處理資料外洩事故的實務建議

• 盡快嘗試尋找遺失的文件／便攜式儲存裝置
• 若無法尋回遺失的文件／便攜式儲存裝置，立即通知資料當事人

• 使用特定及設有穩妥拉鏈／鎖扣的袋運送載有個人資料的文件
• 將文件／裝置存放在已上鎖的儲物櫃／抽屜內
• 備有一份記載文件轉移的紀錄
• 在可行的情況下，減少列印文件及改用電子檔案
• 定期安排集中銷毀文件
• 使用便攜式儲存裝置前應先取得管理層的核准
• 安裝流動裝置管理軟件，以便在便攜式儲存裝置遺失時，以遙距方式刪除當中的資料
• 刪除已完成原本收集目的之個人資料

• 切斷被入侵的裝置與互聯網及其他網絡的連接
• 使用防毒軟件為離線的電腦網絡進行掃描。不要理會任何提示你連接互聯網的訊息，若發現任何惡意軟件，依照防毒軟件的指示隔離或移除惡意檔案
• 更改被入侵的裝置／軟件／資料庫／系統的登入資料
• 若發生或有可能發生身份盜竊或其他刑事活動，將事件通報相關的執法部門

• 安裝兩層防火牆及啟用端點保護
• 使用最新的作業系統及防毒程式
• 為所有裝置（包括離線虛擬機器）安裝最新的保安修補程式及病毒識別碼
• 限制單一互聯網規約地址在一分鐘內向用戶登入頁面的請求次數
• 在登入頁面設立 CAPTCHA¹ 驗證碼抵禦暴力攻擊
• 定期進行備份
• 進行網絡分段，將企業網絡劃分為多個子網絡，並為每個子網絡設置特定所需及功能，員工只可按「需要知道」的原則查閱特定區域

1. CAPTCHA 是一個程式產生人類可通過，但現時電腦程式不能通過的測試來保護網站免受機器人攻擊。例如，人類可閱讀扭曲的文字但電腦程式不能閱讀。

• 在可行的情況下，嘗試回收／取回有關電郵／信件
• 若未能回收／取回有關電郵／信件，立即通知並要求非預期的收件者刪除有關電郵／銷毀有關信件

• 採用四眼原則（即由另一員工覆核文件）以確保所有收件者姓名、聯絡資料、內容及／或附件均正確無誤
• 在可行的情況下，使用開窗信封作郵寄用途
• 減少在電郵內載有個人資料的類別
• 停用電郵系統內自動完成清單的功能，防止將電郵發送至相似但錯誤的電郵地址
• 妥善地將檔案命名以如實反映檔案內容，以減少在發送電郵時錯誤夾附檔案的機會
• 使用共享硬碟傳送內部載有個人資料的檔案
• 使用高強度的密碼保護載有個人資料的電郵附件，並透過電郵以外其他方式向收件者提供附件的密碼

• 停用有關員工的帳戶／存取權限
• 若發生或有可能發生刑事活動，將事件通報相關的執法部門

• 安裝資料外洩防護系統／工具以掃描對外發出的電郵，及隔離載有敏感資料（例如香港身份證號碼及信用卡資料）的電郵，在發送有關電郵前須取得管理層的同意
• 只按個案情況、需要使用或職能需要的情況下，准許獲授權的人士查閱個人資料
• 在任何時間將限閱及機密文件鎖上
• 主動檢視系統日誌紀錄以便及早偵測任何異常情況
• 為離職員工帳戶進行資訊科技審計

• 切斷被入侵的裝置與互聯網及其他網絡的連接
• 使用防毒軟件為離線的電腦網絡進行掃描。不要理會任何提示你連接互聯網的訊息，若發現任何惡意軟件，依照防毒軟件的指示隔離或移除惡意檔案
• 更改被入侵的裝置／軟件／資料庫／系統的登入資料

• 不要回應任何要求你提供登入資料或敏感資料（例如銀行帳戶資料）的電郵
• 避免開啟任何可疑的電郵附件
• 小心檢查可疑電郵的域名
• 點撃電郵內的網址前，將鼠標懸停在網址上以檢視其連結網站，確定該連結的真實性
• 安裝反防冒詐騙及反濫發電郵軟件
• 安排員工接受個人資料保安方面的培訓

• 切斷有關程式／系統／平台的存取連接
• 若有關程式／系統／平台由第三者開發／維護，立即聯絡負責的供應商

• 在將程式／系統移至生產環境前，執行測試（包括綜合測試、用戶驗收測試）以核實有關程式／系統
• 定期及在有任何重大變更後，對系統進行漏洞掃描及滲透測試
• 定期檢查是否為檔案及文件夾設置了適當的權限
• 與業界中有良好信譽及紀錄的外判商簽訂合約／協議，有關合約／協議須包含完備的私隱保障要求