Dropbox 事故响应政策和程序

Dropbox 已制定事故响应政策和程序，以解决服务可用性、完整性、安全性、隐私性和保密性问题。我们为事故响应程序设置了专门的团队，他们均已接受以下培训：

• 及时响应潜在事故警报
• 确定事故的严重程度
• 如有必要，执行缓解和遏制措施
• 与相关的内部和外部利益相关者沟通，包括通知受影响的客户，以履行违规或事故通知合同义务并遵守相关法律法规
• 为调查工作收集和保存证据
• 记录事后分析并制定永久性的分类计划

我们按 SOC 2+、ISO/IEC 27001 和其他安全评估对事故响应政策和流程进行审计。

Dropbox 遵循以下标准事故响应生命周期：

1. 发现；
2. 通知；
3. 响应；
4. 评估；以及
5. 纠正操作

在报告影响客户的事故后，无论是由外部操作者还是拥有已授权访问权限的人员造成，都会对影响进行评估，以制定修复已发现问题的操作计划。在适用法律、合同义务或其他适当情况下，Dropbox 会按照 Dropbox 数据处理协议的规定将事故通知客户。

确定为构成事故的问题分为两大类：

1. 操作项，即为降低风险和阻止事故而采取的短期操作；以及
2. 安全问题，指与特定技术或系统相关的长期项目，旨在减轻对安全风险的负面影响。

将操作项分配给整个公司的适当角色，这些角色负责协调以缓解问题，与内部利益相关者沟通，并确保有足够的资源来提供帮助。

当操作计划中的所有活动均已完成时，即可解决问题。

事故得到缓解后，将进行事后分析，以充分了解问题的根本原因，确定操作项和安全问题，并完成所有剩余工作以防止问题再次发生。对事故进行一系列审查，以收集组织各个层面的意见和见解。问题越严重，事故接受的审查级别就越高。将长期工作流程添加到多个短周期和路线图中，并将吸取的经验教训传达给相关团队。

这种分阶段的方法可确保 Dropbox 在正确的时间点专注于最高价值的工作，有助于防止将来出现问题。