Dasar dan prosedur respons insiden Dropbox
Dropbox mempunyai dasar dan prosedur respons insiden untuk menangani isu ketersediaan perkhidmatan, integriti, keselamatan, privasi dan kerahsiaan. Sebagai sebahagian daripada prosedur respons insiden kami, kami mempunyai pasukan khusus yang dilatih untuk:
- Memberikan respons segera kepada makluman tentang kemungkinan insiden
- Menentukan keterukan insiden
- Melaksanakan langkah-langkah pengurangan dan pembendungan risiko, jika perlu.
- Berkomunikasi dengan pihak berkepentingan dalaman dan luaran yang berkaitan, termasuk pemberitahuan kepada pelanggan yang terlibat untuk memenuhi kewajipan kontraktual bagi pemberitahuan pelanggaran atau insiden dan untuk mematuhi undang-undang dan peraturan yang berkaitan
- Mengumpul dan menyimpan bukti untuk usaha siasatan
- Mendokumenkan pascanilai dan membangunkan pelan keutamaan kekal
Dasar dan proses respons insiden akan diaudit sebagai sebahagian daripada SOC 2+, ISO/IEC 27001 dan penilaian keselamatan kami yang lain.
Dropbox mengikut kitaran respons insiden yang standard:
- Penemuan;
- Pemberitahuan;
- Respons;
- Penilaian; dan
- Tindakan pembetulan
Selepas insiden yang memberikan impak kepada pelanggan dilaporkan, sama ada disebabkan oleh pihak luar atau orang yang mempunyai akses yang dibenarkan, penilaian impak dijalankan untuk menghasilkan pelan tindakan untuk membetulkan isu yang dikenal pasti. Jika dikehendaki oleh undang-undang yang terpakai, kewajipan kontraktual, atau sekiranya wajar, Dropbox akan memaklumkan kepada pelanggan tentang insiden seperti yang diterangkan dalam Perjanjian Pemprosesan Data Dropbox.
Isu yang dikenal pasti sebagai sebahagian daripada insiden dibahagikan kepada dua kategori utama:
- Item Tindakan, yang merupakan tindakan jangka pendek untuk mengurangkan risiko dan menghentikan insiden; dan
- Isu Keselamatan, yang merupakan projek dengan jangka masa lebih panjang yang terikat dengan teknologi atau sistem tertentu untuk mengurangkan kesan negatif terhadap risiko keselamatan.
Item Tindakan diberikan kepada peranan yang sesuai di seluruh syarikat yang membuat penyelarasan untuk mengurangkan kesan isu, berkomunikasi dengan pihak berkepentingan dalaman, dan memastikan terdapat sumber bantuan yang diperlukan.
Resolusi dicapai apabila semua aktiviti dalam pelan tindakan diselesaikan.
Berikutan pengurangan kesan insiden, pascanilai akan dijalankan untuk memahami sepenuhnya punca isu, mengenal pasti Item Tindakan dan Isu Keselamatan, dan menyelesaikan sebarang kerja yang belum selesai untuk mengelakkan isu berulang. Insiden akan melalui satu siri semakan untuk mengumpulkan input dan pandangan di pelbagai peringkat organisasi. Semakin teruk sesuatu isu, semakin tinggi tahap semakan yang akan ditumpukan terhadap insiden tersebut. Aliran kerja dengan jangka masa lebih panjang akan ditambah kepada pelan tindakan jangka pendek dan peta hala tuju, dan pengajaran yang diperoleh akan disampaikan kepada pasukan yang berkenaan.
Pendekatan berperingkat ini memastikan Dropbox memfokuskan pada kerja yang mempunyai nilai tertinggi pada masa yang tepat, yang akan membantu mencegah isu pada masa akan datang.
Jawapan komuniti
-
Dikirim oleh: Rustle 1 hari yang lepas18660
-
Dikirim oleh: Miho3 2 hari yang lalu4230
-
Dikirim oleh: Penickart 2 hari yang lalu14120