
- |
- |
身分識別和認證
- 如雲端服務有提供的話,應使用嚴謹的認證方式,例如雙重認證,用戶可以使用其本人的特徵(例如指紋)、擁有的憑證(例如數碼證書)和所知的資料(例如密碼)的其中兩項進行認證。
- 帳戶應使用難被猜中的密碼。
- 不同的帳戶應使用不同的密碼。
- 不同的員工應使用不同的帳戶。
- 定期更改密碼。
- 出現人事變動時,應即時刪除有關用戶帳戶或更改密碼。
資料保護
- 了解並記錄儲存於雲端平台上資料的種類。
- 遵從《個人資料(私隱)條例》[1]以保護個人資料。
- 透過以下途徑避免把資料分享給非預定人士:
- 如用戶擬透過雲端平台上與他人分享敏感資料,確保只有指定收件人才可存取;
- 確保任何運行於用戶裝置用作接達雲端服務的應用程式,只可把有關裝置與雲端平台之間的許可資料同步;以及
- 替檔案或文件夾預設合適的存取權限。
- 了解資料(包括備用副本)的儲存位置(及所屬司法管轄區),並評估不同的法規遵行要求對保安程序是否有影響。
雲端平台管理
- 就雲端服務的使用制訂一套簡單的帳戶政策。
- 制訂簡單的使用政策供員工遵守。
- 指派一名合適的員工(對雲端服務有基本認識)擔任雲端服務管理員。
- 定期檢討員工對雲端平台上資料所擁有的存取權。
- 為使用雲端服務的員工提供基本保安認知培訓。
服務的持續性
- 向服務供應商索取有關服務支援的聯絡資料(特別是保存可以用作通報電腦保安事故的電話號碼清單)。
- 評估雲端服務中斷、資料遺失或資料被他人擅自存取對公司造成的潛在損害。
- 制訂持續業務運作計劃和替代方案,以應對雲端服務停用或資料不能被讀取的情況。
- 擬訂退出策略,確保有關終止程序允許把資料傳送回公司。
- 定期為儲存在雲端服務中的資料備份。
- 為重要資料進行備份至公司,即使服務供應商暫時(例如網絡發生故障)或永久不能提供服務,有關資料仍可供使用。
系統之間的互用性
- 徹底測試各個界面系統,以確保有關系統在遷移到雲端平台之前和之後的互用性。
- 因應各個系統最近對界面規格所作的更新發出提示。
[1] http://www.pcpd.org.hk/tc_chi/data_privacy_law/6_data_protection_principles/principles.html