身分識別和認證

 

  • 如雲端服務有提供的話,應使用嚴謹的認證方式,例如雙重認證,用戶可以使用其本人的特徵(例如指紋)、擁有的憑證(例如數碼證書)和所知的資料(例如密碼)的其中兩項進行認證。
  • 帳戶應使用難被猜中的密碼。
  • 不同的帳戶應使用不同的密碼。
  • 不同的員工應使用不同的帳戶。
  • 定期更改密碼。
  • 出現人事變動時,應即時刪除有關用戶帳戶或更改密碼。

 

資料保護

 

  • 了解並記錄儲存於雲端平台上資料的種類。
  • 遵從《個人資料(私隱)條例》[1]以保護個人資料。
  • 透過以下途徑避免把資料分享給非預定人士:
    • 如用戶擬透過雲端平台上與他人分享敏感資料,確保只有指定收件人才可存取;
    • 確保任何運行於用戶裝置用作接達雲端服務的應用程式,只可把有關裝置與雲端平台之間的許可資料同步;以及
    • 替檔案或文件夾預設合適的存取權限。
  • 了解資料(包括備用副本)的儲存位置(及所屬司法管轄區),並評估不同的法規遵行要求對保安程序是否有影響。

 

雲端平台管理

 

  • 就雲端服務的使用制訂一套簡單的帳戶政策。
  • 制訂簡單的使用政策供員工遵守。
  • 指派一名合適的員工(對雲端服務有基本認識)擔任雲端服務管理員。
  • 定期檢討員工對雲端平台上資料所擁有的存取權。
  • 為使用雲端服務的員工提供基本保安認知培訓。

 

服務的持續性

 

  • 向服務供應商索取有關服務支援的聯絡資料(特別是保存可以用作通報電腦保安事故的電話號碼清單)。
  • 評估雲端服務中斷、資料遺失或資料被他人擅自存取對公司造成的潛在損害。
  • 制訂持續業務運作計劃和替代方案,以應對雲端服務停用或資料不能被讀取的情況。
  • 擬訂退出策略,確保有關終止程序允許把資料傳送回公司。
  • 定期為儲存在雲端服務中的資料備份。
  • 為重要資料進行備份至公司,即使服務供應商暫時(例如網絡發生故障)或永久不能提供服務,有關資料仍可供使用。

 

系統之間的互用性

 

  • 徹底測試各個界面系統,以確保有關系統在遷移到雲端平台之前和之後的互用性。
  • 因應各個系統最近對界面規格所作的更新發出提示。

 

 

[1] http://www.pcpd.org.hk/tc_chi/data_privacy_law/6_data_protection_principles/principles.html

 

 

上一頁 頁首