業務上的需要,接下來要跟一間APP公司合作
但今天老闆來詢問說,它們幫我們收集資料,那是否安全,
因我不是相關背景的,查詢Google也沒有很詳盡的內容與規範
所以特此想詢問說,不知道是否有一定的規範或是ckecklist
例如:
這個一般公司都會有規範的吧?
通常公司規則會依「產業別」、「公司規則」或「相同性質公司的作業法或規範」
如果單位沒有,那可以參考 CISSP Domain 02
因為最近剛好在準備,所以簡單提供一下筆記(?)
是建議可以參考資料生命週期管理(Information Lifecycle Management)
指得是獲取→使用→存檔→銷毀
在獲取之前,我們會先幫蒐集的資料做分類或分級,訂定機敏性
像說公開、敏感、隱私、機密、未分類、機密、絕密… (由公司管理層自行定義,像說首席隱私長 CPO或首席資安官 CSO 之類的,你不會要求首席執行長CEO來定義這些小事吧…?)
然後針對各分類做分類控制,像說在官方網站資訊,就是公開的,就不用處理;公司內部的通訊錄,算公司隱私,雖然不會直接造成公司損害,但是屬員工隱私,而可口可樂的祕方,就算絕密,流出去的話可口可樂公司就會有實際損失…之類的。
然後負責分類的人就是資料所有者(Data Owner),像說會計部的資料就會由會計經理負責,她想把會機部門的資料放多久,她會更懂得會計產業的相關資料,傳票要存放多久、收據什麼時候可以銷毀掉… 總之後續如果有問題,會由 Data Owner 負責,但一切資料的「最終負責人」,都是會是
CEO 出來負責(上電視道歉?)。
好哦,然後再回來談資料生命週期
獲取資料
通常由其他來源提供,或是經由使用者同意,新增資料開始
收集資料的限制:
為什麼收集?如何處理?哪些單位來保存這些資料?跟哪些單位共享?
有什麼具體的法規定義?…
像說線上金流會符合PCI-DSS 12項,金融產業會需要參考沙賓SOX以提供交易完整性…
使用資料
蒐集來的資料,是必要性的,沒必要使用的資料就不用蒐集了。
並依資料分類做資料保護,並設定存取控管,哪些人可以讀\寫\改…
有什麼方式保護他們的安全?
靜態資料:儲存在硬碟?磁帶?光碟?是否加密或是有什麼限制存取的控管?
傳輸中的資料:是否有加TLS或是IPSec、VPN或隱密通道傳輸?
使用中的資料:有應用程式相關的漏洞,可以透過Buffer Overflow去造成目前執行的異常
存檔\備份資料
應該會需要制定保留政策:
保存什麼?
保存多久?
放在哪裡?
依資料分類確認存取頻率、同步頻率、備份頻率、加密層級及是否即時銷毀…
因為放越久,放越多,成本越高,越不易管理、出事的機率也越高…
備份 3 2 1 原則:
一般性準則(僅供參考):
業務文件:7 年
發票:5 年
應收應付帳款:7年
人資文件:離職 7 年 + 3 年 (未錄取的面談記錄)
稅務相關:繳完稅後 4 年
法律通訊:永久
銷毀資料
這裡的銷毀,是指讓其資料無法再使用,但銷毀之前要先評估銷毀後的影響風險。
覆蓋:刪除、格式化,美國國防部DoD 標準是要格式化7次…
消磁:使用強大磁力讓硬碟磁力失效,有機會救回來。
加密:加密萬無一失(?),但加密的Key要保存好…
物理損毀:物理性破壞
然後,如果公司有稽核會定期來稽查的話,也可以問一下他們的想法…畢竟要符合公司規定…
但在台灣很常以上都是由資訊主管(兼資安官、隱私官、稽核員、系統管理者…)一個人決定這樣…
以上參考 CISSP AIOv7 Domain02…
結果好像越寫越多了… 大概就先這樣惹…
今天老闆來詢問說,它們幫我們收集資料,那是否安全
感覺是第三方APP公司收集、儲存資料,以下建議一些大方向:
首先要知道收集的是什麼資料?這些資料是否在法律、法遵規範下必須受到保護?
再來這些資料對於公司的價值為何?如果資料損失、被駭等等,會有什麼後果?
APP公司是否有相關措施保存、保護這些資料?
即使本身公司有資料生命週期管理(Information Lifecycle Management),但是不一定能要求第三方公司照做,這時候就要仔細評估了。