核心保安原則
核心保安原則是一些廣為接納並從宏觀角度應對資訊保安事宜的原則。這些原則屬基本原則,甚少改變。個人/公司須遵守這些原則,以制訂、推行和了解保安政策。下列資訊保安原則並非詳盡無遺:
資訊系統保安目標
資訊系統保安的目標或宗旨可通過下述三項整體目標說明:機密性、完整性和可用性。保安政策和措施須按這三項目標制訂及推行。
風險為本的方法
須採用風險為本的方法,以一致及有效的方式為資訊系統識別保安風險、訂定應對風險的緩急次序和應對有關風險。須推行適當的保安措施,以保護資訊資產及系統,並把保安風險減至可接受的水平。
預防、偵測、應變和復原
資訊保安涵蓋預防、偵測、應變和復原措施。預防措施用於避免或制止不利情況發生。偵測措施用於識別已出現的不利情況。應變措施是指在不利情況(或事故)發生時所作出的協調行動,以控制損毀。復原措施則是令資訊系統的機密性、完整性和可用性回復至預定狀態。
處理、傳輸和儲存資料時的保護措施
處理、傳輸和儲存資料時,須視乎情況考慮及推行保安措施,以維持資料的機密性、完整性和可用性,例如欠缺保護的無線通訊容易遭受攻擊,傳輸保密資料時須採取保安措施。
外部系統假定為不安全
一般來說,外部系統須假定為不安全。在把其資訊資產或資訊系統連接至外部系統時,須根據業務要求及相關的風險水平,以實體或邏輯方式推行保安措施。
關鍵資訊系統的復原能力
所有關鍵資訊系統須具備復原能力,以應付嚴重的服務中斷情況。亦須採取措施,以偵測服務中斷情況、盡量減低破壞,以及迅速應變和使系統迅速復原。於復原計劃中,須考慮並適當地推行損害控制措施,以限制事故範圍、強度及影響,令系統能有效復原。
審計和問責
資訊保安須加入審計和問責元素。審計是指通過審計追蹤、系統記錄、警報或其他提示訊息等證據,核實資訊系統內的活動。問責是指審核所有曾與資訊系統互動的人士/機構的活動和所涉及的程序。須根據資料的敏感度,明確界定和定出有關各方所擔當的職務和職責,並據此授予權限。
持續改進
為了因應不斷轉變的環境和嶄新的技術而作出更新,須推行一套持續改進程序,以監察、覆檢及改善資訊科技保安管理工作的效益和效率。保安措施的效能須定期予以評估,以確定是否達到資訊科技保安目標。
