裝置安全政策規範
政策範本
- 「裝置」定義為除了筆記型電腦、桌上型電腦以外具有連線功能(Wi-Fi、電信網路、有線網路孔)的設備,例如:手機、平板、Raspberry Pi、電子書閱讀器⋯等。
- 組織所提供的設備必須遵循資訊安全規範進行使用。使用私人設備存取公務資料(包括郵件、文件及內部網路),亦必須遵守相應的資訊安全規範。
- 所有在組織中使用的設備,在使用前(如:員工到職、新設備加入)需完成設備安全檢查。
- 定期更新設備作業系統,以不落後超過三個月的最新版本。如設備已無法更新,請進行設備汰換作業或禁止該設備於組織中使用。
- 定期更新設備持有者名冊(設備編號、型號、持有者),超過使用年限前進行汰換更換作業。
- 硬體設備的建議使用年限為五年。設備使用三年時,需進行註記並安排汰換時程;使用五年後,應進行汰換與更換作業。
- 裝置設備如有儲存空間,需開啟磁碟加密功能,如無法使用完整磁碟加密功能,請透過可加密資料夾軟體放置組織公務資料。
- 無法加密或未加密的設備,請妥善保管,切勿隨意放置於公共場域中。
- 當設備遺失時,應立即通報組織的資訊安全負責人,由其評估是否需要協尋設備及移除該帳號的已登入連線。
- 在設備維修前,無論是組織配發的設備或可存取組織資料的私人設備,都應通報組織的資訊安全負責人,協助進行帳號登出作業。
- 禁止使用及採購中國廠牌資通訊產品(含軟體、硬體及服務),可參考以下廠牌,包括但不限於:杭州海康威視(Hikvision)、華為(Huawei)、深圳大疆創新科技公司(DJI)、普聯技術公司(TP-Link)、廣東歐加控股公司/廣東行動通訊公司(OPPO)、小米集團(MI)、浙江大華技術公司(Dahua)等。
- 外部廠商進行設備維修時,需指派資安負責人在場監督,如因廠商作業需求無法避免使用非大陸廠牌設備,非必要使用時,請關閉其設備的連線功能。
安全建議執行
行動裝置
| 安全檢查 | 優先等級 | 說明細節 |
|---|---|---|
| 加密裝置 | 優先 |
確保裝置資料免於物理方式存取,請開啟裝置加密功能。這也同樣能保護與免於裝置遺失時,他人存取裝置的可能。 |
| 關閉未使用的連線功能 | 優先 |
當你不使用 WiFi、藍芽、NFC、AirDrop 等具有連線能力功能時,請順手關閉。Apple 作業系統也請將連線圖示關閉或調整成灰色圖示狀態(還具有連線但不接受新連線)。 |
| 定位、鏡頭、麥克風 | 優先 |
檢查系統權限設定,取消不需要或不常用的應用程式授權項目,若為可信任應用程式,也請調整為「每次使用時詢問」。iOS:設定、隱私權與安全性、隱私權。 |
| 聯絡人授權 | 優先 |
請額外檢查「聯絡人」、「通訊錄」授權存取的應用程式,取消不需要或不常用的應用程式授權項目。 |
| 安裝應用程式 | 優先 |
應用程式下載與安裝請透過該作業系統提供的應用程式商店進行。 |
| 充電傳輸線 | 優先 |
請勿透過公用充電站進行充電。透過自備或可信任的變壓器進行充電。如電源來自非擁有的筆電,請勿信任該裝置傳輸的授權項目。 |
| 無用的應用程式 | 建議 |
定期移除不需要或不常用的應用程式,避免此類的應用程式於背景擷取資料或已不符合安全更新。 |
| 簡訊 SMS | 建議 |
避免使用傳統簡訊傳遞或接收重要訊息,甚至於接收 2FA 認證。 |
| SIM 卡設定 PIN 碼 | 建議 |
SIM 卡記得更換預設密碼或設定密碼,避免收換 SIM 卡就可取得門號控制權,再取得透過簡訊認證途徑的身分驗證。 |
| 個人化廣告 | 建議 |
退出或關閉個人化廣告設定。 |
| 背景 App 重新整理 | 建議 |
減少背景 App 重新整理,避免資料在不可控的環境下傳輸。iOS:設定、一般、背景 App 重新整理。 |
桌面環境裝置(筆電、桌電)
| 安全檢查 | 優先等級 | 說明細節 |
|---|---|---|
| 加密裝置 | 優先 |
確保裝置資料免於物理方式存取,請開啟裝置加密功能。Windows 開啟 BitLocker、macOS 開啟 FileVault。 |
| 密碼設定 | 優先 |
至少 12 字元,密碼長度優於複雜度、句子型態優於亂數字串。 |
| 定位、鏡頭、麥克風 | 優先 |
如同行動裝置應用程式授權,檢查系統權限設定,取消不需要或不常用的應用程式授權項目,若為可信任應用程式,也請調整為「每次使用時詢問」。Windows:設定、隱私。macOS:設定、隱私權與安全性、隱私權。 |
| 聯絡人授權 | 優先 |
請額外檢查「聯絡人」、「通訊錄」授權存取的應用程式,取消不需要或不常用的應用程式授權項目。 |
| 外接裝置使用 | 優先 |
注意使用 USB、Type-C 裝置與本機裝置的連結。駭客可透過 USB 或 Type-C 裝置連線取得資料或裝置控制權。 |
| 螢幕閒置鎖定 | 優先 |
設定螢幕未使用時鎖定功能,建議設定最小分鐘。即使在熟悉的工作環境下,請養成習慣離開位置即刻鎖定螢幕。 |
| 備份或加密保存重要資料 | 建議 |
除了雲端工作空間的文件儲存,在本機端的資料請使用 VeraCrypt 或 PGP 加密方式保存,切物凌亂保存於「桌面」。 |
| 無用的應用程式 | 建議 |
定期移除不需要或不常用的應用程式,避免此類的應用程式於背景擷取資料或已不符合安全更新。 |
| 桌面應用軟體 | 建議 |
透過安全且注重隱私的瀏覽器使用服務,盡量不要使用桌面版本的應用程式。主要差異在透過瀏覽器可以統一限制安全與隱私保護範圍,透過專屬的桌面應用程式會有權限使用、隱私精準蒐集的問題。 |
| 使用防火牆 | 建議 |
防火牆是可以監控進出裝置的網路流量,可讓你控制哪些應用程式是有必要的進行網路傳輸行為。可參考作業系統內建:Windows、macOS。 |
| Zoom | 建議 |
使用 Zoom 視訊時請透過瀏覽器方式進行,請勿下載其應用程式於工作電腦中。 |
裝置送修、遺失
| 安全檢查 | 優先等級 | 說明細節 |
|---|---|---|
| 加密裝置 | 優先 |
確保裝置資料免於物理方式存取,請開啟裝置加密功能。Windows 開啟 BitLocker、macOS 開啟 FileVault。 |
| 移除登入帳號 | 優先 |
除了移除登入帳號外,也一併清除或刪除所有 cookies,部分服務可透過曾經登入過的 cookies 來恢復帳號登入進行帳號接管。 |
| 裝置遺失 | 建議 |
裝置遺失除了立即通知會內帳戶管理員外,還可以透過其他裝置到 Google 帳號設定、安全性、管理您的裝置中移除遺失裝置的工作階段授權。 |
| 設備交接移轉 | 建議 |
同仁到職或設備轉移其他人時,建議進行還原重置,避免設備已處在不安全的狀態。 |
| 常用帳號 | 須知 |
會內常用服務與帳號:Google、Slack、Trello、Github。特別注意項目:密碼管理器、二階段驗證服務器、Apple ID、Apple 郵件、Apple 行事曆。 |
| 未加密硬碟 | 須知 |
未加密硬碟可透過外接或是 USB 開機後讀取,請勿拿著未加密的硬碟送修,即使已登出所有服務帳號或刪除機敏資訊,都有能力將其機敏資訊恢復。而遺失未加密硬碟是最嚴重的資料外洩行為,請立即進行磁碟加密步驟。 |
檢查表
行動裝置檢查表
| 檢查項目 | 確認 |
|---|---|
| 更新裝置作業系統到最新可支援的版本。 | ☐ |
| 修改裝置密碼為英數混合類型。 | ☐ |
| 加密行動裝置,保護資料免於物理存取。Android:設定、安全、加密。iOS:設定、TouchID 、FaceID 與密碼、啟用資料保護。 | ☐ |
| 關閉地理位置追蹤。不論 Android 或 iOS 預設紀錄你的 GPS 資訊歷史。你可以關閉此功能,Android:地圖、設定、地點歷史。iOS:設定、隱私權與安全性、定位服務、關閉定位服務。 | ☐ |
| 移除或「忘記此網路設定」於未來不會再使用的 WiFi 網路連線設定。 | ☐ |
| 檢視應用程式所取得的授權,取消不需要的授權(相機、麥克風、照片、聯絡人、行事曆) | ☐ |
| 工作事務裝置請勿安裝任何中國出品應用程式與服☐ 務(WeChat、抖音、TikTok)。如已安裝過,請更換裝置或回復到原廠設定後才可處理公務。 | ☐ |
桌面環境裝置(筆電、桌電)檢查表
| 檢查項目 | 確認 |
|---|---|
| 更新裝置作業系統到最新可支援的版本。 | ☐ |
| 密碼長度至少 12 字元且無重複使用。 | ☐ |
| 取消訪客帳號。Windows:控制台→使用者帳戶,取消「訪客/無需密碼即可使用電腦者」的帳戶。macOS:系統設定、使用者與群組、訪客使用者、後方 ℹ︎ 資訊圖示、取消「允許訪客登入此電腦」。 | ☐ |
| 裝置加密。 | ☐ |
| 啟用螢幕閒置鎖定功能。 | ☐ |
| 勿使用商用免費版的防毒軟體。 | ☐ |
| 啟用防火牆。 | ☐ |
| 勿使用中國開發的任何軟體。 | ☐ |
裝置送修、遺失檢查表
| 檢查項目 | 確認 |
|---|---|
| 裝置送修,請備份或上傳重要資料。 | ☐ |
| 裝置送修,登出所有桌面應用程式帳號、登入帳號與清除瀏覽器 cookies。 | ☐ |
| 裝置送修前硬碟請加密或物理卸下硬碟,如硬碟未加密一律移除硬碟後送修或暫緩送修。 | ☐ |
| 裝置送修前,請先告知會內帳戶管理員評估是否進行帳號保護措施。 | ☐ |
| 裝置遺失,請即時通知會內帳戶管理員與告知遺失時間點。 | ☐ |