1.控制项说明
控制
宜保护组织场所外的资产。
2.控制项解读
1. 设备管理范围:
涵盖所有外带设备:笔记本电脑、移动硬盘、手机、U盘等,无论设备归属(组织自有或员工私人设备)。
必须由管理层授权方可带离场所(例如签订《外带设备使用协议》)。
2. 物理保护要求:
禁止设备无人看管(如咖啡厅、酒店房间),禁止暴露于极端环境(高温、潮湿、强磁场)。
公共交通中禁止查看敏感信息(如地铁上用笔记本打开客户数据库)。
3. 技术控制措施:
设备必须支持远程定位和远程擦除功能(如手机MDM管理)。
设备转移时需记录保管链(谁经手、何时交接),并删除无关数据。
4. 特殊场景防护:
外部设备(如ATM机、监控摄像头)需额外防护:物理防拆、逻辑访问控制、环境监控。
3.控制项实施落地
1. 制定外带设备策略
设备登记:建立《外带设备清单》,记录设备型号、责任人、用途(例如,公司为出差员工配发加密笔记本,编号登记)。
BYOD管理:员工私人设备要求安装企业安全管理软件,隔离工作数据与私人数据(如微软Intune),并签署《数据隔离协议》。
2. 技术防护部署
远程擦除与加密:
全盘加密(BitLocker、FileVault)+远程擦除功能(例如,销售团队手机丢失后10分钟内远程清空数据)。
禁用USB接口自动运行,强制外接存储设备加密。
防窥视措施:
为外带笔记本配备防窥屏(如3M防窥膜),敏感会议中使用隐私屏保。
3. 流程与行为管控
设备交接管理:
跨部门/跨公司移交设备时填写《保管链日志》(包括交接人、时间、数据清理记录)。
公共交通规范:
禁止在出租车、高铁上处理敏感文件,强制使用隐私滤镜(如某律所要求律师出差时携带防窥屏)。
4. 高风险设备专项防护
外部设备(如ATM机):
加装防拆警报、GPS追踪(例如,银行ATM内置震动传感器,异常移动触发报警)。
定期巡检并留存记录(如每月检查摄像头是否被遮挡)。
4.审核要点参考(访谈、观察、文审)
1)查看组织策略与授权合规性,检查《外带设备审批表》是否包含设备型号、用途、责任人及管理层签字。如有BYOD设备验证是否安装管控软件。
技术措施有效性,如检查设备加密状态(如查看BitLocker激活状态)。
场所外设备的保管,项目数据交接记录,人员的相关培训记录等。