ISACA Journal
Volume 5, 2,014 

Translated Articles 

攜用個人裝置(BYOD)如何保證隱私 Privacy Assurance for BYOD 

作者: Ashwin Chaudhary, CISA, CISM, CGEIT, CRISC, CISSP, CPA, PMP 

目前智慧型手機的用戶數預計在 2014 年將達到17.5 億1,而人們為了擁有新發售的最新型個人裝置,仍持續在店家前面排隊或是線上預購。在許多企業組織裏行動運算與攜用個人裝置(BYOD, Bring Your Own Device) 的趨勢正在改革終端使用者的電腦運算方式,人們通常會選擇只攜帶單一個裝置能夠作為工作及個人使用的目的,而企業管理階層則想要的是能增加潛在的生產力與節省成本。

但是在那麼多的優點之外, BYOD 產生了很嚴重的風險,而因為這些風險BYOD 被某些人戲稱是”攜用個人災難(Bring Your Own Disaster) ” 的縮寫。關於BYOD 要注意的主要議題有:

  • 使用者的隱私風險
  • 企業的風險
  • 法律上的議題
  • 保護使用者隱私的積極主動措施
  • 企業稽核保證計劃

使用者的隱私風險

在BYOD 時代,沒有人會否認應該要保證企業安全的需要,但是它的代價卻是使用者(例如:員工、契約人員)的隱私,而使用者對於這些犧牲自身隱私的代價則變得更為顧慮。

使用者不論去哪裡都帶著自己的個人裝置,某些人把個人裝置用於工作是為了能方便的同時處理多項事情, 而另外一些人則發覺他們的個人生活與職業生活卻比他們本來所願意的更為混雜在一起。

由Fiberlink 所支助的一項Harris 互動式調查發現,82%的員工對於雇主能瀏覽存放在他個人裝置上的私人資訊是有顧慮的2。使用者對於自己的個人隱私是有理由去顧慮的,圖一描述一些這種隱私的顧慮。

BYOD 政策裹或許有或許沒有指明雇主何時或多常會實際做這些事,政策裡也可能包含一些模糊的語言讓使用者不確定在哪種情況下雇主會存取他的個人裝置,還有哪些責任會因而加在使用者的身上。

在牽涉所服務企業的法律案件中 (即使該案件只是一個純粹的企業爭端),使用者的個人裝置可能被命令交出來當作訴訟的證據。

舉例來說:一旦同意了BYOD 政策,使用者可能因此就減少了在美國憲法第四條修正案之下對隱私保護之合理的期望。也就是說,同意了雇主的BYOD 政策,可能影響第四條修正案保護使用者免於法律強制搜索與扣押其裝置的程度。因此這修正案關於隱私保護的合理期望就只能適用於個人被搜索的地方了(在這個例子是指裝置)。無論如何,當使用者同意了BYOD 政策允許雇主存取他/她的裝置,他/她因此就喪失了對保護自身隱私的期望。3

企業的風險

BYOD 把原來保持分隔開的兩件事情合併了起來 - 個人生活與職業上的工作。資訊部門仍然需要控制企業組織的資料,因此他們制定了一個類似管理企業組織自有裝置的BYOD 政策,給企業有大的自由度去檢視該裝置以及它是如何被使用。

企業主要的顧慮是在使用者個人裝置上組織資料之機密性,以及當員工離職或裝置遺失時要移除在使用者所擁有裝置上的這些資料。為執行這些控制措施,企業制定BYOD 政策並且使用行動裝置管理(MDM, Mobil Device Management) 工具管理之。

法律上的議題

在隱私權方面,許多國家都制定有法律。因為有越來越多的使用者使用單一行動裝置做為工作及個人目的,有關隱私與BYOD 的法律也跟著浮現。

適用哪個法律是依據雇主的行業特性以及所收集、儲存、使用資料的種類而定,對於某些行業(例如:健康照護與財務金融)則受制於比其他行業更多的法律義務。使用者還可以把權利保障 適用在他/她與律師之間的特許保密通訊以免除公開祕密的義務。對於收集/保留資料、消毀機敏資料、以及保密協定/義務條款的法律、合約義務,也很可能有隱私的顧慮。

違反隱私法律可能導致民事且/或刑事處罰 (圖二)。

一些與隱私有關的法律、規定、以及準則:

  • 美國聯邦貿易委員會(FTC)轄下強制或管理隱私,例如:
    • 美國-歐盟安全港架購(US-EU Safe Harbore Framework)
    • 兒童線上隱私保護條例(COPPA)
    • 為保護消費者的聯邦貿易委員會法 案第三章
    • Gramm-Leach-Bliley 法案 (GLBA)
    • 公平信用報告法案(FCRA)
    • 在公平和凖確信用交易法案 (FACTA)之下的身分盜竊
    • 電話消費者保護法案(TCPA)
  • 美國的健康資訊流通與可歸責性法案(HIPPA)
  • 歐盟的歐盟指令(EU Directives)
  • 加拿大的個人資料保護與電子文件法案 (PIPEDA)
  • 經濟合作及開發組織(OECD)準則
  • 澳洲的隱私法案1988

不久之前,聯邦貿易委員會對幾家有名的公司例如: Google、Facebook、還有Twitter 追訴了侵犯隱私。Google 被命令要支付兩千兩百五十萬美元的民事罰款。

保護使用者隱私的積極主動措施

使用者應該小心的考慮是否使用個人裝置來作為職業上的目的,他們應該徹底的閱讀雇主所提供的BYOD 政策規定,這些政策常常會使用很難了解的法律及技術專業術語。

為減低使用者的隱私風險,以下推薦一些積極主動的措施:

  • 與律師談談、跟人力資源及資訊部門澄清他們的考量、以及考慮是否值得為 使用個人裝置來工作而去承擔任何潛在的隱私傷害。
  • 考慮不要加入BYOD,雖然比較不方便但這 是保持個人裝置上隱私資訊私密的最好方法。評估使用兩個分別的個人裝置之可行性- 一個為工作目的而另一個為個人目的所使用。在個別裝置上把個人活動與職業上的活動分開,明確的限制雇主取得個人資訊。
  • 可以考慮把智慧型手機擬真沙盒化 (sandboxed),就是把應用系統分區的多層次安全機制或者是使用虛擬化科技把不同的作業系統(包含它上面的應用系統)分隔開。有些行動裝置製造商正在進行開發雙作業系統4 的智慧型手機,它可以執行兩個分隔的作業系統 - 一個是客戶的個人手機,而另一個是他/她的工作手機。
  • 所使用的裝置及應用程式(apps)會儲存資訊,因此對於隠私方面的設定要有自覺。個人裝置使用者自己應該要熟悉會影響隱私或安全的所有設定,這些包括(但不限於)藍芽分享、自動連線上網Wi-Fi、用所在位置為依據的服務、各種可用的安全設定。同時也可以考慮裝置上的某些密碼保護應用程式(apps)或功能來限制他人使用自己的裝置。
  • 要備份存在裝置上的個人重要資料(例如:照片、影片、音樂),因為資料可能遺失(如果公司可以從遠端清除裝置上的資料)。這一點只著重在可用性的問題,並沒有解決隱私性的問題。定期從裝置上刪除資料並傳送這些資料到某些更為隱密的地方可以某個程度的解決隱私性問題。把某些資料安全的存放並經常連線可能也比一直放在裝置上有幫助。

企業保證計劃

BYOD 的隱私議題對於使用者來說似乎是長期的,而許多企業組織至今還沒有採用一個完全成熟的BYOD 計劃。BYOD 隱私稽核及保證計劃可以幫助企業組織減低風險,這些計劃必須同時著重保證使用者隱私以及企業安全,否則使用者會迴避安全措施或是拒絕遵守BYOD 計劃。 BYOD 稽核/保證計劃

ISACA 的BYOD 稽核/保證計劃5 是一個工具與樣板,它可以做為完成特定保證作業的路徑圖。這個BYOD 計劃聚焦在風險管理、裝置的組態與安全管理、人力資源、以及使用者訓練,圖三列舉出它的主要議題。

根據ISACA的IT保證架購以及資訊系統稽核與保證標準6,這個計劃包括九個大範圍並涵蓋 BYOD的特定風險、政策、與法務需求。IT稽核與保證專業人士可以在這工作計劃的範圍內著手進行主要的控制項目,並且制定一個客觀的方法來評估實務上這些控制的成熟度。這計劃同時也根據COBIT 4.1提供一個評估指引讓評估人員可以給出從0(不存在)到5(優化)的成熟度評分。只要把BYOD與隱私放入範圍內,根據COBIT架購的BYOD保證計劃就可以成為企業組織整體保證計劃的一部分。

保證隠私的 SOC 2 或 SOC 3
SOC(Service Organization Control) 2 的隠私報告是根據美國會計師事務所學會(AICPA) AT102認證標準與信托服務原則(TSP)、TSP100 的標準與例証、及公認隱私保護原則(GAPP)7, 由美國會計師事務所學會(AICPA)與加拿大特許會計師學會(CICA)共同開發的。其中信托服務原則(TSP)在2014年4月被更新過。關於SOC報告有些關鍵重點需要注意:

  • SOC 2 是一個認證行為,由一個業者對於另一個當事人(報告上所針對的企業組織,例如:委外的服務)所負責的主題進行簽發檢查聲明書的作為。
  • 為了BYOD,SOC 2 可以被選擇性的應用,特別是在專案範圍裡涵蓋隱私一事。公認隱私保護原則(GAPP)可能被應用在整個企業組織,或是選擇性的應用在企業組織的網站 (涵蓋線上蒐集個人識別資訊(PII))。
  • SOC 3 類似 SOC 2,在這裡也只會報告當事人(任何公司,不一定是服務性的公司)關於安全性、可用性、作業正確性、機密性、或是隱私保護是否維持有效地控制它的系統。
  • 根據同一之公認隱私保護原則(GAPP),企業組織可以舉辦一個SysTrust/Web評鑒,而附加由加拿大特許會計師學會(CICA)所頒發的封印。
  • 美國會計師事務所學會(AICPA)的AT601遵循認證標準允許執業會計師(CPA)對當事人只遵循一個特定的法律需求做認證。

企業組織可以把他們的隱私控制措施用法規(例如:健康資訊流通與可歸責性法案 (HIPPA)及Gramm-Leach-Bliley法䅁)來檢驗。目前SOC 2 的Type II可以提供更合理的隱私保證方法如圖四所示。

結論

BYOD的隱私保證計劃應該是企業組織整體稽核/保證規劃的一部分。

對於已經實行BYOD的企業組織,在開發 BYOD政策並實施相關控制時,要考慮隠私方面的法律及風險。

由ISACA與美國會計師事務所學會(AICPA) 所提供的 SOC 2 / SOC 3 保證架購,可以用來積極主動的處理隱私方面的議題。

當資料備份進入雲端之後,我們將迫切的需要一個多方面的稽核方式來整合資訊安全稽核與隠私稽核。美國會計師事務所學會(AICPA)與加拿大特許會計師學會(CICA)已經共同開發了一個隱私成熟度模型8 來幫助企業組織判明隱私保護的成熟程度。有了更嚴格的法規與強制力,未來隱私議題將可以獲取企業組織更多的關注。

Endnotes

1 eMarketer, “Smartphone Users Worldwide Will Total 1.75 Billion in 2014,” January 2014, www.emarketer.com/Article/Smartphone-Users-Worldwide-Will-Total-175-Billion-2014/1010536
2 Kaneshige, T.; “BYOD Privacy: Are You Being Watched?,” CIO, October 2012, www.cio.com/article/717728/BYOD_Privacy_Are_You_Being_Watched_
3 Privacy Rights Clearinghouse, “Bring Your Own Device…At Your Own Risk,” Fact Sheet 40, September 2013, www.privacyrights.org/bring-your-own-device-risks
4 UMPC Portal, “Dual OS Update: Intel, Nolkia, American Megatrends and Why Google Might Not Be Needed,” 1 March 2014, www.umpcportal.com/2014/03/dual-os-update-intel-nokia-american-megatrends-and-why-google-might-not-be-needed/
5 ISACA, BYOD Audit/Assurance Program, ISACA 2012, www.isaca.org/auditprogram
6 ISACA, ITAF, 2nd Edition, 2013, www.isaca.org/itaf
7 American Institute of Certified Public Accountants, Privacy/Data Protection, www.aicpa.org/interestareas/informationtechnology/resources/privacy/Pages/default.aspx
8 American Institute of Certified Public Accountants, Privacy Maturity Model, March 2011, www.aicpa.org/interestareas/informationtechnology/resources/privacy/downloadabledocuments/10-229_aicpa_cica%20privacy%20maturity%20model_finalebook_revised0612.pdf

作者: Ashwin Chaudhary, CISA, CISM, CGEIT, CRISC, CISSP, CPA, PMP, has 30 years of industry experience, with 10 years in digital security governance, assurance and compliance. His contributions to the security community include articles on auditing SCADA networks, IT/OT integration and as an editorial reviewer for the ISACA Journal. He can be reached at [email protected].

譯者: 邵之美,CISA, ISO27001 LA,中華民國電腦稽核協會編譯出版委員會委員


Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 5, 2014 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄 ISACA Journal 2014,Volume 5中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2014 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2014 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal 係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的 ISACA Journal。

ISACA Journal 收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印 ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50 元美金固定費用,每頁收取 0.25 美金。欲複印文章者則需支付CCC 上述費用,並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA 或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.