透過控制 A.8.01 加強用戶設備安全

A.8.1 用戶終端設備

在深入探討這項控制措施之前，該標準將使用者終端設備定義為使用者用於存取資訊處理服務的設備。這些設備主要包括筆記型電腦、桌上型電腦、行動裝置和平板電腦，但也可以是任何使用者用於存取公司資訊的裝置。

這種控制措施範圍很廣，旨在保護資訊免受用戶終端設備風險的影響，包括儲存在設備上的數據，以及他們可以存取的系統，隨著設備作為 MFA 實施的一部分進行授權，這一點變得越來越重要。

一般的

應制定使用者設備處理和安全配置政策，並將其傳達給所有相關員工和承包商。該政策應考慮以下幾個方面：

• 設備能夠處理和支援的資訊類型和分類等級。例如，軟體開發人員的電腦配置需求與人力資源或客戶支援人員的電腦配置需求就有所不同。
• 所有設備應列入控制 A.5.9 中製定的資產登記冊。
• 您是否需要對設備進行任何實體保護？例如，是否要將其帶到戶外，可能會掉落，或者更可能需要一個堅固的外殼來保護它。
• 軟體安裝、軟體修補程式和更新的限制。這些通常可以透過系統管理和群組原則進行管理，但是，如果您允許自帶設備辦公室 (BYOD)，則需要考慮更多風險，並且您對設備的控制權可能會降低。
• 限制可移動裝置（例如可移動硬碟和 USB 連接埠）的使用，以防止引入任何可能與之相關的惡意軟體或其他漏洞。
• 儲存加密、惡意軟體防護、遠端停用和刪除、備份。這些通常可以由系統管理員管理，但是，自備設備辦公室 (BYOD) 會增加風險，因為使用者需要對自己的設備負責。
• 網路使用方面，可以透過限制對某些網站的存取來在內部網路中進行管理；然而，如果遠端辦公，使用者可以存取他們想要存取的任何網路內容，這可能會引入病毒和其他惡意軟體。
• 分區功能。如果支持，請考慮為公司相關資訊、軟體和其他實用程式設定單獨的分區。這有助於實現自帶設備辦公室 (BYOD)，或方便用戶透過行動裝置存取公司電子郵件。

使用者責任

請確保您的使用者了解電腦和網路使用的安全要求和流程。用戶可以採取以下措施來幫助保護資料安全：

• 不再需要服務時，將其註銷或終止。
• 確保設備安全存放，例如員工下班離開辦公室時將筆記型電腦或其他設備鎖在帶鑰匙的抽屜裡。
• 在公共場所使用工作設備時，尤其是在公共交通工具或其他公眾可能從背後看到資訊的地方，務必格外小心。這同樣適用於在辦公室等未經授權的員工可能無意中看到機密資訊的區域。
• 保護工作設備免於竊盜或遺失，尤其是在運輸過程中，或當設備位於飯店房間、會議中心、公共會議室等公共區域時。

應定期提醒使用者他們的職責，例如在會議、您組織的其他培訓課程或透過內網貼文等方式，以使他們牢記這些職責。

行動裝置

行動裝置在商業領域的日益普及可能為企業帶來相當大的風險。隨著越來越多的應用程式遷移到行動端，資訊安全始終是亟待解決的問題。您可以採取以下措施：

• 提高密碼強度或推廣使用更長的密碼短語。
• 啟用多因素身份驗證。
• 定期更新下載用於工作的應用程式。
• 檢查應用程式的隱私設定以及它們可以存取哪些資訊。

個人設備（自備設備）

允許員工和承包商使用自有設備辦公可能帶來一些商業利益。然而，這也會為資料安全帶來更多風險。以下措施有助於降低這些風險：

• 制定政策和程序，明確界定貴公司和使用者雙方的職責。這些政策和程序應明確規定以下內容：

1. 對在私有設備（例如軟體）上開發的智慧財產權享有的權利
2. 例如，為了驗證機器的安全性而接觸私有設備，而這種行為是法律可以禁止的。
3. 軟體授權協議可能導致您的企業對私人擁有的設備上的軟體授權承擔責任。

• 將設備用於商業用途和個人用途分開，包括使用軟體來支援這種分離並保護設備上的資料。例如，如果支持，可以使用單獨的分割區。

結論

保護使用者裝置（包括筆記型電腦、手機和平板電腦）不僅包括保護儲存在這些裝置上的信息，還包括保護使用者有權存取的系統上的資訊。

這包括制定關於工作設備用途的政策和流程，以及確保員工能夠安全地存取業務系統。對於員工根據自帶設備辦公室 (BYOD) 政策使用的任何手機或其他自有設備，可能需要考慮特定的控制措施。

最重要的是，要教導員工保護自己設備的責任，並不斷提醒他們要牢記這一點。

其他貼文

• 本系列其他文章請見： ISO 27001實施的策略方法
• 查看本系列的前一篇：保障主幹網路安全：控制中保護介質、線材和設備的技巧 A.7.10 – A.7.14
• 查看本系列下一篇：存取管理簡化：特權權限和身分驗證控制 A.8.02 – A.8.05