Du har mange av de riktige ideene i spørsmålet ditt, Chris. Du må begynne å se på policyer på høyt nivå for å skape et rammeverk for å redusere risikoen fra tap av datamaskiner. Vanligvis når jeg skriver policyer og standarder for selskaper, ser jeg på det fra ovenfra og ned og opp og ned:
Hva er målet? dvs. hva ønsker styret? Er det null risiko for at konfidensiell informasjon kommer ut? Er det reduksjon av antall fysiske tyverier? Verdt å kjenne driveren her.
Så må du se på hva som er håndterbart - kan du gi mandat til stasjonære PC-er og Kensingtons for bærbare datamaskiner? Vil retningslinjene dine for bærbare brukere inneholde veiledning om lagring osv. På hotell, midlertidige nettsteder, transitt?
Fra et teknisk perspektiv er det nå relativt trivielt å bruke full diskkryptering, bios passord osv., Men du må lage at det er brukbart i ditt miljø - rammer som trengs for ops-team, IT, helpdesk osv. Det er en av de enkleste måtene å fjerne risikoen for at data lekker, men vær oppmerksom på at papirene fremdeles rapporterer om tap av kryptert maskinvare med vanlig krydret oppover overskrifter, så velrenommert kan du fremdeles føle innvirkningen.
Tenk også på kravene i personalavtaler rundt rapportering av tap / tyveri. Du må gjøre det veldig enkelt for dem å rapportere et tyveri uten å straffe dem, ellers vil du ikke finne det ut i tide.