信息安全组织三

　　当使用移动设备（包括笔记本电脑、平板电脑、智能手机登）或远程工作（从家庭或出差地远程访问公司内部网络）时，应特别注意确保业务信息不外泄。移动设备方针应考虑与非受保护环境移动设备同时工作时的风险。当在公共场所、会议室和其他不受保护的区域使用移动计算设施时，要加以小心。应采取保护措施以避免通过这些设备存储和处理的信息未授权的访问或泄露，如使用加密技术、强制使用秘钥身份验证信息、移动设备本身支持的各种安全技术（不允许安装未知来源的APP、启用多因素身份鉴别、移动设备丢失后的远程锁定和敏感数据清除等）。

要对移动计算设施进行物理保护，以防被偷窃或因为疏忽遗失，例如，遗留在汽车和其他形式的交通工具上、旅馆房间、会议中心和会议室。要为移动计算设施的被窃或丢失等情况建立一个符合法律、保险和组织的其他安全要求的特定规程。携带重要、敏感或关键业务信息的移动设备不宜无人值守，若有可能，要以物理的方式锁起来，或使用专用锁来保护设备。

对于使用移动计算设施的人员要安排培训，以提高他们对这种工作方式导致的附加风险的意识，并且要根据风险评估结果实施相应的控制措施。

在允许远程工作时，组织要制定相应的安全方针，定义远程工作的条件和限制。安全方针要包括物理、通信、网络、软件、数据、使用人员、安全技术等方面的要求。这里的远程工作包括了办公室以外的所有形式的工作，包括非传统工作环境比如那些被称为“远程办公”、 “弹性工作场所”、 “远程工作”和“虚拟工作”环境。