擬定資訊保安計劃
主頁 > 
擬定資訊保安計劃
< 返回

擬定資訊保安計劃

資訊是你業務最珍貴的資產。使用正確的預防及保護措施可以減少資訊備受攻擊的成功機會,否則可能招致巨大的金錢損失。某些損失更可能無法挽回,例如因洩露了機密資訊予競爭對手而損失了一宗生意。

透過有效的資訊保安管理,你可以為公司提供最佳的策略和合乎成本效益的解決方案,全面保護你的珍貴資料。它的好處是容易管理,而更重要是可以盡量減低被攻擊的風險,最終助你節省成本。你當然希望盡力保護你的資產。只要簡單地把保安預算列作貴公司 / 機構預算中的一個強制性部分即成。

資訊保安管理涉及綜合性的預防、偵測及應變過程。它是一個包含了反覆活動和過程的周期,需要不斷的監察和控制。

資訊保安管理周期

資訊是你業務最珍貴的資產。透過有效的資訊保安管理,你可以為公司提供最佳的策略和合乎成本效益的解決方案,全面保護你的珍貴資料。它的好處是容易管理,而更重要是可以盡量減低被攻擊的風險,最終助你節省成本。你當然希望盡力保護你的資產。只要簡單地把保安預算列作貴公司 / 機構預算中的一個強制性部分即成。

資訊保安管理涉及綜合性的預防、偵測及應變過程。它是一個包含了反覆活動和過程的周期,需要不斷的監察和控制。這個管理周期大多數應用於機構層面上,但亦可應用於業務上不同的職務和單位,例如營業部、顧客服務小組等,以預防財務損失。

要使資訊保安管理收效,你機構中所有成員的參與、理解和支持是計劃成效的關鍵因素。別以為這只是資訊保安部孤軍作戰的工作。

下圖點出了資訊保安周期所涉及的主要活動。

資訊保安管理周期

資訊保安管理周期

步驟 1:評估資訊保安風險

步驟 2:推行及維持一個穩妥的保安架構

步驟 3:監察及記錄

除要展開推行及維修工作來提供穩妥的保安架構外,也要恆常地進行監察及記錄,才能在處理保安事故時作出適當的安排。

此外,日常運作如用戶在使用資源或資訊時的接達嘗試及活動,也要妥善監察、審計和記錄。例如,個人用戶身份識別需要包含在審計記錄中,以加強個人責任。每位用戶在使用公司資源時應了解其責任,並為本身的行為負責。

主要活動包括:

維持保安事故處理及匯報程序
維持主要業務系統及重要應用程式的審計追蹤
維持操作系統的事件記錄及誤差記錄
維持進入經營場址的訪客或嘉賓的出入記錄
維持記錄以追蹤重要業務活動的授權情況
步驟 4:覆檢及改善

持續性覆檢綜合了資訊保安管理周期中各項主要活動及過程,例如評估資訊保安風險、推行及維持一個穩妥的保安架構、監察及記錄等,以找出需要改善的地方。這一系列對於遵守情況的周期性覆檢和重新評估,確保能適當地執行保安措施以達至保安要求,並應付技術和環境上的急劇轉變。這意味著需要持續的回應和監察。檢討工作可以透過定期的保安審計來進行,並在一個持續性的基礎上進行監察和檢討保安作業實務及策略。

保安審計
保安審計的目的
審計步驟
保安覆檢控制

保安審計

保安審計是一個重複性的覆核過程,以確保在任何時候保安措施均被妥善地執行。保安審計的工作比保安風險評估進行得更為頻繁。它旨在找出目前環境是否按照既定的保安政策而受到安全保護。

保安審計的目的

提供恪守保安政策的證據
檢查及分析系統及操作環境的防護
評估保安設計的技術及非技術性推行情況
確認所有保安功能是否適當或不適當地整合及操作

審計步驟

界定審計範圍及活動
部署
收集審計數據
進行審計測試
匯報審計結果
保護審計數據及工具
改善及跟進

保安覆檢控制

機構應積極及定期監控和覆檢服務供應商及用戶的保安控制遵行情況,並保留審計服務水平協議所界定責任的權利、安排獨立第三方進行審計。

為了確保有效及全面地進行檢討,機構須保存:

一份載有服務內所有的伺服器和系統的清單,以及那些系統會儲存敏感或個人資料。
一份服務供應商支援人員的名單,包括授予的用戶帳戶和接達權限。
一份已移交給服務供應商的資料(尤其是敏感或個人資料)之清單。