推行及维持一个稳妥的保安架构

随着从保安风险评估过程中取得风险评估结果，资讯保安管理周期便进入推行及维持的阶段，以推行适当的保安防护措施来维持一个稳妥的保安架构。这包括制订保安政策和指引、委派保安职务，以及推行技术及行政上的保安防护措施。所有这些步骤均大大有助保卫你的业务资产。

制订及推行保安政策

保安政策乃就资讯保安设定基本守则。这些守则是强制性的，及必须由整家机构的人员遵守。由于每家机构的保安需求均有不同，故其保安政策亦会各异。因此，最重要是保安政策应合乎该机构的保安需求、业务目标和业务政策，才可得到支持和落实施行。

事实上，保安政策可以非常高层次而跨越个别科技界限，又或非常详细而特指某一科技界限。保安政策可以分为三个基本类别：

程式层面政策

问题特定政策

系统特定政策

系统特定政策着眼于管理某一特定系统的政策问题。它只会处理一个系统，而程式层面政策及问题特定政策两者则会处理广泛层面上的问题，通常包含整家机构。

选择制订哪一种保安政策乃视乎你机构的需要。然而，最重要的是政策必须定出方向，以作为作出其他较低层次决策时的基础。

保安政策制订周期概略

界定计划范围和部署

收集资料

构建保安政策架构

制订政策陈述

推行、宣传及加强执行保安政策

定期覆检及评估

资讯科技保安政策应涵盖公司对可以适当使用其电脑及网络资源的预期，以及防止和应付保安事故的程序。在草拟政策时，应要考虑公司本身的保安需求。草拟政策时应考虑以下范畴：

公司目标及方向

现行政策、守则、规条及香港特区政府的法例

公司本身的要求和需要

推行、分发及加强执行事宜

你可参考一些资讯保安良好作业模式、指引及有效保安作业实务的指引。部分标准、指引及守则只提供英文版本。

制订及推行管理及行政程序

制订及推行管理及行政程序根据保安政策所定的方向和范围，便可设定管理及行政程序来支持政策的推行。

这里是部分主要的管理及行政活动。

委派任务及职责

制订资讯科技保安政策需要来自多个职位及职务单位人士的积极支持和持续参与。因此，在保护公司资讯及系统资产时，必需明确界定责任及适当委派职责，并会视乎业务需要和环境而涉及以下职务：

资讯科技保安主任

高级管理人员

资讯拥有人

资讯系统用户

指引及标准

指引及标准是推行保安政策的工具。由于政策可能在一个广泛的层面上拟订，故必需制订有关标准、指引和程序，以给予用户、管理人员、电脑人员及高层管理人员一个较为清晰的方法去推行保安政策及达成部门的任务。

保安认知和培训

保安认知对确保有关各方面能了解风险、接受和采纳良好保安作业实务是十分关键的。培训和教育可以为用户、制订人员、系统管理人员、保安管理人员及任何有关方面，提供推行保安措施所必需的技术和知识。

除非用户或有关方面作出承诺和进行沟通，否则没有政策可以落实推行。这是指用户及有关方面：

已透过简报或介绍会得悉有关政策；

已获邀参与制订政策建议书；

已跟从政策所需接受的技术培训；

觉得保安措施是为他们的利益而制订；

定期提醒、注意及获知最新的问题；

已签署确认；

及已获得适量的政策指引

落实执行

这是指施行来自推行政策的权力，以及纠正侵犯此等权力的工作。公司应设定程序，为调查破坏保安系统的事宜上提供及时的协助。成立公司事故管理小组和设定保安事故处理程序，均能改善保安政政策的效用。

各方的持续性参与

一个有效的保安政策亦有赖用户与公司之间持续性地交换资料、谘询、协调和合作。从有关方面引入标准、方法、业务守则及资讯科技其他方面的专门知识，将有助保持保安政策追上时代和切题。

选择及推行技术措施

除了管理和行政过程外，推行保安政策可能涉及技术措施的使用，透过选择和推行合适技术和产品。技术措施应在正式操作前接受适当的测试

选择及推行

抗恶意软件

接达控制系统

防火墙

入侵侦测系统

加密技术

密码匙的管理及密码匙分发系统

网络管理系统及保安管理系统

操作

操作采取适当程序来处理问题

采取适当程序来追踪系统活动和警告

采取适当程序来监察保安基建的健全状况

采取适当程序来处理及控制变动