Dropbox 提供事件回應政策和程序,以便解決服務可用性、完整性、安全、隱私和保密性的問題。針對事件回應程序,我們設立了專責團隊處理,該團隊受過以下訓練:
- 快速應變潛在安全事件警告
- 判定安全事件嚴重程度
- 必要時執行減輕和遏制措施
- 與內部和外部相關人員溝通,包括根據資料外洩或安全事件通知的契約責任和相關法規通知受影響的客戶
- 收集並保留調查行動的證據
- 記錄事後分析並制定應對計劃
安全事件應變政策和程序會依 SOC 2+、ISO/IEC 27001 和其他安全性評估進行稽核。
Dropbox 遵循以下標準安全事件應變週期:
- 探索
- 通知
- 回應
- 評估
- 修正行動
無論影響到客戶的安全事件是因外部行為者還是擁有存取授權的人員所導致,在回報之後皆會進行影響程度評估,以針對辨識到的問題制定修正行動計畫。在適用法律、契約責任或其他規範容許的情況下,Dropbox 會依照 Dropbox 資料處理協議所述將安全事件情況通知客戶。
在安全事件中辨識到的問題會分為兩大類:
- 行動項目:降低風險並阻止事件發生的短期行動;以及
- 安全性問題:與特定技術或系統相關的長期專案,以減輕對安全性風險的負面影響。
行動項目會指派給公司中的適當人員,對方須進行協調以減輕問題、與內部相關人員溝通,並確保相關協助資源。
當行動計畫中的所有活動都完成時,就會解決問題。
在事件緩解後,我們會進行事後分析,以便充分了解問題的根本原因,確定行動項目和安全問題,並完成所有剩餘的工作,以防止問題再次發生。事件會經過一系列審查,以收集組織各層級的意見和見解。問題越嚴重,事件接受的審查等級就越高。長期工作流程會新增至衝刺和藍圖中,並將經驗教訓傳達給適用的團隊。
這種分階段式的方法可確保 Dropbox 在正確的時間點專注於最高價值的工作,有助於防止日後發生問題。
