EN

6 分钟 2021年3月26日

在家工作安排和数据安全

作者
朱静文 Rossana Chu

管理合伙人

直线︰+852 2629 1768 | 手机︰+852 9733 6010 | rossana.chu@eylaw.com.hk

陈政康 Jacky Chan

律师

直线︰+852 2675 2167 | 手机︰+852 9359 1116 | jacky-ch.chan@eylaw.com.hk

6 分钟 2021年3月26日
Related topics 最新视野

在2019冠状病毒疫情期间,在家工作安排相当普遍。为此,机构和员工经常通过家居网络和个人电子装置查阅或传送数据和文件,而该等途径的安全程度往往比机构的网络和设备弱,从而增加了数据安全和个人信息隐私的风险。我们将于本文探索机构和员工可用以管理此类风险的实用方法。

为员工提供足够指引和培训

家工作安排对于很多机构而言都是全新的安排,因此机构应评估数据安全和员工个人信息隐私方面的风险,制定适当的保障安排。这种评估可从以下的现有政策和常规的仔细审查开始:

  1. 将信息和文件从机构移到处所和其他网络的安排;
  2. 遥距连接机构网络和存取信息的安排;
  3. 删除和销毁非必要的信息的安排;以及
  4. 信息外泄事故的处理。

此外,机构应就下述方面分配资源回答员工对于在家工作安排的提问及提供培训和支援:(1)保障数据安全的方法,例如密码管理、信息加密和Wi-Fi的安全使用,及(2)警惕网络安全威胁和趋势,例如网络钓鱼、恶意软件和电话骗案。

在家工作安排的基本原则

员工应遵守雇主对于处理数据(包括个人信息)的政策,并采取合理可行的步骤确保数据安全,尤其于在家工作时运用信息和通信科技或转移数据和文件的情况下。

当员工在在家工作期间需要遥距连接机构的网络及/或把电子和纸本文件带回家工作,他们应采取以下步骤以确保数据安全:

  1. 设定高强度密码,定期更改密码和在不同的电子装置和帐户使用不相同的密码;
  2. 不在机构的装置上安装个人设备(例如个人USB记忆体),因为个人设备存有恶意程式或保安漏洞的机会较高;
  3. 若需使用便携式储存装置传输和储存信息,将装置内的信息加密;
  4. 不与家人共用机构的装置或文件;
  5. 不使用时关掉或锁上电子装置;以及
  6. 在遗失机构的装置时立即通知雇主。

公共场所和Wi-Fi

一般而言,员工应避免在公共场所工作,以免意外地将个人信息或机密信息泄露给其他人。可是,如果此情况无可避免,员工应使用防窥滤片以保障电子装置的屏幕上所显示的信息。

员工应避免在工作上使用公共Wi-Fi。如因工作原因而需要连接到互联网,可使用移动电话的热点分享功能。员工应考虑以下步骤以加强使用Wi-Fi时连接的安全:

  1. 采用最新安全协定,例如 WPA3 或 WPA2 以加密传输的信息及抵御攻击;
  2. 不使用Wi-Fi路由器预设的登入名称及密码;
  3. 为Wi-Fi网络设定高强度密码和定期更改密码;
  4. 及时更新Wi-Fi路由器的固件;以及
  5. 定期检视连接至Wi-Fi网络的电子装置,以便识别和移除可疑装置。

电子通讯和纸本文件

为了确保电子通信的安全,员工应:

  1. 避免使用个人电邮帐户或个人即时通信程序工作;
  2. 只用机构的电邮帐户传送和接收与工作有关的文件和信息;
  3. 将包含个人信息和限制信息的电邮及/或附件加密;
  4. 发送电邮和即时信息前小心检查收件人的名字,尤其当电邮和信息包含个人信息和限制信息;以及
  5. 提防钓鱼电邮及恶意电邮,不要点击可疑链结或开启可疑文件。当收到可疑电邮和信息时透过其他渠道(例如电话)核实信息的真伪。

如员工需要把纸本文件带回家工作,应采取以下步骤:

  1. 取得上司的批准;
  2. 在可行的情况下,离开机构场所前先将纸本文件中的个人信息、限制信息和其他非必要信息遮盖或移除;
  3. 备存已带回家的文件的清单;
  4. 在携带纸本文件的途中额外小心;
  5. 在家把纸本文件锁进一个安全的储物柜或抽屉,以防止未经授权的查阅;
  6. 把不需要的纸本文件尽快返还机构;以及
  7. 不在家里弃置包含个人信息或限制信息的工作文件。这些文件应按照既定步骤在机构场所内销毁。

视像会议

在2019冠状病毒疫情期间,举行视像会议很快地已经成为新常态,但是,逐渐普遍的视像会议软件可带来数据安全和个人信息隐私的新风险。

机构应检讨和评估不同视像会议软件和应用程序在数据安全和个人信息隐私方面的政策和措施,以选择符合要求的软件和程式,并应采取以下的标准保安措施:

  1. 妥善管理帐户、设定高强度密码和定期更改密码;如视像会议软件提供多重身份认证的话,启用有关功能;
  2. 确保视像会议软件是最新版本,并安装最新的保安修补程式;以及
  3. 连接安全可靠的网络以进行视像会议。

会议主持人应:

  1. 为每个会议设定独特的会议登入编号、高强度和独特的密码,并只向参与者提供会议登入编号和密码,如可行的话,以不同方式(例如电邮和短信)提供有关登入信息;
  2. 在可行情况下,除负责主持会议的人外,多安排一位副主持人在视像会议期间处理行政、技术和其他突发事件;
  3. 使用虚拟等候室功能,在允许参与者加入会议前先核实他们的身份;
  4. 在所有参与者进入会议后将会议“锁上”,防止其他人士擅自加入会议;
  5. 只允许需演讲的参与者分享屏幕和文件;
  6. 如需录下会议,在开始录像前明确通知参与者并取得他们的同意,并禁止其他参与者在会议期间进行录像;以及
  7. 安全地储存所有与会议相关的纪录(例如会议的录像和参与者的对话信息),例如以密码或加密方式保护的方法,并在不再需要有关纪录时尽快删除。

同时,参与者应采取以下措施保障自己的个人信息隐私︰

  1. 留意自己身处地方的背景,因为背景可能被拍摄到,从而将一些个人信息或敏感信息透露给其他参与者。如有需要可使用虚拟背景;
  2. 在无需发言时暂时关闭麦克风,甚至摄录机;
  3. 在可行的情况下尽量避免在视像会议期间讨论个人或敏感信息;以及
  4. 在分享屏幕前关闭非必要的文件和视窗(例如电邮、包含机密信息的Word文件),以免被其他参与者看到敏感信息。

关键点

机构和员工应在在家工作期间留意有关数据安全问题和个人信息隐私的风险, 如同在机构场所工作。

结语

我们将于本文探索机构和员工可用以管理此类风险的实用方法。

关于本文

作者
朱静文 Rossana Chu

管理合伙人

直线︰+852 2629 1768 | 手机︰+852 9733 6010 | rossana.chu@eylaw.com.hk

陈政康 Jacky Chan

律师

直线︰+852 2675 2167 | 手机︰+852 9359 1116 | jacky-ch.chan@eylaw.com.hk

Related topics 最新视野