一、背景
图1 何谓混合式办公
二、十大挑战与解决方案
- 与首席信息安全官(CISO)和业务连续性管理(BCM)早期合作:在项目的早期阶段就与信息安全和业务连续性管理的专家合作,可以确保隐私和安全的问题得到充分考虑。
- 获取相关的专业认证,并参与专业协会:员工可以通过获取注册信息系统安全专业人员(CISSP)或注册信息安全管理师(CISM)等认证,以及参与信息系统安全协会(ISSA)、国际信息系统安全认证联盟(ISC2)、信息系统审计与控制协会(ISACA)等专业协会,来提高他们在信息安全和隐私保护方面的知识和技能。
- 遵循国际认可的标准和框架:遵循NIST网络安全、NIST隐私框架、ISO27001/ISO27701等国际认可的标准和框架,可以帮助企业提高他们的信息安全和隐私保护能力。
- 实施内部培训和技能提升计划:通过实施内部培训和技能提升计划,可以帮助员工提高他们在信息安全和隐私保护方面的知识和技能。
- 企业需要定期更新其安全和隐私政策,并确保所有员工都了解并遵守这些政策。此外,对于违反政策的行为,企业可以设定相应的处罚措施,以强化政策的执行力。
- 通过实施数据防泄露(DLP)和电子邮件监控/数据过滤技术,企业可以更有效地保护在非工作环境中传输或处理的个人数据。
- 在进行员工监控时,企业需要考虑进行数据保护影响评估(DPIA)和更新处理活动记录(ROPA)。这些措施可以帮助企业更好地理解和管理数据处理活动的风险。
- 企业需要考虑如何有效地响应主体访问请求(SARs),以确保个人数据的透明度和可访问性。
1)企业管理的设备数量?
2)这些设备上运行的应用程序?
3)终端设备的可访问性以及它们传输数据的能力?
4)是否能够远程擦除设备?
5)对于分类信息的处理规则,是否符合企业的合规要求?
- 修订移动设备策略:更新策略以反应混合工作的特点。这可能包括对设备使用、数据存储和传输、以及远程访问等方面的规定。
- 实施或优化设备管理系统:如果还没有,那么应该实施以下的一种或多种设备管理系统:移动设备管理(MDM)、企业移动管理(EMM)、统一端点管理(UEM)。如果已经有了,那么应该进行检查和优化,确保它们能够有效地支持混合工作模式。
- 在所有的SaaS和云应用上实施多因子认证(MFA):多因子认证是一种安全措施,要求用户提供两种或更多种证明身份的方式,可以大大提高账户的安全性。
- 考虑不同的隐私法案是否适用于这些新员工:例如,欧盟的通用数据保护条例(GDPR)、加利福尼亚的消费者隐私法案(CCPA)和加利福尼亚的消费者隐私权法案(CPRA)等。
- 是否需要进行转移影响评估(TIAs)或数据保护影响评估(DPIAs):这些评估可以帮助企业更好地理解和管理数据处理活动的风险。
- 通过长期培训来统一隐私文化:定期的隐私培训可以帮助新员工理解和接受企业的隐私政策和实践。
- 需要高度私密/机密的企业,在候选人评估/员工调查的环节中将个人计算机(PC)规模列为考虑项。
- 理解并弥补员工和客户的电话录音需求差异:对需求进行深度分析,定位问题所在。
- 根据需要进行数据保护影响评估(DPIAs)和更新处理活动记录(ROPAs):这些步骤有助于企业更好地管理电话录音活动的风险。
- 优化录音机制:针对不同类型的通信,如内部、外部、来电和去电,制定合理的记录策略;规范处理主体访问请求(SARs)的流程;梳理与在线协作工具的配合方式;并且,考虑移动电话与应用(如WhatsApp,Snapchat等)的录音需求与处理方法。
- 采用基于云的电子邮件(并使用多因素认证):基于云的电子邮件既提供安全性也方便使用,多因素认证能进一步提高账户的安全性。
- 遵守GDPR/CCPA/CPRA等法规:需要确保员工知晓哪些个人身份信息(PII)被收集、处理、披露以及为什么。
- 根据需要进行数据保护影响评估(DPIA):DPIA能帮助企业更好地理解和管理数据处理活动的风险。
- 重组隐私和网络安全团队:例如,可以将这些团队重组为“数字风险保护部门”,以更好地应对混合办公模式中的各种挑战。
- 使用虚拟/外包服务:这可以帮助企业更有效地利用资源,应对各种挑战。
- 进行优先级排序:可以制作时间管理矩阵(按照是否紧急与是否重要划分,如图二),帮助企业更好地管理时间和资源,以应对最重要的挑战。
图2 时间管理矩阵
三、总结
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。