Dropbox 事故响应政策和程序

已更新 Aug 10, 2023

Dropbox 已制定事故响应政策和程序,以解决服务可用性、完整性、安全性、隐私性和保密性问题。我们为事故响应程序设置了专门的团队,他们均已接受以下培训:

  • 及时响应潜在事故警报
  • 确定事故的严重程度
  • 如有必要,执行缓解和遏制措施
  • 与相关的内部和外部利益相关者沟通,包括通知受影响的客户,以履行违规或事故通知合同义务并遵守相关法律法规
  • 为调查工作收集和保存证据
  • 记录事后分析并制定永久性的分类计划

我们按 SOC 2+、ISO/IEC 27001 和其他安全评估对事故响应政策和流程进行审计。

Dropbox 遵循以下标准事故响应生命周期:

  1. 发现;
  2. 通知;
  3. 响应;
  4. 评估;以及
  5. 纠正操作

在报告影响客户的事故后,无论是由外部操作者还是拥有已授权访问权限的人员造成,都会对影响进行评估,以制定修复已发现问题的操作计划。在适用法律、合同义务或其他适当情况下,Dropbox 会按照 Dropbox 数据处理协议的规定将事故通知客户。

确定为构成事故的问题分为两大类:

  1. 操作项,即为降低风险和阻止事故而采取的短期操作;以及
  2. 安全问题,指与特定技术或系统相关的长期项目,旨在减轻对安全风险的负面影响。

将操作项分配给整个公司的适当角色,这些角色负责协调以缓解问题,与内部利益相关者沟通,并确保有足够的资源来提供帮助。

当操作计划中的所有活动均已完成时,即可解决问题。

事故得到缓解后,将进行事后分析,以充分了解问题的根本原因,确定操作项和安全问题,并完成所有剩余工作以防止问题再次发生。对事故进行一系列审查,以收集组织各个层面的意见和见解。问题越严重,事故接受的审查级别就越高。将长期工作流程添加到多个短周期和路线图中,并将吸取的经验教训传达给相关团队。

这种分阶段的方法可确保 Dropbox 在正确的时间点专注于最高价值的工作,有助于防止将来出现问题。

这篇文章有用吗?

Let us know how why it didn't help:

Thanks for letting us know!

谢谢您的意见!

社区答案

获取帮助的其他方式