最新消息

友情链接

分享

身分识别和认证

• 如云服务有提供的话，应使用严谨的认证方式，例如双重认证，用户可以使用其本人的特征（例如指纹）、拥有的凭证（例如数字证书）和所知的资料（例如密码）的其中两项进行认证。
• 帐户应使用难被猜中的密码
• 不同的帐户应使用不同的密码。
• 不同的员工应使用不同的帐户。
• 定期更改密码。
• 出现人事变动时，应即时删除有关用户帐户或更改密码。

资料保护

• 了解并记录储存于云上资料的种类。
• 遵从《个人资料（私隐）条例》^[1]以保护个人资料。
• 透过以下途径避免把资料分享给非预定人士：
  • 如用户拟透过云上与他人分享敏感资料，确保只有指定收件人才可存取；
  • 确保任何运行于用户装置用作连接云服务的应用程序，只可把有关装置与云之间的许可资料同步；以及
  • 替档案或文件夹预设合适的存取权限。
• 了解资料（包括备用副本）的储存位置（及所属司法管辖区），并评估不同的法规遵行要求对安全程序是否有影响。

云管理

• 就云服务的使用制订一套简单的帐户政策。
• 制订简单的使用政策供员工遵守。
• 指派一名合适的员工（对云服务有基本认识）担任云服务管理员。
• 定期检讨员工对云上资料所拥有的存取权。
• 为使用云服务的员工提供基本安全认知培训。

服务的持续性

• 向服务提供商索取有关服务支援的联络资料（特别是保存可以用作通报计算机安全事故的电话号码清单）。
• 评估云服务中断、资料遗失或资料被他人擅自存取对公司造成的潜在损害。
• 制订持续业务运作计划和替代方案，以应对云服务停用或资料不能被读取的情况。
• 拟订退出策略，确保有关终止程序允许把资料传送回公司。
• 定期为储存在云服务中的资料备份。
• 为重要资料进行备份至公司，即使服务提供商暂时（例如网络发生故障）或永久不能提供服务，有关资料仍可供使用。

系统之间的互用性

• 彻底测试各个界面系统，以确保有关系统在迁移到云平台之前和之后的互用性。
• 因应各个系统最近对界面规格所作的更新发出提示。

^[1] http://www.pcpd.org.hk/sc_chi/data_privacy_law/6_data_protection_principles/principles.html