管理BYOD裝置安全 企業如何兼顧員工隱私

為了因應BYOD的需求，同時兼顧企業資訊安全的管理，由廠商所提出的第一代行動裝置管理方案MDM（Mobile Device Management），很快地就受到企業的歡迎。MDM方案主要是針對行動裝置本身的安全管理，提供了裝置監控、遠端鎖定、網頁過濾、禁用相機等功能，但相對地也比較難以區隔在使用方面的個人隱私要求。

為了要同時兼顧工作與個人使用方面的需求，後續推出的應用程式管理MAM（Mobile Application Management）方案，讓存取企業資料的環境與個人在手機上所使用的行為能有所區隔。

MAM透過建立虛擬的企業工作區域，讓使用者自帶的行動裝置可以達成公私兩用的彈性做法，對企業來說，獨立的工作區域也可降低資料外洩的風險，但是在隱私方面，雖然可以做到應用程式上的資料區隔，卻也仍然無法避免企業仍可保有追蹤使用者的位置資訊。

對企業來說，能夠保障個人隱私的作法有哪些？以下是有關實施時的參考建議。

1. 避免不當的位置追蹤：企業導入行動設備管理方案 的好處，就是可以即時追蹤行動裝置的所在位置，以便可以隨時啟動遠端鎖定、遠端警示和資料刪除等功能，除了GPS之外，當使用者處於建築物內部時，也可以透過所接入的無線網路或3G網路來偵測出所在的地點，換句話說，企業的資訊部門有能力隨時掌握使用者的行蹤，因此企業需要明訂在什麼情況之下，基於何種理由和目的，公司可以啟動追蹤功能，並且是否要預先獲得使用者的同意。

2. 避免個人資料的遺失：一旦企業需要啟用遠端變更 密碼、強制鎖定和刪除時，請先確認會由誰來負責進行授權，並且將會如何進行。如果設定了自動刪除功能，那麼是否僅僅會刪除企業相關的資料和應用程式？是否也提供了復原裝置資料的功能？

3. 妥善管理連線資訊：除了所在的地點和位置資訊之 外，一旦使用私有的行動裝置連結了企業網路，相關的網路活動也有可能受到企業的過濾與監控，在使用者離職之後，這些涉及個人活動有關的資料，請確認是否還會繼續保留？

4.避免不當的隱私審查：如果涉及相關的法律事 件，企業是否需要審查使用者自帶的行動裝置，內容將會包括了這台裝置上的網頁瀏覽紀錄、下載資料、歌曲、影片、電子郵件內容、聯絡人、社群媒體的活動、通話紀錄，甚至是所存放與家人有關的資訊，這些都有可能會被揭露，請評估可能的衝擊與結果。

5. 釐清應用程式的安裝限制：針對行動裝置的惡意 程式愈來愈多，企業為了降低安全風險，可能會限制員工在行動裝置上任意安裝App，但若是員工私有的行動裝置，員工仍然保有權力可以自己安裝軟體，因此這一部分就需要企業事先與使用者進行溝通，明訂應用程式的安裝要求。

6. 制定使用政策並實施教育訓練：透過政策明訂的內 容，向員工說明以便取得其同意來實施某些安全做法。例如啟用遠端刪除功能、資料加密等，會是比較容易獲得員工尊重與信賴的做法。

最後，建議企業在行動裝置的安全管理方面，盡量以勸導、訓練和警示，代替全面監控員工的做法，換句話說，請千萬不要假安全之名而行侵犯隱私之實，因為在行動裝置中的個人資料，同樣也受到個人資訊保護法的保障，若企業因此而違法的話，到最後肯定得不償失。

＜本文作者：花俊傑曾任IT雜誌主編、資安顧問，擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT、CIPM等國際認證，自詡為資安傳教士，樂於分享資安心得，讀者可透過jackforsec@gmail.com與之聯繫。＞