拟定资讯保安计划
主页 > 
拟定资讯保安计划
< 返回

拟定资讯保安计划

资讯是你业务最珍贵的资产。使用正确的预防及保护措施可以减少资讯备受攻击的成功机会,否则可能招致巨大的金钱损失。某些损失更可能无法挽回,例如因泄露了机密资讯予竞争对手而损失了一宗生意。

透过有效的资讯保安管理,你可以为公司提供最佳的策略和合乎成本效益的解决方案,全面保护你的珍贵资料。它的好处是容易管理,而更重要是可以尽量减低被攻击的风险,最终助你节省成本。你当然希望尽力保护你的资产。只要简单地把保安预算列作贵公司 / 机构预算中的一个强制性部分即成。

资讯保安管理涉及综合性的预防、侦测及应变过程。它是一个包含了反覆活动和过程的周期,需要不断的监察和控制。

资讯保安管理周期

资讯是你业务最珍贵的资产。透过有效的资讯保安管理,你可以为公司提供最佳的策略和合乎成本效益的解决方案,全面保护你的珍贵资料。它的好处是容易管理,而更重要是可以尽量减低被攻击的风险,最终助你节省成本。你当然希望尽力保护你的资产。只要简单地把保安预算列作贵公司 / 机构预算中的一个强制性部分即成。

资讯保安管理涉及综合性的预防、侦测及应变过程。它是一个包含了反覆活动和过程的周期,需要不断的监察和控制。这个管理周期大多数应用于机构层面上,但亦可应用于业务上不同的职务和单位,例如营业部、顾客服务小组等,以预防财务损失。

要使资讯保安管理收效,你机构中所有成员的参与、理解和支持是计划成效的关键因素。别以为这只是资讯保安部孤军作战的工作。

下图点出了资讯保安周期所涉及的主要活动。

资讯保安管理周期

资讯保安管理周期

步骤 1:评估资讯保安风险

步骤 2:推行及维持一个稳妥的保安架构

步骤 3:监察及记录

除要展开推行及维修工作来提供稳妥的保安架构外,也要恒常地进行监察及记录,才能在处理保安事故时作出适当的安排。

此外,日常运作如用户在使用资源或资讯时的接达尝试及活动,也要妥善监察、审计和记录。例如,个人用户身份识别需要包含在审计记录中,以加强个人责任。每位用户在使用公司资源时应了解其责任,并为本身的行为负责。

主要活动包括:

维持保安事故处理及汇报程序
维持主要业务系统及重要应用程式的审计追踪
维持操作系统的事件记录及误差记录
维持进入经营场址的访客或嘉宾的出入记录
维持记录以追踪重要业务活动的授权情况
步骤 4:覆检及改善

持续性覆检综合了资讯保安管理周期中各项主要活动及过程,例如评估资讯保安风险、推行及维持一个稳妥的保安架构、监察及记录等,以找出需要改善的地方。这一系列对于遵守情况的周期性覆检和重新评估,确保能适当地执行保安措施以达至保安要求,并应付技术和环境上的急剧转变。这意味著需要持续的回应和监察。检讨工作可以透过定期的保安审计来进行,并在一个持续性的基础上进行监察和检讨保安作业实务及策略。

保安审计
保安审计的目的
审计步骤
保安覆检控制

保安审计

保安审计是一个重複性的覆核过程,以确保在任何时候保安措施均被妥善地执行。保安审计的工作比保安风险评估进行得更为频繁。它旨在找出目前环境是否按照既定的保安政策而受到安全保护。

保安审计的目的

提供恪守保安政策的证据
检查及分析系统及操作环境的防护
评估保安设计的技术及非技术性推行情况
确认所有保安功能是否适当或不适当地整合及操作

审计步骤

界定审计範围及活动
部署
收集审计数据
进行审计测试
汇报审计结果
保护审计数据及工具
改善及跟进

保安覆检控制

机构应积极及定期监控和覆检服务供应商及用户的保安控制遵行情况,并保留审计服务水平协议所界定责任的权利、安排独立第三方进行审计。

为了确保有效及全面地进行检讨,机构须保存:

一份载有服务内所有的伺服器和系统的清单,以及那些系统会储存敏感或个人资料。
一份服务供应商支援人员的名单,包括授予的用户帐户和接达权限。
一份已移交给服务供应商的资料(尤其是敏感或个人资料)之清单。