自带设备办公 (BYOD) 指的是员工可以使用自己的个人移动设备访问公司网络/系统的政策。然而,部分员工倾向于使用个人移动设备,这可能会给公司带来声誉损害和法律诉讼的风险。.
公司需要制定关于在工作中使用个人设备的正式政策。.
自带设备 (BYOD) 指的是这种类型的政策——它规定了员工可以使用哪些移动设备(如果有的话)来访问公司网络/系统。.
自带设备办公(BYOD)政策应该涵盖哪些内容?
企业需要制定政策,明确规定哪些设备可以连接到其网络,哪些设备不可以。此外,还需要制定相应的程序,确保未经批准的设备绝不会“意外”连接到网络。最后,必须建立适当的机制,以维护存储在移动设备上的个人数据的安全。.
现有设备和访问权限审核
第一步是对当前情况进行审计。哪些设备在使用网络,以及它们的用途是什么?
法律是怎么规定的?
作为雇主(即数据控制者),根据 GDPR 有义务采取适当的技术和组织措施,防止未经授权或非法处理个人数据,以及防止个人数据意外丢失、销毁或损坏。.
机密的公司和客户数据极有可能泄露到个人设备上——而个人设备通常安全性不高,容易丢失、错放或被盗。.
声誉损害的风险
想象一下这样的场景:一名员工收到一封电子邮件,附件中包含所有客户的邮件列表及其联系方式。他打开附件并将其保存到移动设备上。如果该设备随后丢失,存储在其中的数据可能会泄露到公共领域,或被滥用,甚至被出售给竞争对手。更糟糕的是,信息专员办公室以及邮件列表中的每位客户都需要被告知数据丢失的情况。这不仅会造成严重的声誉损害,还可能导致巨额罚款。.
哪些设备可以接受?
完成审核后,第二阶段是决定 BYOD 策略中包含或排除哪些内容,这通常是在设备级别完成的。.
- 一级——零容忍
- 这可能是最快捷、最简便的解决方案,但未必是最务实或最实际的。.
- 它还可能对某些员工完成某些任务起到阻碍作用,而不是帮助作用,这会导致员工对工作不满意,士气低落。.
- 因此,彻底禁止可能会适得其反。.
- 如果没有强大的网络安全控制措施,控制和执行零容忍政策也会相当困难(因此成本也很高)。.
- 二级 – 已批准的设备
- 这允许指定设备列表,或者指定具有特定操作系统的设备(例如,仅限 iOS 设备或仅限 Android 和 Windows 设备)。.
- 采用经批准的设备方案可以简化访问权限的管理和控制,但如果员工的设备不在授权范围内,则可能会使他们处于不利地位。此外,由于新型号和新设备层出不穷,管理起来也可能比较困难。.
- 三级 – 任何设备
- 这样一来,任何设备都可以“插入”使用。.
- 这种方法与零容忍政策截然相反,允许随时“接入”任何设备。其优点在于:a) 对员工而言,设备使用不受限制;b) 对公司而言,无需不断更新已批准设备清单。.
但是,采用这种方法需要配合强有力的控制措施,例如移动设备管理系统。.
另一种选择!
越来越多的公司决定放弃自带设备办公 (BYOD) 和零容忍政策,转而向员工提供设备。.
哪些申请方式是可以接受的?
公司可能希望限制对某些应用程序的访问——最常见的是仅限电子邮件和互联网访问。应尽可能避免对网络和应用程序的完全访问权限,除非是通过台式机或笔记本电脑,并且仅能通过可信网络或安全的远程访问工具进行访问。.
商业用途与私人用途
员工自带的设备(BYOD)很可能用于工作和私人用途。.
一方面,员工必须确信公司不会访问存储在设备上的个人信息或使用设备监控工具;另一方面,公司也希望保护可能存储在设备上(或可见)的公司和客户机密信息。.
雇主也需要意识到,员工本人以及其他家庭成员可能出于个人目的使用这些设备。.
无线安全
设备接入网络最便捷快速的方式是员工使用自己的设备通过无线方式登录网络。有些公司将无线密钥发布给员工,却没有意识到员工会在包括个人设备在内的所有设备上使用该密钥。.
一种常见的设备安全措施是设置非常复杂的无线密钥(例如难以记忆),并且只允许IT支持团队成员或其他指定人员输入密钥。这样,就可以相对轻松地在设备层面进行控制。然而,根据组织规模或复杂程度的不同,这种方法可能非常耗时。.
更完善的方法将利用网络硬件创建访问控制列表,针对特定设备,这些设备必须先注册并获得企业批准才能连接网络。这种方法的优势在于可以进行审计和时区控制,例如限制无线网络访问时间。.
设备注册
目前大多数网络操作系统(Windows 和 Mac)版本都内置了安全工具,可用于维护“已批准”设备列表。.
这是通过注册过程实现的,与网络硬件注册的方式非常相似,即设备在网络上进行展示和注册。.
如果设备丢失或员工离职,则可以将该设备从已注册设备列表中屏蔽/删除。.
虽然这种方法有助于阻止不速之客并控制对网络资源的访问,但缺点是当连接设备丢失或被盗时缺乏控制。.
移动设备管理 (MDM) / 移动应用管理 (MAM)
提供设备安全的更可靠的方法是使用 MDM 服务——这些服务既可以作为网络操作系统软件的一部分提供,也可以由第三方提供。.
此类服务有不同的级别,从简单的注册和设备重置服务,到对个人和企业数据进行沙盒隔离,后者仅允许单独擦除企业数据。.
如果员工想要采用自带设备办公 (BYOD) 模式,则必须同意/认可所使用的移动设备管理系统。.
如果使用 MDM 软件来监控设备,员工还必须同意/认可监控的活动以及是否使用地理位置信息。.
最后,员工需要了解,如果设备必须停用,存储在设备上的个人数据将会发生什么情况。.
这种方法既方便最终用户使用,又能确保企业安全。企业还可以执行诸如设备定位(如果设备丢失或被盗)或远程锁定和擦除等操作。.
数据加密
自带设备办公 (BYOD) 政策本身并不能提供足够的安全保障。所有机密/个人数据都必须加密。仅仅将文档/电子表格设置为只读,或者创建密码才能打开文档/电子表格,与对数据进行加密是截然不同的。.
企业必须评估哪些个人数据正在从哪些设备传输到哪些设备,然后评估数据泄露到公共领域的风险,并使用适当的加密方法来保护这些机密/个人数据。.
其他需要考虑的问题
- 设备密码保护——每台自带设备 (BYOD) 都必须设置启动密码/PIN 码,如果在指定分钟数内未激活,或连续多次输入错误密码/PIN 码,则应锁定设备。
- 设备遗失——作为 BYOD 政策的一部分,员工需要知道如果设备遗失该联系谁以及设备将会发生什么情况(例如,设备上的哪些数据可能会被清除)。
- 费用——公司可能同意也可能不同意支付某些移动设备费用,或支付因业务用途而丢失/被盗或损坏设备的更换费用。
- 可接受使用政策——公司需要确保任何可接受使用政策也适用于自带设备 (BYOD)。
- 已获取root权限/越狱的设备不应被允许使用,并且应严格规定任何设置为自带设备办公(BYOD)的设备之后都不得再进行root权限/越狱。
- 存储介质——该公司可能需要具体说明针对存储卡/SD卡的处理方法,特别是它们是否加密以及是否可以存储数据。
实施自带设备办公 (BYOD) 政策
BYOD 可以制定为单独的政策,也可以添加到现有的可接受使用政策中,或者添加到现有的互联网和电子邮件政策或社交媒体政策中。.
公司设备默认属于 BYOD 的范畴。.
拥有个人设备的员工应有机会选择是否加入自带设备办公(BYOD)政策:
- 选择退出——拒绝加入自带设备办公 (BYOD) 政策——在这种情况下,员工将无法使用任何个人设备办公。
- 选择加入 – 同意注册 BYOD 政策 – 在这种情况下,他们的设备需要在网络上注册,并且(如果适用)还需要注册移动设备管理服务。.
请参阅我们的总结,了解定义和实施 BYOD 政策的四个简单步骤。.
概括
雇主(即数据控制者)必须遵守 GDPR 关于个人数据处理的规定,这一点至关重要。一旦发生安全漏洞,雇主必须能够证明存储在特定设备上的所有个人数据均已得到安全保护、控制或删除。推行自带设备办公 (BYOD) 政策将极大地有助于实现这一目标。.
定义和实施自带设备办公 (BYOD) 的四个步骤
- 第一步——审核设备和使用情况
-
- 目前允许哪些设备接入网络?
- 他们拥有哪些访问权限?
- 他们使用哪些应用程序?
- 他们应该存储哪些数据?
- 第二步——自带设备办公(BYOD)的程度
-
- 无设备
- 批准名单
- 所有/任何设备
- 确定哪些应用程序可供移动设备访问。.
- 第三步——自带设备办公 (BYOD) 政策
-
- 制定并编写自带设备办公(BYOD)政策。.
- 进行适当的网络基础设施安全变更,并采购任何额外的服务(例如 MDM)。
- 确定是否需要额外的安全措施,例如数据加密工具。
- 确定并公布政策实施日期。
- 第四步——实施日期
-
- 移除所有现有设备,并确保它们不存储任何数据。.
- 注册已批准的设备
- 拥有此类设备的员工签署 BYOD 协议。.
