6.2移動設備和遠程工作

6.2移動設備和遠程工作

6.2.1移動設備策略

控制
宜采用相應的策略及其支持性的安全措施以管理由于使用移動設備所帶來的風險。
實現指南
當使用移動設備時，宜特別注意確保業務信息不被損害。移動設備策略宜考慮在不受保護的環境下使用移動設備工作的風險。
移動設備策略宜考慮：
a) 移動設備的注冊；
b) 物理保護的要求；
c) 軟件安裝的限制；
d) 移動設備軟件版本和應用補丁的要求；
e) 連接到信息服務的限制；
f) 訪問控制；
g) 密碼技術；
h) 惡意軟件防范；
i) 遠程禁用、刪除或鎖定；
j) 備份；
k) Web服務和Web應用程序的使用。
當在公共場所、會議室和其他不受保護的區域使用移動計算設備時，宜加以小心。為避免未授權訪問或泄露這些設備所存儲和處理的信息，宜有適當的保護，例如使用密碼技術（見第10章）和強制使用秘密鑒別信息（見9.2.4）。
還宜對移動設備進行物理保護，以防被偷竊，例如，特別是遺留在汽車和其他形式的運輸工具上、旅館房間、會議中心和會議室。宜為移動設備的被竊或丟失等情況建立一個符合法律、保險和組織的其他安全要求的特定規程。攜帶重要、敏感或關鍵業務信息的設備不宜無人值守，若有可能，宜以物理的方式鎖起來，或使用專用鎖來保護設備。
宜安排使用移動設備的人員進行培訓，以提高他們對這種工作方式導致的附加風險和所實現的控制的了解。
當移動設備策略允許使用私人移動設備時，策略和相關的安全措施宜考慮：
a) 分離設備的私人和業務使用，包括使用軟件來支持這種分離并保護在私人設備上的業務數據；
b) 僅在以下情況提供對業務信息的訪問：用戶簽訂最終用戶協議知曉其職責（物理保護、軟件升級等）；放棄業務數據的所有權；允許組織遠程擦除數據在設備被盜或丟失時、或不再授權使用該服務時。本策略需要考慮隱私方面的法律法規。
其他信息
移動設備無線連接類似于其他類型的網絡連接，但在確定控制時，宜考慮兩者的重要區別。典型的區別有：
a) 一些無線安全協議是不成熟的，并有已知的弱點；
b) 因為受限的網絡帶寬或因為移動設備在規定的備份時間未能連接網絡，在移動設備上存儲的信息可能不能備份。

6.2.2遠程工作

控制
宜實現相應的策略及其支持性的安全措施，以保護在遠程工作地點上所訪問的、處理的或存儲的信息。
實現指南
允許遠程工作活動的組織宜發布策略，以定義使用遠程工作的條件和限制。當認為適用且法律允許時，宜考慮下列事項：
a) 遠程工作場地的現有物理安全，要考慮到建筑物和本地環境的物理安全；
b) 推薦的物理的遠程工作環境；
c) 通信安全要求，要考慮遠程訪問組織內部系統的需要、被訪問的并在通信鏈路上傳遞的信息的敏感性以及內部系統的敏感性；
d) 提供虛擬桌面訪問以防止在私人設備上處理和存儲信息；
e) 住處的其他人員（例如，家人和朋友）未授權訪問信息或資源的威脅；
f) 家庭網絡的使用和無線網絡服務配置的要求或限制；
g) 針對私有設備開發的預防知識產權爭論的策略和規程；
h) 對私人設備的訪問（以驗證機器安全或開展調查）可能是被法律禁止的；
i) 使組織對員工或外部相關方人員等私人擁有的工作站上的客戶端軟件負有責任的軟件許可協議；
j) 惡意軟件防范和防火墻要求。
考慮的指南和安排宜包括：
a) 當不允許使用不在組織控制下的私人設備時，對遠程工作活動提供合適的設備和存儲設施；
b) 確定允許的工作、工作小時數、可以保持的信息分級和授權遠程工作者訪問的內部系統和服務；
c) 提供適合的通信設備，包括使遠程訪問安全的方法；
d) 物理安全；
e) 有關家人和來賓訪問設備和信息的規則和指南；
f) 提供硬件和軟件支持和維護；
g) 提供保險；
h) 用于備份和業務連續性的規程；
i) 審核和安全監視；
j) 當遠程工作活動終止時，撤銷授權和訪問權，并返回設備。
其他信息