跳至主內容

「自攜裝置」(BYOD) 保安指引

發佈日期: 2013年09月26日 6296 觀看次數

banner

 

什麼是「自攜裝置」 BYOD?

 

在過去,有一些企業都會為外出的員工購買流動電子產品,包括手提電腦、電話等等。這些電子產品的保安工作都是由企業的 IT 部門中央化管理,然後派發給員工使用。

 

但近年的流動電子產品發展飛快,智能手機和平板電腦為員工帶來更高的生產力。不論何時何地,員工可以透過自己的流動裝置來處理工作,包括查閱公司的郵件和存取公司的電子文件等。這個新的工作模式,我們稱為 BYOD (Bring Your Own Device) 「自攜裝置」。

 

「自攜裝置」帶來的保安問題

 

「自攜裝置」確實是一項雙贏的政策。員工可自由使用喜歡的裝置,又能將工作融合員工的生活中。公司既可以省錢,又能提升力產力。可是,「自攜裝置」令企業帶來不少保安風險,例如資料洩露、遠端入侵等。因此,我們為大家提供「自攜裝置」保安指引,建立一個安全的「自攜裝置」工作環境。

 

「自攜裝置」保安指引

 

我們會按四個不同的保安層面,包括 (1) 資訊保安政策和守則、(2) 數據通訊及儲存保安、 (3) 使用者及裝置認證和 (4) 應用程式,並從公司和員工的角度列出以下的「自攜裝置」保安指引。

 

(1) 【資訊保安政策和守則】

 

公司
  • 分析及決定自攜裝置可使用公司的某些資料或服務。
  • 制定清晰的自攜裝置使用政策和實務守則,包括列明可接受或禁止的行為。
  • 提供培訓,教育員工,以提升員工對資訊保安的認識

員工

  • 須了解及遵守公司的資訊保安政策和守則
  • 檢查自己的裝置是否合乎公司的保安政策
 
(2) 【數據通訊及儲存保安】
 
公司
  • 要求自攜裝置使用安全的通訊網絡,例如加密WiFi網絡、虛擬私人網絡(VPN)
  • 為自攜裝置連接的公司網絡設立防火牆,及設定相應的保安措施
  • 要求自攜裝置安裝防毒應用程式,確保裝置安全才接駁公司的電腦或網絡
  • 限制透過自攜裝置存取公司的敏感資料
  • 要求員工的自攜裝置配有加密儲存
  • 要求員工在棄置或更換裝置前,要確保裝置內的資料已完全刪除

員工

  • 必須使用安全的通訊網絡,避免連接到公用無線網絡
  • 關閉沒有使用的通訊設定,例如WiFi、藍芽、NFC、GPS等
  • 為自攜裝置的儲存進行加密
  • 棄置或更換裝置前,要確保資料已完全刪除
  • 設定備份或同步自攜裝置內的數據到公司伺服器
  • 妥善保管自己的裝置
 
(3) 【使用者及裝置認證】
 
公司
  • 註冊自攜裝置和配對員工身份,及限制員工使用未註冊的裝置
  • 存取公司資料或服務時須要求登入認證,及制定密碼政策
  • 要求自攜裝置設立螢幕鎖定密碼
  • 提供自攜裝置清除功能,可刪除更換或棄置的裝置上的數據
  • 員工離職時,應要求員工刪除自攜裝置上的數據,及取消員工的登入權限

員工

  • 建立安全的螢幕鎖定密碼
  • 不要在自攜裝置儲存登入資料及密碼
  • 員工在更換或棄置自攜裝置之前,應先把自攜裝置內的資料和記錄完全清除,並主動向公司更新註冊資料
  • 員工離職時,應刪除自攜裝置上的數據及登入設定
 
(4) 【應用程式】
 
公司
  • 制定自攜裝置應用程式的白名單或黑名單,及考慮要求限制雲端服務防止數據外洩
  • 可採用流動裝置管理 (MDM) 軟件 #
  • 為員工的自攜裝置安裝遠端抹除程式。當裝置遺失時,可進行遠端清除數據

員工

  • 安裝防毒及保安應用軟件
  • 定時更新系統及裝置上的應用程式
  • 如果使用雲端服務,員工必須注意應用程式的設定,及遵守公司的資訊保安政策
  • 如果使用智能裝置,員工應從官方商店安裝信任的應用程式
  • 如果使用智能裝置,員工不要進行「越獄」或「獲取根權限」破解系統的安全性
 
#流動裝置管理
 
流動裝置管理 (MDM) 軟件可以有助實施自攜裝置的保安管理。在應用時,可以考慮在以下四項管理項目。
 

裝置管理

  • 只允許使用認證的裝置型號
  • 控制流動裝置的使用地域
  • 為裝置設定配置檔及安全群組政策

應用程式管理

  • 追蹤及控制運行的應用程式

電郵/即時短訊管理

  • 確保通訊安全連接到公司電郵/即時短訊服務
  • 確保裝置上的電郵郵箱/短訊記錄已有加密處理

內容管理

  • 加密敏感的檔案及資料夾