【資訊安全】金融機構運用新興科技作業規範（Part 4）

本文接續上一篇文章，繼續介紹《金融機構運用新興科技作業規範》（以下簡稱「作業規範」）。

第四條 自攜裝置安全控管
一、自攜裝置係指非屬公司資產、透過該裝置以無線或有線通訊方式連接至銀行內部網路，存取作業系統或檔案服務。

第四條談到自攜裝置（Bring Your Own Device，簡稱「BYOD」）的安全控管原則。第一項是自攜裝置的定義，如果裝置（例如手機）是員工私人物品，而且該裝置可以連接到內部網路，則屬於自攜裝置，常見的例子像是員工透過私人手機閱讀公司郵件。如果該裝置是由公司配發（例如銀行提供開發單位測試用手機），就不屬於自攜裝置。

考慮到自攜裝置一般都指手機，本文的舉例也以手機為主！

二、應制定自攜裝置管理政策，至少每年檢視一次。

第二項要求銀行制定自攜裝置管理政策，並且每年檢視一次。對於不開放使用自攜裝置的銀行，可能會直接引用作業規範的內容。建議評估人員向受評機構徵求自攜裝置管理政策，確認銀行是否依據現行作業規範修訂政策。

三、應列出允許使用之自攜裝置類型、作業系統、應用系統或服務。

第三項規範銀行要列出允許使用的自攜裝置類型（例如手機、平板電腦、筆記型電腦等）、作業系統（例如Android、iOS、Windows、macOS）、應用系統或服務（例如email、VPN軟體）。一般來說，銀行會在自攜裝置管理政策中提供上述資訊。建議評估人員在檢視管理政策時，特別留意有無列出相關資訊。

四、對自攜裝置所採取之相關措施，應先取得裝置持有者同意，以避免爭議。

第四項要求銀行如果要對自攜裝置施加管理措施，應先取得裝置持有者同意，畢竟自攜裝置屬於私人財產，自然得先取得當事人同意。實務上，行員要使用自攜裝置的話，會先填寫申請單，申請單上應揭露使用條款。建議評估人員向受評機構索取相關申請紀錄，確認有無申請人的同意。

五、應列冊管理使用人員與裝置，至少每年審閱一次。

第五項規範銀行應列冊管理自攜裝置，清冊包含使用人姓名及裝置資訊（例如第三項提到的類型、作業系統等），並且每年檢視一次。建議評估人員索取自攜裝置管理清冊，以及清冊檢視/盤點紀錄。

對於熟悉資訊安全管理制度的人來說，面對任何種類的資訊資產時，應該直覺地想到資產盤點。相同的觀念也反應在主管機關法規中，例如《金融機構使用物聯網設備安全控管規範》也提到要列冊管理物聯網設備。

六、應建置使用人員身分與裝置識別機制（如帳號密碼識別、裝置識別碼）。

第六項要求銀行建立識別機制，確認存取內部網路的人員及裝置為何，而且使用人員身分應與裝置相互勾稽。建議評估人員透過訪談瞭解受評機構的實際做法。

七、應制定自攜裝置連網環境標準，如未符合標準（如作業系統疑似遭破解或提權、未安裝病毒防護、重大漏洞未修復），應限制其連網功能。

第七項是關於自攜裝置的安全管理方式，銀行應定義安全標準（例如安裝防毒軟體），如果自攜裝置未達標準的話，則限制連網功能。例如銀行透過行動裝置管理系統（MDM）監控行動裝置的連網環境。如果銀行不使用解決方案的話，應建立定期檢查機制（例如定期要求提供筆記型電腦的病毒碼更新/掃描結果截圖）。

八、應建置自攜裝置資料保護措施（如資料加密或遮罩），並採取適當之存取管制。

第八項是資料保護措施，如果有使用行動裝置管理系統的話，通常會替裝置建立一個安全區域，並針對安全區域內的資料進行加密。

九、應制定自攜裝置遺失處理程序。

如果員工遺失自攜裝置的話，應立即通報管理單位進行處理，理想上應刪除裝置上的資料，確保資料不外洩，常見的處理方式像是透過行動裝置管理系統遠端鎖定或移除資料。

讀者可能覺得好奇，為何頻繁提到管理系統？主要原因是部分法規要求（例如第八、九項）比較難建立人工控制點，試想：要如何針對儲存在手機上的資料進行加密？當然如果讀者有相關經驗可供分享，歡迎在下方留言，謝謝！