Dropbox 事故响应政策和程序
已更新 Aug 10, 2023
Dropbox 已制定事故响应政策和程序,以解决服务可用性、完整性、安全性、隐私性和保密性问题。我们为事故响应程序设置了专门的团队,他们均已接受以下培训:
- 及时响应潜在事故警报
- 确定事故的严重程度
- 如有必要,执行缓解和遏制措施
- 与相关的内部和外部利益相关者沟通,包括通知受影响的客户,以履行违规或事故通知合同义务并遵守相关法律法规
- 为调查工作收集和保存证据
- 记录事后分析并制定永久性的分类计划
我们按 SOC 2+、ISO/IEC 27001 和其他安全评估对事故响应政策和流程进行审计。
Dropbox 遵循以下标准事故响应生命周期:
- 发现;
- 通知;
- 响应;
- 评估;以及
- 纠正操作
在报告影响客户的事故后,无论是由外部操作者还是拥有已授权访问权限的人员造成,都会对影响进行评估,以制定修复已发现问题的操作计划。在适用法律、合同义务或其他适当情况下,Dropbox 会按照 Dropbox 数据处理协议的规定将事故通知客户。
确定为构成事故的问题分为两大类:
- 操作项,即为降低风险和阻止事故而采取的短期操作;以及
- 安全问题,指与特定技术或系统相关的长期项目,旨在减轻对安全风险的负面影响。
将操作项分配给整个公司的适当角色,这些角色负责协调以缓解问题,与内部利益相关者沟通,并确保有足够的资源来提供帮助。
当操作计划中的所有活动均已完成时,即可解决问题。
事故得到缓解后,将进行事后分析,以充分了解问题的根本原因,确定操作项和安全问题,并完成所有剩余工作以防止问题再次发生。对事故进行一系列审查,以收集组织各个层面的意见和见解。问题越严重,事故接受的审查级别就越高。将长期工作流程添加到多个短周期和路线图中,并将吸取的经验教训传达给相关团队。
这种分阶段的方法可确保 Dropbox 在正确的时间点专注于最高价值的工作,有助于防止将来出现问题。