iT邦幫忙

0

資訊安全規範詢問

業務上的需要,接下來要跟一間APP公司合作
但今天老闆來詢問說,它們幫我們收集資料,那是否安全,
因我不是相關背景的,查詢Google也沒有很詳盡的內容與規範
所以特此想詢問說,不知道是否有一定的規範或是ckecklist
例如:

  1. 資料儲存地方
  2. 資料儲存方式
  3. 是否有異地備份
    我想的到的問題,只有這些,不知道還有那些是必須要詢問的問題,非常感謝~
註冊單 iT邦新手 5 級 ‧ 2018-09-11 20:15:54 檢舉
你必須要給你老闆這樣的答案
這間公司背景與來歷
經歷過哪些事情是否有負面新聞和背叛案件
規範講講
實際上必須要確保資料安全 例如請對方提供特定帳號與特定權限
密碼由你這邊做更改
更78的老闆每星期固定找廠商來開會
請廠商提供進度
部隊裡面惠要求在鏡頭上面貼貼紙
出門後要檢查再檢查
你懂我的意思了嗎 當個機車的人
webber iT邦新手 5 級 ‧ 2018-09-14 11:20:19 檢舉
收到~非常感謝
0
it268
iT邦新手 5 級 ‧ 2018-09-11 15:55:19

是否有 ISO 27001 資訊安全管理系統驗證

2
虎虎
iT邦新手 4 級 ‧ 2018-09-12 11:45:05

這個一般公司都會有規範的吧?
通常公司規則會依「產業別」、「公司規則」或「相同性質公司的作業法或規範」
如果單位沒有,那可以參考 CISSP Domain 02
因為最近剛好在準備,所以簡單提供一下筆記(?)

是建議可以參考資料生命週期管理(Information Lifecycle Management)
指得是獲取→使用→存檔→銷毀

在獲取之前,我們會先幫蒐集的資料做分類或分級,訂定機敏性
像說公開、敏感、隱私、機密、未分類、機密、絕密… (由公司管理層自行定義,像說首席隱私長 CPO或首席資安官 CSO 之類的,你不會要求首席執行長CEO來定義這些小事吧…?)

然後針對各分類做分類控制,像說在官方網站資訊,就是公開的,就不用處理;公司內部的通訊錄,算公司隱私,雖然不會直接造成公司損害,但是屬員工隱私,而可口可樂的祕方,就算絕密,流出去的話可口可樂公司就會有實際損失…之類的。

然後負責分類的人就是資料所有者(Data Owner),像說會計部的資料就會由會計經理負責,她想把會機部門的資料放多久,她會更懂得會計產業的相關資料,傳票要存放多久、收據什麼時候可以銷毀掉… 總之後續如果有問題,會由 Data Owner 負責,但一切資料的「最終負責人」,都是會是
CEO 出來負責(上電視道歉?)。

好哦,然後再回來談資料生命週期

  1. 獲取資料
    通常由其他來源提供,或是經由使用者同意,新增資料開始

    收集資料的限制:
    為什麼收集?如何處理?哪些單位來保存這些資料?跟哪些單位共享?
    有什麼具體的法規定義?…
    像說線上金流會符合PCI-DSS 12項,金融產業會需要參考沙賓SOX以提供交易完整性…

  2. 使用資料
    蒐集來的資料,是必要性的,沒必要使用的資料就不用蒐集了。
    並依資料分類做資料保護,並設定存取控管,哪些人可以讀\寫\改…

    有什麼方式保護他們的安全?
    靜態資料:儲存在硬碟?磁帶?光碟?是否加密或是有什麼限制存取的控管?
    傳輸中的資料:是否有加TLS或是IPSec、VPN或隱密通道傳輸?
    使用中的資料:有應用程式相關的漏洞,可以透過Buffer Overflow去造成目前執行的異常

  3. 存檔\備份資料
    應該會需要制定保留政策:
    保存什麼?
    保存多久?
    放在哪裡?
    依資料分類確認存取頻率、同步頻率、備份頻率、加密層級及是否即時銷毀…
    因為放越久,放越多,成本越高,越不易管理、出事的機率也越高…

    備份 3 2 1 原則:

    1. 至少備份三份
    2. 使用兩種不同形式
    3. 其中一份備份要存放異地

    一般性準則(僅供參考):
    業務文件:7 年
    發票:5 年
    應收應付帳款:7年
    人資文件:離職 7 年 + 3 年 (未錄取的面談記錄)
    稅務相關:繳完稅後 4 年
    法律通訊:永久

  4. 銷毀資料
    這裡的銷毀,是指讓其資料無法再使用,但銷毀之前要先評估銷毀後的影響風險。

    覆蓋:刪除、格式化,美國國防部DoD 標準是要格式化7次…
    消磁:使用強大磁力讓硬碟磁力失效,有機會救回來。
    加密:加密萬無一失(?),但加密的Key要保存好…
    物理損毀:物理性破壞

然後,如果公司有稽核會定期來稽查的話,也可以問一下他們的想法…畢竟要符合公司規定…
但在台灣很常以上都是由資訊主管(兼資安官、隱私官、稽核員、系統管理者…)一個人決定這樣…

以上參考 CISSP AIOv7 Domain02…
結果好像越寫越多了… 大概就先這樣惹…

webber iT邦新手 5 級 ‧ 2018-09-14 11:21:32 檢舉

感謝大大那麼熱心回覆
你得這篇我會好好收藏的
裡面有太多我不知道的訊息
之後要來好好拜讀一下~
非常感謝

虎虎 iT邦新手 4 級 ‧ 2018-09-14 15:09:55 檢舉

或直接在網路上找CISSP CH02(?)

其實通常主管會要我們做的時候,通常不是看同業,就是問其他系統怎麼做?找顧問或是廠商… ((做錯還有人能背鍋這樣…

如果不是我們能負責的範圍,管理面的決策還是讓專業的人來吧… XDDDDD

1
Sergeyau
iT邦研究生 4 級 ‧ 2018-09-12 13:04:07

今天老闆來詢問說,它們幫我們收集資料,那是否安全

感覺是第三方APP公司收集、儲存資料,以下建議一些大方向:
首先要知道收集的是什麼資料?這些資料是否在法律、法遵規範下必須受到保護?
再來這些資料對於公司的價值為何?如果資料損失、被駭等等,會有什麼後果?
APP公司是否有相關措施保存、保護這些資料?

即使本身公司有資料生命週期管理(Information Lifecycle Management),但是不一定能要求第三方公司照做,這時候就要仔細評估了。

webber iT邦新手 5 級 ‧ 2018-09-14 11:22:49 檢舉

感謝回應~

我要發表回答

立即登入回答