作者webber1984 (阿浪)
看板MIS
标题[请益] 资讯安全规范询问
时间Tue Sep 11 14:25:29 2018
业务上的需要,接下来要跟一间APP公司合作
但今天老板来询问说,它们帮我们收集资料,那是否安全,
因我不是相关背景的,查询Google也没有很详尽的内容与规范
所以特此想询问说,不知道是否有一定的规范或是ckecklist
例如:
1:资料储存地方
2:资料储存方式
3:是否有异地备份
我想的到的问题,只有这些,不知道还有那些是必须要询问的问题,
非常感谢~
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 140.119.78.38
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1536647131.A.921.html
1F:→ konkonchou: 蒐集资料使用另外还有个资法的问题 09/11 14:43
收集的资料是公司内部资料,无关个资问题
※ 编辑: webber1984 (140.119.78.38), 09/11/2018 14:55:08
2F:推 leaderliu: 签保密切结吧 09/11 15:14
已签过,但我举例的问题你会不会好奇吗?
※ 编辑: webber1984 (140.119.78.38), 09/11/2018 15:51:31
3F:→ blackhippo: 贵公司是否有完善的资料政策.是否会有导致我方客户资 09/11 16:17
4F:→ blackhippo: 料外泄的危险性 09/11 16:17
5F:→ webber1984: ISO 27001 资讯安全管理系统验证(给各位参考) 09/11 17:52
6F:推 olycats: 可能也要考虑应用系统的层面 或甚至网路架构? 09/12 00:38
7F:→ olycats: 举例来说程式的写法 是否会让系统容易入侵 可参考OWASP 09/12 00:39
8F:推 miacp: 如果他有收公司内部员工个人资料,那就有个资问题喔。 09/12 11:09
9F:→ miacp: 问你们公司主管资安跟个资政策的部门,用你们公司的标准去 09/12 11:10
10F:→ miacp: 看的话对你比较没责任,如果你们公司没有相关规范,那麽... 09/12 11:11
11F:→ miacp: 用iso27001下去看你会要花超多时间,因为相关机制都没建立 09/12 11:13
12F:推 eric00169: 27001可以挑选你觉得需要的部分就好... 09/12 14:15
13F:推 aleeon: 资料使用范围 接触者 泄漏条款 09/13 01:22
14F:推 goodga: 是收集data还是file? 差很多 09/13 11:38
15F:推 a9601268787: 小弟做资安技术的 ISO这种制度没办法验证技术问题 09/13 21:54
16F:→ a9601268787: 证据都可以造假事後补 建议你还是送专门检测单位验 09/13 21:54
17F:→ a9601268787: 证吧 09/13 21:54
18F:→ a9601268787: 很多App都非常不安全 要送去做渗透才知道厂商有没有 09/13 21:56
19F:→ a9601268787: 做好 09/13 21:56
20F:推 now99: 反编译混淆,凭证绑定,client加密存放 09/14 00:48