Dropbox 安全事件應變政策和程序
已更新 Aug 09, 2023
Dropbox 針對如何處理服務可用性、完整性、安全性、隱私性和機密性方面的問題,制定了安全事件應變政策和程序。在安全事件應變程序中,我們設有專責團隊,成員皆受過以下訓練:
- 快速應變潛在安全事件警告
- 判定安全事件嚴重程度
- 必要時執行減輕和遏制措施
- 與內部和外部相關人員溝通,包括根據資料外洩或安全事件通知的契約責任和相關法規通知受影響的客戶
- 收集並保留調查行動的證據
- 記錄事後剖析並制定常設分級計畫
安全事件應變政策和程序會依 SOC 2+、ISO/IEC 27001 和其他安全性評估進行稽核。
Dropbox 遵循以下標準安全事件應變週期:
- 探索
- 通知
- 應變
- 評估
- 修正行動
無論影響到客戶的安全事件是因外部行為者還是擁有存取授權的人員所導致,在回報之後皆會進行影響程度評估,以針對辨識到的問題制定修正行動計畫。在適用法律、契約責任或其他規範容許的情況下,Dropbox 會依照 Dropbox 資料處理協議所述將安全事件情況通知客戶。
在安全事件中辨識到的問題會分為兩大類:
- 行動項目,即可減輕風險並停止安全事件的短期行動
- 安全性問題,是與特定技術或系統相關的長期專案,可減輕對安全風險的負面影響。
行動項目會指派給公司中的適當人員,對方須進行協調以減輕問題、與內部相關人員溝通,並確保相關協助資源。
當行動計畫中的所有活動都完成時,就會解決問題。
安全事件減輕之後,須進行事後剖析徹底瞭解問題根源、辨識執行項目和安全性問題,並完成其餘所有可防範問題再次發生的工作。安全事件會經過一系列的審查,以針對組織中各層級收集數據資料和深入分析。問題越嚴重,安全事件的審查層級就越高。長期工作流會加入短期衝刺和藍圖中,並將吸取到的經驗傳達給相關工作團隊。
這種分階段式的方法可確保 Dropbox 在正確的時間點專注於最高價值的工作,有助於防止日後發生問題。