身分识别和认证

 

  • 如云服务有提供的话,应使用严谨的认证方式,例如双重认证,用户可以使用其本人的特征(例如指纹)、拥有的凭证(例如数字证书)和所知的资料(例如密码)的其中两项进行认证。
  • 帐户应使用难被猜中的密码
  • 不同的帐户应使用不同的密码。
  • 不同的员工应使用不同的帐户。
  • 定期更改密码。
  • 出现人事变动时,应即时删除有关用户帐户或更改密码。

 

资料保护

 

  • 了解并记录储存于云上资料的种类。
  • 遵从《个人资料(私隐)条例》[1]以保护个人资料。
  • 透过以下途径避免把资料分享给非预定人士:
    • 如用户拟透过云上与他人分享敏感资料,确保只有指定收件人才可存取;
    • 确保任何运行于用户装置用作连接云服务的应用程序,只可把有关装置与云之间的许可资料同步;以及
    • 替档案或文件夹预设合适的存取权限。
  • 了解资料(包括备用副本)的储存位置(及所属司法管辖区),并评估不同的法规遵行要求对安全程序是否有影响。

 

云管理

 

  • 就云服务的使用制订一套简单的帐户政策。
  • 制订简单的使用政策供员工遵守。
  • 指派一名合适的员工(对云服务有基本认识)担任云服务管理员。
  • 定期检讨员工对云上资料所拥有的存取权。
  • 为使用云服务的员工提供基本安全认知培训。

 

服务的持续性

 

  • 向服务提供商索取有关服务支援的联络资料(特别是保存可以用作通报计算机安全事故的电话号码清单)。
  • 评估云服务中断、资料遗失或资料被他人擅自存取对公司造成的潜在损害。
  • 制订持续业务运作计划和替代方案,以应对云服务停用或资料不能被读取的情况。
  • 拟订退出策略,确保有关终止程序允许把资料传送回公司。
  • 定期为储存在云服务中的资料备份。
  • 为重要资料进行备份至公司,即使服务提供商暂时(例如网络发生故障)或永久不能提供服务,有关资料仍可供使用。

 

系统之间的互用性

 

  • 彻底测试各个界面系统,以确保有关系统在迁移到云平台之前和之后的互用性。
  • 因应各个系统最近对界面规格所作的更新发出提示。

 

 

[1] http://www.pcpd.org.hk/sc_chi/data_privacy_law/6_data_protection_principles/principles.html

 

 

上一页 页首