香港公司自攜設備(BYOD)安全政策
如何為香港企業制定和實施自攜設備安全政策——在員工私隱、運營靈活性和企業數據安全之間取得平衡。
如何為香港企業制定和實施自攜設備安全政策——在員工私隱、運營靈活性和企業數據安全之間取得平衡。
自攜設備計劃——員工使用個人智能手機、平板電腦和筆記型電腦處理工作——在香港企業中普遍存在,原因在於運營方便、節省採購設備成本,以及員工偏好使用自己的設備。許多香港中小企在沒有正式政策的情況下,事實上已進入BYOD狀態,只因員工開始用iPhone收取工作電郵並用WhatsApp與客戶溝通。這種無管理的BYOD狀態——個人設備在沒有任何安全管控的情況下存取企業數據——結合了BYOD的風險,卻沒有其治理優勢,造成大多數企業未意識到的重大數據暴露。
無管理BYOD的安全風險相當大。個人設備存取企業Microsoft 365或Google Workspace帳戶——在本地下載電郵、附件和文件——而機構對這些設備上存儲的數據沒有任何可見性。當員工的個人手機遺失或被盜(或當他們離職時),那些本地存儲的企業數據就超出了機構的控制範圍。個人設備的安全配置可能弱於企業管理設備:較舊的iOS或Android版本未收到安全更新、帶有惡意應用程式的第三方應用商店、缺少螢幕鎖定或沒有加密。用於個人遊戲、社交媒體和網頁瀏覽的設備,比僅用於工作應用程式的專用企業設備有更高的malware風險。
PDPO ↗對香港企業無管理BYOD的影響意義重大。當員工個人設備存儲客戶個人資料——在電郵、CRM應用程式或下載文件中——這些設備便成為您企業持有的個人資料庫。PDPO原則四要求採取適當技術和組織措施保護個人資料。在沒有安全管控的情況下使用的個人設備——無加密、無遠端清除、存取控制僅限弱PIN碼——可能不符合這一標準。如果含有客戶數據的個人設備遺失,即使該設備在技術上是員工的個人財產,由此引起的數據洩露也可能引發PCPD投訴和監管審查。
流動應用程式管理(MAM)提供了一種尊重私隱的BYOD安全方式,在不需要全面設備管理的情況下應對企業數據保護問題。全面MDM對整個個人設備應用管控(這引起員工合理的私隱顧慮),而MAM只管理設備上的企業應用程式及其創建的數據容器,完全不接觸個人應用程式、照片和通訊。Microsoft Intune應用保護政策和Google Workspace MAM作為大多數香港企業已使用的平台的一部分提供MAM功能,對Microsoft 365或Google Workspace訂閱者無需額外授權費用,使MAM部署切實可行。
在個人BYOD設備上保護企業數據的MAM功能包括:要求企業應用程式存取需要獨立於設備鎖的PIN碼或生物識別;阻止從企業應用程式複製貼上到個人應用程式(防止企業電郵被貼入個人WhatsApp);在企業應用程式內阻止截圖;要求企業應用程式在本地加密其數據容器;阻止企業應用程式數據備份到個人雲端服務(個人iCloud、Google Drive);以及啟用選擇性遠端清除,只移除設備上的企業應用程式數據和容器,個人數據 ↗完整保留。這種選擇性清除能力對BYOD至關重要——它允許從離職員工設備移除企業數據,而不影響員工的個人照片和訊息。
對於需要員工使用個人設備工作的香港企業,Microsoft Intune應用保護政策可在不將設備納入完整MDM的情況下部署——員工從應用商店安裝Microsoft Authenticator應用程式和所需的企業應用程式(Outlook、Teams、OneDrive),當員工使用其企業憑證進行身份驗證時,Intune MAM政策會自動應用於這些應用程式。員工的設備不會被納入管理,IT人員看不到個人應用程式,只有企業應用程式容器受到管理。這種架構對大多數員工是可接受的,因為它清楚地將個人私隱與企業數據治理分開——他們可以清楚地看到IT政策管理的內容,並驗證它不接觸任何個人內容。
BYOD政策必須足夠清晰地定義個人設備工作使用規則以便執行,同時保持足夠合理以獲得員工接受。員工認為是監視或侵犯私隱的政策將被繞過——員工會透過未授權渠道存取企業數據,以避免繁瑣的BYOD要求。政策應清楚解釋每項要求的業務理由(保護客戶數據以履行PDPO義務、在設備遺失時啟用遠端清除),而非僅僅要求合規,這增加了員工的理解和接受度。
香港企業BYOD政策的關鍵要素包括:符合資格的設備類型和作業系統版本要求(機構可能要求iOS 16+或Android 12+以確保當前安全更新覆蓋);個人設備上所需的安全配置(螢幕鎖定、PIN碼/生物識別、加密、不越獄或取得root權限);哪些企業應用程式允許或需要安裝在個人設備上;哪些企業應用程式禁止安裝在個人設備上(高度敏感的應用程式可能限於企業擁有的設備);員工同意在個人設備上部署MAM並披露機構在個人設備上能看到什麼和不能看到什麼;以及可能執行選擇性遠端清除的條件。
BYOD計劃的PDPO影響需要關於個人設備上個人資料的具體政策規定。員工應理解,存儲在其個人設備上的客戶個人資料須受PDPO義務約束——他們不能以違反PDPO的方式在個人設備上使用客戶數據。政策應禁止員工將客戶個人資料下載到個人設備,除非是批准工作目的所特別需要的,並要求報告含有企業數據的遺失或被盜設備,作為觸發PDPO考量的潛在數據洩露。在實施前由熟悉香港僱傭法和PDPO的律師對BYOD政策進行法律審查是建議的——既確保PDPO合規,也解決監控和私隱方面的僱傭法考量。
BYOD並非總是合適的解決方案——對於某些職位、數據存取級別和風險狀況,提供公司擁有的全面管理設備是更好的安全選擇。擁有高度敏感數據存取權限的員工(財務數據、法律文件、大量個人資料)、擁有特權系統存取的員工(IT管理員、有生產系統存取的開發人員),以及高度受監管行業的職位(HKMA ↗持牌機構、受證監會監管的實體、醫療機構),可能需要配備全面MDM管理的企業設備,而非僅有MAM管控的個人設備。全面MDM提供的額外管控——整個設備的遠端清除、應用程式許可名單、強制加密設定和基於證書的身份驗證——對這些較高風險職位的硬件成本是合理的。
隨著流動設備租賃和託管服務提供商設備即服務計劃的興起,公司設備與BYOD的經濟考量已大幅改變。香港企業可以透過包含設備管理和定期更換的Apple Business Manager或Samsung Knox計劃以可預測的每月每設備成本租用設備,而非直接購買所有員工的設備。這降低了公司設備的前期資本成本,並確保設備按定期計劃更換,而非在安全支持生命週期結束後繼續使用。對於較高風險職位,相對於BYOD的成本溢價可能被安全、合規和支持簡化效益所抵消。
混合方式——一般員工採用帶MAM的BYOD,較高風險職位採用帶全面MDM的公司設備——對大多數香港企業而言是切實可行的,並將安全投資與實際風險狀況相匹配。透過MAM在個人手機上存取電郵和文件的一般員工,對大多數機構而言是可接受的風險。擁有存取銀行 ↗平台和支付系統的財務員工,以及擁有管理員憑證的IT員工,需要企業設備。實施這種分層方式需要清楚定義哪些職位屬於哪個層級,向員工說明理由,並透過MDM平台管理BYOD登記和設備配置流程。Microsoft端點管理員(Intune)和Jamf支持同時管理僅MAM和全面MDM已登記設備的混合環境。
