|
BYOD安全与员工隐私 企业如何才能两者兼顾?愈来愈多的企业允许员工携带自有的移动设备(BYOD)上班,并且使用在日常工作之中,一旦这些移动设备离开了企业环境,企业要如何管控移动设备上所储存的大量商业数据,实施有效的安全管理,同时也要避免侵害员工的隐私? 根据云端安全联盟(CSA)所提出的移动设备安全指南,提到员工在使用公司所提供的BYOD方案时,应该要先了解以下几个问题: ■ 公司是否会读取移动设备上我的个人资料? ■ 若需要进行法律相关调查时,对我的移动设备会造成什么影响? ■ 如果我的移动设备遗失了,将会发生什么事? ■ 在遗失移动设备时,是否可以要求进行完整的资料清除? ■ 当我采取了BYOD方案,但是在离开公司之后,将会发生什么事? 至于针对企业在建立BYOD的政策时,也需要考虑以下的事项: ■ 在什么情况下,企业需要取得移动设备的所有权? ■ 在什么情况下,移动设备的数据会被清除?这需要考虑当地的法律和法规。 ■监控员工的数据与行为,应该合乎员工所面临风险的比例原则,尤其特别需要考虑所储存的位置信息。 ■ 可授权进行监控员工的管理人员,应该要被清楚地识别出来并了解其责任。 ■ 所有的监控在实施时,应尽可能地将侵犯行为控制在最小的范围,并且只获取最小量的员工数据。 ■了解在某些案例中可能也会牵涉到非企业的员工,例如员工的家属可能也会使用员工的移动设备。 ■ 移动设备的数据清除,应只限于公司的数据。 保障移动设备安全与隐私的做法 为了因应BYOD的需求,同时兼顾企业信息安全的管理,由厂商所提出的第一代移动设备管理方案MDM(Mobile Device Management),很快地就受到企业的欢迎。MDM方案主要是针对移动设备本身的安全管理,提供了设备监控、远程锁定、网页过滤、禁用相机等功能,但相对地也比较难以区隔在使用方面的个人隐私要求。 为了要同时兼顾工作与个人使用方面的需求,后续推出的应用程序管理MAM(Mobile Application Management)方案,让存取企业数据的环境与个人在手机上所使用的行为能有所区隔。 MAM透过建立虚拟的企业工作区域,让用户自带的移动设备可以达成公私两用的弹性做法,对企业来说,独立的工作区域也可降低数据外泄的风险,但是在隐私方面,虽然可以做到应用程序上的数据区隔,却也仍然无法避免企业仍可保有追踪用户的位置信息。 对企业来说,能够保障个人隐私的作法有哪些?以下是有关实施时的参考建议。 1. 避免不当的位置追踪:企业导入移动设备管理方案 的好处,就是可以实时追踪移动设备的所在位置,以便可以随时启动远程锁定、远程警示和数据删除等功能,除了GPS之外,当使用者处于建筑物内部时,也可以透过所接入的无线网络或3G网络来侦测出所在的地点,换句话说,企业的信息部门有能力随时掌握使用者的行踪,因此企业需要明订在什么情况之下,基于何种理由和目的,公司可以启动追踪功能,并且是否要预先获得使用者的同意。 2. 避免个人资料的遗失:一旦企业需要启用远程变更 密码、强制锁定和删除时,请先确认会由谁来负责进行授权,并且将会如何进行。如果设定了自动删除功能,那么是否仅仅会删除企业相关的数据和应用程序?是否也提供了复原设备数据的功能? 3. 妥善管理联机信息:除了所在的地点和位置信息之 外,一旦使用私有的移动设备链接了企业网络,相关的网络活动也有可能受到企业的过滤与监控,在使用者离职之后,这些涉及个人活动有关的资料,请确认是否还会继续保留? 4.避免不当的隐私审查:如果涉及相关的法律事 件,企业是否需要审查用户自带的移动设备,内容将会包括了这台设备上的网页浏览纪录、下载数据、歌曲、影片、电子邮件内容、联络人、社群媒体的活动、通话纪录,甚至是所存放与家人有关的信息,这些都有可能会被揭露,请评估可能的冲击与结果。 5. 厘清应用程序的安装限制:针对移动设备的恶意 程序愈来愈多,企业为了降低安全风险,可能会限制员工在移动设备上任意安装App,但若是员工私有的移动设备,员工仍然保有权力可以自己安装软件,因此这一部分就需要企业事先与使用者进行沟通,明订应用程序的安装要求。 6. 制定使用政策并实施教育训练:透过政策明订的内 容,向员工说明以便取得其同意来实施某些安全做法。例如启用远程删除功能、数据加密等,会是比较容易获得员工尊重与信赖的做法。 最后,建议企业在移动设备的安全管理方面,尽量以劝导、训练和警示,代替全面监控员工的做法,换句话说,请千万不要假安全之名而行侵犯隐私之实,因为在移动设备中的个人资料,同样也受到个人信息保护法的保障,若企业因此而违法的话,到最后肯定得不偿失。 责编:李玉琴 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:kaiyun体育官方人口
文章著作权分属kaiyun体育官方人口
、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|