企业如何制定更完整的BYOD安全战略

成功的BYOD策略应集多种优势于一身，对员工来说应该操作简便、易于实施;对IT部门来说，要能提供有效的安全和管控，并能为每一种现实需要的应用场景制定具体策略，相应问题可以通过几个简单而一致的原则轻松解决。

大多数情况下，IT部门可以考虑如何管理并提供对应用、数据和文件的安全接入，对员工个人设备进行基于角色的管理和配置，避免安全威胁、数据丢失和不合规使用的情况，确保企业安全。当然，不同企业的BYOD策略可能截然不同，具体取决于企业的业务优先级和所担忧的事项;具体策略应与人力资源、财务、法律和IT安全部门进行协商后制定。

1、参加资格

企业应该明确规定允许公司内哪些员工可以使用自己的个人设备，无论是临时使用还是永久性地代替企业设备，或是介于这二者之间。这可以看作是人们可能希望获得的特权、对员工需求的响应、对特定职位上人员的要求，或是为避免某些场景下的过大风险而采取的措施。如何决定哪些员工将参加此类计划?可以根据工作者类型、出差频率、性能或员工是否需要离线接入敏感数据等标准进行判定。然而，参加资格应在通盘考虑的基础上确定，始终应由上层主管决定允许哪些团队成员参加计划，企业还可以建议主管在其它部门奖励、授权和管理计划中实行BYOD。

2、允许使用的设备

传统IT体系架构中应用需要直接安装到终端设备上，IT部门必须从操作系统、应用支持、性能和其它特定的标准方面制定并实施最低要求。在桌面虚拟化模式下，将允许在任何类型的设备上运行完整的Windows桌面和应用，从而避免这些不必要的问题。借助企业移动管理，IT部门可以注册并管理任何设备、检测越狱设备，并对不合规设备、丢失设备、被盗设备或离职员工的设备进行全面或选择性擦除操作。

企业应要求参与BYOD计划的员工通过正常购买渠道购买个人设备，而不是通过公司采购部，这有助于明确地界定设备所有权，并确保参与计划的员工可以和供应商直接建立服务关系。如果公司与供应商有合作关系也可以让员工享受到折扣优惠。还有些人需要在办公室使用显示器、键盘等外围设备作为补充，这时一定要明确地规定每个设备由谁购买，归谁所有。

3、服务可用性

BYOD不一定走要么全有要么全无的极端路线。您应该考虑希望向个人设备提供的具体服务，以及这是否会因具体工作组、用户类型、设备类型及使用的网络而不同。对于希望将应用直接安装在计算机上供个人使用的企业，可以考虑通过MicrosoftSoftwareAssurance服务，为员工提供面向Mac和PC的OfficeProfessional的折扣优惠。这样，许可合规性完全由员工个人负责，企业可避免任何违规风险或责任。

4、发布

BYOD计划制定完毕后，有效的宣传是成功实施的关键。企业应向员工发放指南，帮助他们决定是否参加，以及如何选择适当的设备来满足自身需求。他们还应了解自带设备相关的责任，包括如何接入、使用和保存数据等。工作和业务数据应在个人设备中严格地隔离开来，以满足电子发现(e-discovery)要求和数据保留政策要求;同样，工作邮件也不应通过个人账户发送。

5、成本分担

BYOD的主要优势之一是可节约成本，它允许员工支付各种办公设备的部分或全部成本，使IT不必再为整个所有员工采购并支持越来越多的硬件设备。最近进行的一项调查显示，已经在实施或计划实施BYOD的大多数企业都表示将为使用个人设备办公的员工提供部分甚至全部补贴。通过提供补贴，企业也可以对设备进行一定的管控，61%的受访者表示这是他们提供补贴的主要原因。

参加计划的员工还应知道，补贴将作为个人收入进行扣税。在税率较高的地区，可能需要增加补贴额度，使得所有计划参与者获得的补贴数额一致。不管有无成本分担，任何BYOD政策都应明确规定由谁负担企业防火墙之外的网络接入费用，包括3G网络、公共Wi-Fi、家庭宽带等。

成本分担对企业实施BYOD计划有很大影响。一次性同时实施可能会增加成本，因为会有大量员工在终端设备更新周期满时同时提交补贴申领请求，可考虑在设备生命周期结束时再发放补贴。而不提供补贴的企业可以从一开始就鼓励大量员工同时参与。

6、安全性和合规性

不少CIO担心，IT的进一步消费化会大大增加业务风险，这一担心不无道理。将应用直接安装到非企业设备上会增加风险，基于企业移动管理、Windows应用和桌面虚拟化以及安全文件共享的BYOD计划可有效管理并降低风险。所有业务信息都安全地保存在数据中心，只有在绝对必要的情况下才保存到终端设备中。确实需要在终端设备中保存数据时，数据可以通过隔离、加密和远程擦除机制受到有效保护。为防止数据泄露，IT部门可以实施策略来禁止打印，或接入本地硬件、USB存储设备等客户端存储设备。参与计划的员工还应确保在自己的终端设备中正确安装并及时更新防病毒/防恶意软件程序。

利用基于设备所有权、状态或地点的策略，就可以控制、保护并管理通过移动设备进行的应用和数据接入。IT部门可以注册并管理任何设备、检测越狱设备，并对不合规设备、丢失设备、被盗设备或离职员工的设备进行全面或选择性擦除操作。通过应用隧道进行的安全应用接入、黑名单、白名单和环境感知的动态策略可确保应用的安全。

7、设备支持和维护

因为用户也是设备的所有者，所以BYOD计划通常可以减少每台设备所需的维护工作量。尽管如此，BYOD政策应明确规定，各种支持和维护工作由谁完成，相关费用由谁承担。用个人设备取代企业终端设备时，员工对IT支持的期望可能会更高;但是，企业应对此做出明确规定，避免给IT部门带来更高的复杂性和更繁重的工作负担。