最新消息

相關連結

分享

身分識別和認證

• 如雲端服務有提供的話，應使用嚴謹的認證方式，例如雙重認證，用戶可以使用其本人的特徵（例如指紋）、擁有的憑證（例如數碼證書）和所知的資料（例如密碼）的其中兩項進行認證。
• 帳戶應使用難被猜中的密碼。
• 不同的帳戶應使用不同的密碼。
• 不同的員工應使用不同的帳戶。
• 定期更改密碼。
• 出現人事變動時，應即時刪除有關用戶帳戶或更改密碼。

資料保護

• 了解並記錄儲存於雲端平台上資料的種類。
• 遵從《個人資料（私隱）條例》^[1]以保護個人資料。
• 透過以下途徑避免把資料分享給非預定人士：
  • 如用戶擬透過雲端平台上與他人分享敏感資料，確保只有指定收件人才可存取；
  • 確保任何運行於用戶裝置用作接達雲端服務的應用程式，只可把有關裝置與雲端平台之間的許可資料同步；以及
  • 替檔案或文件夾預設合適的存取權限。
• 了解資料（包括備用副本）的儲存位置（及所屬司法管轄區），並評估不同的法規遵行要求對保安程序是否有影響。

雲端平台管理

• 就雲端服務的使用制訂一套簡單的帳戶政策。
• 制訂簡單的使用政策供員工遵守。
• 指派一名合適的員工（對雲端服務有基本認識）擔任雲端服務管理員。
• 定期檢討員工對雲端平台上資料所擁有的存取權。
• 為使用雲端服務的員工提供基本保安認知培訓。

服務的持續性

• 向服務供應商索取有關服務支援的聯絡資料（特別是保存可以用作通報電腦保安事故的電話號碼清單）。
• 評估雲端服務中斷、資料遺失或資料被他人擅自存取對公司造成的潛在損害。
• 制訂持續業務運作計劃和替代方案，以應對雲端服務停用或資料不能被讀取的情況。
• 擬訂退出策略，確保有關終止程序允許把資料傳送回公司。
• 定期為儲存在雲端服務中的資料備份。
• 為重要資料進行備份至公司，即使服務供應商暫時（例如網絡發生故障）或永久不能提供服務，有關資料仍可供使用。

系統之間的互用性

• 徹底測試各個界面系統，以確保有關系統在遷移到雲端平台之前和之後的互用性。
• 因應各個系統最近對界面規格所作的更新發出提示。

^[1] http://www.pcpd.org.hk/tc_chi/data_privacy_law/6_data_protection_principles/principles.html