如果你不记得上次被要求签署公司最新和最伟大的IT政策是什么时候, 也许这个清单将激发关于您的企业数据安全的讨论.
- 在你公司工作的员工在他们的移动设备上访问电子邮件吗?
- 访问您的移动设备是否需要密码?
- 如果您的移动设备在一段时间内未使用, 是否超时并需要密码才能重新登录?
- 在屏幕自动锁定之前,移动设备允许的最大屏幕长度是多少?
- 如果移动设备是个人拥有的,但企业的数据是可访问的, 员工的其他家庭成员也可以使用这个移动设备吗?
- 如果移动设备属于企业所有,员工是否也被允许将其用于个人用途? 如果是,你的组织在涉及到雇员的个人使用时要承担多大的责任?
- 移动设备上的数据是否加密?
- 如果你的移动设备丢失或被盗, 您的移动设备能远程删除敏感数据吗?
- 您的移动设备是否运行入侵检测/预防系统?
- 你的移动设备有防病毒和/或恶意软件扫描吗?
- 如果由企业拥有, 对于哪些应用程序可以安装以及它们的安装位置有限制吗?
无论谁拥有存储公司数据的设备, 是否有要求向雇主报告遗失或被盗的设备? 即使你在移动设备上有一些与数据安全相关的内部控制,并且可以对这些问题的部分或全部回答“是”, 你公司里的其他员工也是如此吗? 如果这个问题的答案是否定的,这就强调了与此类内部控制相关的业务范围IT政策的必要性.
对于在个人移动设备上实施的安全措施,组织很可能会收到来自员工的一些不情愿. 这是可以理解的. 然而, 在我们广泛的经验,在许多情况下,法医分析移动设备, 很明显,个人也会在他们的设备上存储非常敏感的个人信息. 因此, 员工应该明白,这些措施不仅保护了公司的敏感数据, 还有他们敏感的个人信息.
企业在使用移动设备的程度以及在这些设备上访问和存储数据的敏感性上差异很大. 清单项目显然不是所有的需求, 但是,在你的企业内部控制结构中增加一些项目可能是明智的. 与任何内部控制系统一样, 您必须权衡从这些项目中获得的利益与实现的成本.
在您的业务中存在一个普遍的风险,即敏感数据落入不法之人之手, 但你个人的风险承受力可能与你公司里的其他人不一样. 将移动设备整合到企业的IT政策中是一种非常有效的方法,可以确保每个人在数据安全问题上达成一致.
无论您的企业只是需要重新制定IT政策,还是认为有必要实施一个健壮的移动设备管理系统, 您的业务实现的更改将是与个人使用技术访问业务数据的方式和此类数据的敏感性相关的适当级别的响应. 然后, 下次当你或同事丢了移动设备的时候, 这种损失的影响不会超过更换设备的成本.
下载LBMC的流动保安策略清单(PDF)