状況を考慮し、責任と忠誠心を評価し、リスクを評価し、決定を下し、最終的に結果を受け入れるかどうかは個人次第です。

倫理は素晴らしく流動的な概念であり、文化や場所によって大きく異なります。「ヌフはそれについて言った。

現地の法律がその状況にどのように適用されるかを最初に理解する必要があります。私たちも、それから生じる結果を受け入れる準備ができていない限り、法律に違反することがわかっている指示に従うべきだとは思わない。次のステップは、個人的な信念（倫理、道徳、宗教、その他）を適用することです。競合が発生する場合がありますので、自分で決定する必要があります。

私は、私がするように頼まれたことは、合法的にも道徳的にも「正しい」と信じていなかったので、私は何度も物事をすることを拒否しました。時々私は議論に勝ちましたが、他の人は同じ指示に従いました。そのような状況で私が一度も解雇されたことはありませんが、他の人を知っています。十分に強く感じたら、そのリスクを毎回実行します。

私は実際に、6年ほど前にこのトピックをカバーする「マネージャーの管理」という記事を書きました。しかし、それはすべて**あなたのAをカバー****です

すべての管理者は 常にCYAで生活する必要があるという原則。誰が担当するかは問題ではありません。常に「万が一のため」にそれを実行してください。そのため、コンピューターポリシーを常に実装する必要があります。コンピューターポリシーに署名するか、少なくともその意図で配布する場合は、責任からお客様を保護します。同じことがローカルセキュリティポリシーのログインプロンプトにも当てはまりますが、その理由からも使用してください。ユーザーがコンピューターにログインしたらすぐに、ポリシーの条件に同意することを伝えます。

私はこのような状況で個人的な経験がありますが、FBIがCFOを複数の罪で逮捕したときに私に何が起こったのでしょうか？何もありません。また、何か悪いことが起こった場合に備えてCYAとすべての証拠が保存されました。

業界の要件に基づいてポリシーが設定されていることを確認します（会社が何を行うかに応じて、これらの要件は異なります）

他のユーザーのメールに触れるか、何らかの発見をするように言われた場合、人事部から署名を書いたものを受け取ります。私は彼らに私のためにCYAであると断言します。情報のプライバシーを侵害したくないとあなたが言ったとき、人々は喜んでそれを受け入れます。そして、それはあなたがその懸念を持っていることを信頼するのに役立ちます。

ただし、最良の保険は、オフサイトの保管場所での完全バックアップです。特に、どこか安全な場所を数年間維持するという実行ポリシーがある場合（私の組織では、wells fargoにセーフティボックスがあり、テープは毎月そこに行き、いつまでもそこにとどまります）調査員にバックアップを示すことができます。誰かがバックアップを削除したい場合は、間違いなく何か違法なことが起こっています。

最初はIANALですが、ITの合法性の問題に関与しています。私の理解では、ITの行動は、IT担当者が知っておくことが合理的に期待できることになるということです。たとえば、上司がアカウンティングファイルを削除するように指示します。あなたは彼らが調査中であることを知っています。あなたはそれを行い、あなたは閉塞で起訴される可能性があります。一方、同じ状況で、調査が行われた（そして政府がその決定を下す）ことを知らなかったので、それらのファイルを削除するように求められたのは理にかなっています。

前述のように、適用される可能性のある他の規制があります。biotech 21 cfrパート11規制が適用されます

ITスタッフとして、合理的で慣習的なものについてある程度理解しているとみなされます（それが法律上のものだと思います）。ただし、要求された活動を行わなかったことであなたを解雇することは違法ではありません。連邦内部告発者の法律が適用されます。あなたは小さな州の多くでマークされた男になる可能性が高いので、小さな快適さ。

いい質問ですね。私はそこで働いていないので、私は本当に米国に言及することはできませんが、倫理/合法性は、システム特権の高い人の仕事でしばしば現れるものの1つですが、そうではないようです十分に正式なガイダンスに近い場所にあること。個人的には、医師や弁護士と同じように私たちを代表する強力な業界団体があればいいのにと思います。（英国固有の）British Computer Societyがメンバー向けの行動規範を公​​開していることを知っているので、非倫理的な要求を却下するためのコードが合理的な関連防御であるという違反を感じさせられました。米国の観点からは似ていますか？

個人的に、私は他の人が言及したのと同じルールに取り組む傾向があります。CYA。可能な限りすべてを文書化し、監査し、ログに記録します。要求を実行することに不快感を覚える場合、私は道徳的なコンパスを信頼し、可能な限り高い承認されたものとして文書化されるようにします。

チェックアウト倫理のSAGEシステム管理者のコードを。

前に述べたように、倫理的ジレンマを提示する多くの状況で歩くことには明らかに良い線があります。私たちのほとんどは、個人的および専門的な基準により、倫理的に行動する義務を負っています。公務員は多くの場合、民間部門で通常と見なされる慣行について刑事制裁の対象となります。（セールスフォークなどからの贈り物）

このような状況に対処する最良の方法は、それらの状況を防ぐことです。

技術的な問題：特権、セットアップ手順、内部統制、監査証跡を制限して、人々が行動を隠すことを困難にします。監査証跡が存在することを全員が知っている場合、それが抑止力となります。データライフサイクルポリシーのプッシュ...（定期的な選択など）大規模な環境では、サービスデスク/ヘルプデスクを使用して、ユーザーとITまたはユーザーと会計の間にファイアウォールを配置します。

人間の問題の場合：対象となる法律/規制に注意する必要があります。次に、バックボーンが必要です。ダメって言って"。そうすることは、経営陣から報復を受けることを意味する場合があります。