资讯保安标准及最佳作业守则
为协助你为公司制订资讯保安管理计划 , 我们列出一些资讯保安国际认可标准、指引及有效保安作业实务的指引以供参考。部分标准、指引及守则。
资讯科技保安政策及指引
香港特别行政区政府向各决策局和部门提供了一套《政府资讯科技保安政策及指引》以给各决策局和部门在保护政府资讯系统和数据资产时提供有关的技术建议及指引。有关的指引可透过以下超连结取得。用户应留意这些指引只供一般参考用途,用户在使用这些指引前须自行对所提供的资料作出评估及征询独立意见。
基準资讯科技保安政策 - 本文件概述为保护政府内部信息系统及数据资产而订定的强制性基本保安要求。
信息技术安全指南 - 本文件阐释对《基准信息技术安全政策》的要求及制定相关的实施标准。
《信息安全事故处理实务指南》 - 本文件为处理政府信息安全事故提供实务指南和参考。
《信息技术安全风险管理实务指南》 - 本文件为政府的信息技术安全风险管理工作提供实务指南和参考。
《信息技术安全威胁管理实务指南》 - 本文件为政府的信息技术安全威胁管理工作提供实务指南和参考。
《设计层面安全实务指南》 - 本文件为在政府内采用设计层面安全提供实务指南和参考。
《安全风险评估及审计实务指南》 - 本文件为政府的安全风险评估及审计工作提供实务指南和参考。
《渗透测试实务指南》 - 本文件为在政府内安全采用渗透测试提供实务指南和参考。
《互联网网关安全实务指南》 - 本文件为在政府内安全采用互联网网关提供实务指南和参考。
《流动安全实务指南》 - 本文件为在政府内安全使用流动装置及开发流动应用程序提供实务指南和参考。
《云端运算安全实务指南》 - 本文件为在政府内安全采用云端运算技术提供实务指南和参考。
《物联网安全实务指南》 - 本文件为在政府内安全采用物联网技术提供实务指南和参考。
《社交媒体安全实务指南》 - 本文件为在政府内安全管理及使用社交媒体提供实务指南和参考。
《Wi-Fi安全实务指南》 - 本文件为在政府内安全设计、管理和操作Wi-Fi网络提供实务指南和参考。
公众日渐关注经 Wi-Fi 网络传递资讯的保安问题。为解决此问题,通讯事务管理局 ( 通讯局 ) 已公布一套保安指引予公共 Wi-Fi 服务营办商遵守。该指引是由电讯局、业界和有关专业团体共同制订的。
公共 Wi-Fi 服务设计、实施、管理及运作的保安指引 (只提供英文版本) - 一套公共 Wi-Fi 服务保安指引
资讯科技保安管治及良好作业守则
ISO/IEC 27001 – 本文件就国际标准化组织 (ISO) 的标准,列明机构在建立、推行、维持及改良其资讯安全管理系统时需符合的要求。
ISO/IEC 27002 – 这是国际标准化组织 (ISO) 就资讯安全管理而设的业务守则。
ISO/IEC 27017 – 本文件提供支援推行信息安全控制措施并适用于云用户及供应商的指南。用户及供应商可按照适用于云服务的风险评估及其它要求,选择适当的控制措施和采用有关的推行指南。
British Standard 7799 Part 3 - 这是 BSI Group 就资讯安全风险管理而设的业务守则。
资讯及相关技术的控制目标 (COBIT) - 这是 ISACA 发布的一套资讯科技管治架构。
通用条件 (Common Criteria 又称 ISO/IEC15408) - 这是多个国家保安标准组织合作发展的一套划一评估準则。这些国家包括澳洲、加拿大、法国、德国、日本、荷兰、新西兰、西班牙、英国及美国。
ITIL (ISO/IEC 20000 系列) - 这是一系列有关资讯科技服务管理 (IT service management (ITSM)) 的良好作业守则 , 主要针对服务过程并考虑用户的中心角色。
国家信息安全技术标准规範 - 这是由全国信息安全标准化技术委员会制定的一系列国家资讯保安标准。当中包括管理、评测、认证与授权等相关资讯保安标准。
The Center for Internet Security (CIS) Controls (前称 Critical Security Controls) – 这是一套优先保护措施,以减低针对系统和网络的最流行网络攻击。该套措施也被多个法律、监管和政策框架配对和引用。
网上商业活动保安指引
电子交易条例 - 这条例涉及用于电子交易上的电子记录及数码签署跟文件记录及签署相同的法律地位。
经济合作暨发展组织 (OECD) 之电子商贸消费保护纲领 – 这是由经济合作暨发展组织发布的有关电子商贸的原则及良好作业守则。
OWASP Top Ten Project – 这是由 OWASP 组织发布的网上应用系统保安指引,列明了哪些是广泛业界所认同的重要保安漏洞。
支付卡行业数据安全标准 - 这是一套由多间大型信用卡公司 ( 包括 American Express、MasterCard Worldwide 和 Visa International ) 所发展出来以加强保障付款帐户资讯的保安标准。
RFC 2196 Site Security Handbook , 来自 IETF ( The Internet Engineering Task Force ) – 这是由 IETF 发出的手册,就接驳互联网的系统提供了建立资讯保安政策及程序的指引。
云端运算相关的技术标准 - 这网页介绍了一些由国际组织制定与云端运算相关的技术标准。当中包括管理、网络服务、保安及其他相关的云端运算标准。
TRUSTe – 在这计划下,网站可获发并展示一个私隐权标章,或可称为「信任标章」,但必须跟从私隐原则,以及符合监督及顾客服务程序。
「网誉认证」 ( WebTrust ) 服务计划 – 在这计划下 , 网站拥有「网誉认证」,即表示该公司已遵从一系列「网誉认证」的原则,範畴包括网上私隐、资讯保安、商业实务守则、交易準确性、可用性、及为核证机关而设的「网誉认证」。
数据私隐保安指引
一系列与个人资料私隐相关的指引 – 这是由香港个人资料私隐专员公署提供给行业、机构及用户的参考资料。
A Practical Guide for IT Managers and Professionals on the Personal Data (Privacy) Ordinance – 这份指南由香港电脑学会制订 , 旨在帮助企业团体 , 尤其是 IT 管理层及专业人员 , 保障个人资料私隐。
健康保险便利及责任法案 (HIPAA) - 这法案是美国政府实行的健康保险便利及责任法案以统一保护个人健康资讯私隐的保安标准。
其他参考资料
国际信息系统审计协会 ( ISACA ) 架构、标准及模式 - 这是由国际信息系统审计协会制订的一系列的资料系统审计架构、标准及模式。
RFC 2350 Expectations for Computer Security Incident Response, 来自 IETF (The Internet Engineering Task Force) – 这是由 IETF 发出的文件,列明了一般电脑保安事故协调队伍需注意的事项。