是否有 ISO 27001 資訊安全管理系統驗證

這個一般公司都會有規範的吧？
通常公司規則會依「產業別」、「公司規則」或「相同性質公司的作業法或規範」
如果單位沒有，那可以參考 CISSP Domain 02
因為最近剛好在準備，所以簡單提供一下筆記(？)

是建議可以參考資料生命週期管理(Information Lifecycle Management)
指得是獲取→使用→存檔→銷毀

在獲取之前，我們會先幫蒐集的資料做分類或分級，訂定機敏性
像說公開、敏感、隱私、機密、未分類、機密、絕密… (由公司管理層自行定義，像說首席隱私長 CPO或首席資安官 CSO 之類的，你不會要求首席執行長CEO來定義這些小事吧…？)

然後針對各分類做分類控制，像說在官方網站資訊，就是公開的，就不用處理；公司內部的通訊錄，算公司隱私，雖然不會直接造成公司損害，但是屬員工隱私，而可口可樂的祕方，就算絕密，流出去的話可口可樂公司就會有實際損失…之類的。

然後負責分類的人就是資料所有者(Data Owner)，像說會計部的資料就會由會計經理負責，她想把會機部門的資料放多久，她會更懂得會計產業的相關資料，傳票要存放多久、收據什麼時候可以銷毀掉… 總之後續如果有問題，會由 Data Owner 負責，但一切資料的「最終負責人」，都是會是
CEO 出來負責(上電視道歉？)。

好哦，然後再回來談資料生命週期

1. 獲取資料
   通常由其他來源提供，或是經由使用者同意，新增資料開始

   收集資料的限制：
   為什麼收集？如何處理？哪些單位來保存這些資料？跟哪些單位共享？
   有什麼具體的法規定義？…
   像說線上金流會符合PCI-DSS 12項，金融產業會需要參考沙賓SOX以提供交易完整性…

2. 使用資料
   蒐集來的資料，是必要性的，沒必要使用的資料就不用蒐集了。
   並依資料分類做資料保護，並設定存取控管，哪些人可以讀\寫\改…

   有什麼方式保護他們的安全？
   靜態資料：儲存在硬碟？磁帶？光碟？是否加密或是有什麼限制存取的控管？
   傳輸中的資料：是否有加TLS或是IPSec、VPN或隱密通道傳輸？
   使用中的資料：有應用程式相關的漏洞，可以透過Buffer Overflow去造成目前執行的異常

3. 存檔\備份資料
   應該會需要制定保留政策：
   保存什麼？
   保存多久？
   放在哪裡？
   依資料分類確認存取頻率、同步頻率、備份頻率、加密層級及是否即時銷毀…
   因為放越久，放越多，成本越高，越不易管理、出事的機率也越高…

   備份 3 2 1 原則：

   1. 至少備份三份
   2. 使用兩種不同形式
   3. 其中一份備份要存放異地

   一般性準則(僅供參考)：
   業務文件：7 年
   發票：5 年
   應收應付帳款：7年
   人資文件：離職 7 年 + 3 年 (未錄取的面談記錄)
   稅務相關：繳完稅後 4 年
   法律通訊：永久

4. 銷毀資料
   這裡的銷毀，是指讓其資料無法再使用，但銷毀之前要先評估銷毀後的影響風險。

   覆蓋：刪除、格式化，美國國防部DoD 標準是要格式化7次…
   消磁：使用強大磁力讓硬碟磁力失效，有機會救回來。
   加密：加密萬無一失(？)，但加密的Key要保存好…
   物理損毀：物理性破壞

然後，如果公司有稽核會定期來稽查的話，也可以問一下他們的想法…畢竟要符合公司規定…
但在台灣很常以上都是由資訊主管(兼資安官、隱私官、稽核員、系統管理者…)一個人決定這樣…

以上參考 CISSP AIOv7 Domain02…
結果好像越寫越多了… 大概就先這樣惹…

今天老闆來詢問說,它們幫我們收集資料,那是否安全

感覺是第三方APP公司收集、儲存資料，以下建議一些大方向：
首先要知道收集的是什麼資料？這些資料是否在法律、法遵規範下必須受到保護？
再來這些資料對於公司的價值為何？如果資料損失、被駭等等，會有什麼後果？
APP公司是否有相關措施保存、保護這些資料？

即使本身公司有資料生命週期管理(Information Lifecycle Management)，但是不一定能要求第三方公司照做，這時候就要仔細評估了。