通过控制 A.8.01 加强用户设备安全

A.8.1 用户终端设备

在进入控制之前，标准将用户终端设备定义为用户用于访问信息处理服务的设备。这些设备大多是笔记本电脑、个人电脑、移动设备、平板电脑，但也可以是用户用来访问公司信息的任何设备。

该控制范围广泛，旨在保护信息免受用户终端设备风险的影响，包括存储在这些设备上的数据，以及这些设备可以访问的系统。

通用

应制定用户设备处理和安全配置政策。该政策应传达给所有相关人员和承包商。政策应考虑

• 设备可处理和支持的信息类型和分类级别。例如，软件开发人员与人力资源或客户支持人员对机器的要求是不同的。
• 所有设备都应列入控制 A.5.9 中制定的资产登记册。
• 您是否需要对设备进行任何物理保护，例如，是否需要将设备带到可能会掉落的现场，或者是否更有可能需要一个坚固的外壳来保护设备。
• 对软件安装、软件补丁和更新的限制。这些通常可以通过系统管理和组策略进行管理，但如果允许 BYOD，则需要考虑更多的风险，对设备的控制也可能会减少。
• 对移动硬盘和 USB 端口等可移动设备进行限制，以防止引入任何恶意软件或与之相关的其他漏洞。
• 存储加密、恶意软件保护、远程禁用和删除、备份。这些通常可以由系统管理员进行管理，但 BYOD 可能会增加风险，因为用户要对自己的设备负责。
• 网络使用。这可以通过限制访问某些网站在内部网络中进行管理，但如果是远程工作，用户可以访问他们想访问的任何互联网部分，这可能会引入病毒和其他恶意软件。
• 分区功能。如果支持，可考虑要求为公司相关信息、软件和其他实用程序单独分区。这有助于 BYOD 或用户的移动设备访问公司电子邮件。

用户责任

确保用户了解计算机和互联网使用的安全要求和程序。用户可以做的有助于保护数据安全的事情包括

• 在不再需要时注销或终止服务。
• 确保设备的安全存放，例如在离开办公室时将笔记本电脑或其他设备锁在带锁的抽屉里。
• 在公共场所使用工作设备时要格外小心，尤其是在公共交通工具上或其他公众可能会看到他们肩上信息的地方。这也包括在办公室内未经授权的员工可能无意中看到的地方访问机密信息。
• 保护工作设备，防止被盗或丢失，尤其是在运输工作设备时，或工作设备在酒店房间、会议中心、公共会议室等公共场所时。

应定期提醒用户注意自己的责任，如在会议上或你举办的其他培训课程中，或通过内联网发布信息等，让用户时刻牢记这些责任。

移动设备

移动设备在企业中的使用越来越多，这可能会给企业带来相当大的风险。随着越来越多的应用程序转向移动设备，如何确保信息安全是一个持续存在的问题。你可以做以下几件事

• 提高密码强度或推广使用较长的口令。
• 改用多因素身份验证。
• 定期更新下载用于工作的应用程序。
• 检查应用程序的隐私设置以及它们可以访问哪些信息。

个人设备（BYOD）

允许员工和承包商在工作中使用自己的设备可以带来商业利益。不过，这也会增加数据安全风险。有助于降低风险的措施包括

• 制定政策和程序，明确列出企业和用户的职责和责任。这些政策和程序应明确概述以下内容：

1. 对在私有设备上开发的知识产权（如软件）的权利、
2. 访问私人拥有的设备，例如验证机器的安全性，这可以通过立法加以防止。
3. 软件许可协议，您的企业可能需要对私人设备上的软件许可负责。

• 将设备的业务使用和个人使用分开，包括支持这种分开的软件，并保护设备上的数据。例如，在支持的情况下使用独立分区。

结论

确保笔记本电脑、手机和平板电脑等用户设备的安全，包括确保存储在这些设备上的信息以及这些设备可以访问的系统信息的安全。

这包括围绕工作设备的用途制定政策和程序，确保其对业务系统的访问安全。作为 BYOD 政策的一部分，可能需要考虑对员工使用的任何移动电话或员工自有设备进行特定控制。

最重要的是，让员工了解他们有责任保护自己的设备，并不断提醒他们将其放在心上。