当今,大多数公司都不能敏捷地跟上技术的步伐,因此,许多具有前瞻性思维的企业开始采用自带设备(BYOD)政策――允许员工使用自己的笔记本电脑、平板电脑、智能手机办公。BYOD在降低成本、提高工作效率与员工积极性的同时,也带来了许多安全和法律问题,如员工个人隐私、公司信息安全、自带设备的费用报销等。
公司要注意11个关键,来找到运用BYOD的平衡点。
1.借助移动设备管理技术(即MDM)为每台自带设备创建一个虚拟分区(virtual partition),以便分隔工作数据与私人数据。这既能保护数据安全,也限制了雇主的访问权限。
2.明确不同设备可以访问的公司数据类型。
3.确定哪几类员工允许使用个人设备,并说明为什么。同时,要求这些员工在首次连结公司电脑网络时,接受合理的使用条款。如果公司允许有偿加班的员工应用BYOD(他们下班后可能需要发送/回复工作邮件和短信),就要设定好其下班后使用自带设备的权限。
4.清晰地规定雇主获取、监控、删除员工设备内信息的权利,以及何种情形下可以这样做。建议保留所有个人设备在处理业务时的登录信息。
5.确定公司是否要引入监控的新形式,例如通过GPS或其他方法定位跟踪。详细指明雇主将在什么时段监控,目的是什么。
6.详细说明公司将如何保护员工的私人信息,以及这些保护措施的局限性。同时,要确保个人信息可以通过常规备份和维护得以保存。
7.要及时通知员工清除个人设备内的雇主数据的时间。此外,员工有机会回看删除的数据、保存个人文件吗?在哪种情形下(如电子取证、调查、IT检修或离职),员工必须交出其个人设备以便检查、删除雇主信息?
8.公司应把数据保护落实到位,包括四点:隔一段时间设定高强度的密码和自动锁定功能;为丢失/被偷窃的设备建立协议;授权某些杀毒防护软件;要求/鼓励员工定期备份。
9.指定专人负责与工作相关的软件下载等授权工作,并确定一名政策咨询联系人。此外,还可以在公司内网上增添一个资源页面或常见问题页面。
10.与IT人士、风险管理人员、操作人员、内外部的法律顾问合作开发你的BYOD政策。
11.修订当前的政策和协议,包括:调整记录留存政策(record-retention policies)来保护员工自带设备上的数据;访问数据违反协议(data breach protocols)来修复被破坏的敏感数据,如社会安全号码(social security numbers)和信用卡信息;调整员工自带设备的费用报销制度;修改平等就业机会和反骚扰法规,以免雇主监控等行为干扰个人设备的隐私与正常使用。