ss 网络上网应用 如何确保你的信息是否安全?

数据恢复设计到的法律问题

在很多工业部门,除了公众和审计需求之外,对于灾难恢复还有法律上的要求。美国政府已经颁布了法律和有关规定,要求公司制定大范围的应急计划和采取相关措施。另外,佛罗里达州和马里兰州已经通过法律,要求某些工业部门提供灾难恢复能国的说明。其他很多州也正在酝酿有关应急计划的立法。读者可以咨询计算机和商业法律方面的律师来了解各个地区在这方面的具体规定。法律是对数据恢复和备份合法性有利的保护措施,只有在正规的环境下才能使数据备份和恢复的作用得到良好的效果。

数据恢复业务面对的用户各行各业,形形色色。可能涉及的数据内容和重要性,上至国家机密,下至个人隐私。因此,要注意把握很多保密和安全性层面上的问题。常规的做法是,从接待用户的那一刻起,就要向用户明示保密承诺,而一旦进入服务流程,第一件事也是签署带有某种保密协议条款的业务流程工作单。通常,保密承诺和保密协议条款,至少要包括以下几个方面的内容。

1、数据恢复用户名称保密

用户名的保密是确保数据恢复的首要任务,除非已预先获得用户某种确切和实物方式的许可,前来寻求数据恢复服务的用信息,如名称、单位、送修时间、紧急程度等,无论是否接收该项业务,也无论成功与否,所有信息一律视为保密信息,不得在任何公开场合以任何明示方式加以使用。

2、数据恢复业务细节保密

所经手的业务,其某些技术细节,如数据存储的设备类型、应用场合、数据内容、破坏方式、严重程度、修复的技术、成功的结果等,除非获得用户实物许可,一律不得以任何明示的方式(最为常见的是以“成功案例”的方式),予以公开或泄露。

3、恢复数据操作期间保密

在用户送修设备进入数据恢复操作流程之后,任何部分或全部的恢复成功的数据内容,除用户或其授权的代表可以查看、验证恢复效果以外,其他任何人无权接触上述已成为“显式”的用户数据,包括操作工程师,亦不得深入了解和阅读其中内容,更不能向他人以任何方式泄露。

4、数据交付之后保存期间

如果是到用户所在的现场提供服务,通常恢复成功后的数据,因为不再需要经过异地运输,数据恢复操作者不提供保存服务,也不承担保存相关的义务,如安全和保密等。相反,如果是用户从异地送到操作者所在地进行恢复,成功后需要把恢复出来的数据经过转储和转运(如快递、邮递、携带等),有可能到达用户现场期间再次因故发生损失,可以将成功恢复的数据备份。那么,这种用户上门(而不是上用户门)的数据恢复,并且要与用户商定(或事先在格式协议中约定好)一个合理的数据保存期限,并承诺和做到,在此期限内,要保证数据的完好和保密,而一旦到期或过期,则会把用户的数据进行可靠的善后处理。如果用户自己上门来取数据,没有特别声明与约定,则勿需提供数据暂存。

5、其他的责任和义务

还有一些问题,如是否预收保证金?是否收取检查费用?收费的标准?最后产生的收费额度超出预估和报价时的协商和确认办法,对于数据恢复操作中以恢复数据为目的,而可能出现的导致保修失效,甚至在逻辑和物理层面上对用户送修设备可能会发生的破坏和后果,等等,都要尽量加以事先说明和界定,并在工作流程单中予以书面确认。

再有很重要的一点,就是要把数据恢复操作的前提说明,写在工作单中。例如是工作在克隆映像文件上(物理的?还是逻辑的?),还是直接工作在用户设备上,进行了哪些恢复的操作例程(具体操作步骤),这些例程的详细解说是否为有据可查的文档?总之一个目的,就是为了说明数据恢复的操作,是否在客观上形成使用户送修的设备更加变坏,更难处理,甚至造成无法挽回的影响等潜在威胁。

有时候还会碰到一些突发的情况,例如某些重要或特殊用户可能会在提交服务申请之前,提出并需要确认和满足的特别要求,比如安全的特别保证,用户现场监视,时间上的紧急要求,场所上的要求上门或到现场服务等,不一而足。对于这些个别的要求,要认真加以判断和识别,凡是合理的正当的都应当尽量予以满足,但为了避免纠纷和做到有据可查,要尽量对这些新的细节要求加以书面记载和描述,作为工作单的附件双方认可。
    目前来看,市场上一些提供数据恢复业务的单位和个人,都有关于保密的承诺,但具体内容一般说来都过于模糊和笼统,界定不清,语义含混,真正出现纠纷的时候,并不能起到保护双方各自合法权益的作用。例如绝大多数只有这样一句话:“对客户的数据严格保密。数据恢复在专业实验室中进行,确保数据安全。”或者“对于需要对硬盘内容保密的特殊客户,我公司可与客户签定数据保密协议”等。这一点,需要特别加以重视和认真考虑