English   Text Only 繁體文字版 簡体文字版
常見問題 搜尋:
執行 字型大小:
A
A
A
Print列印
   
 

有 用 指 引 及 標 準

為 協 助 你 為 公 司 制 訂 資 訊 保 安 管 理 計 劃 , 我 們 點 出 一 些 被 推 薦 為 有 效 保 安 作 業 實 務 的 有 用 指 引 及 資 訊 保 安 國 際 認 可 標 準 以 供 參 考 。

( 以 下 文 件 是 PDF 格 式 , 你 需 要 使 用 Adobe Acrobat Reader 來 閱 覽 及 列 印 , 請 按 此 處 下 傳 。 到 Adobe網 頁 下 載 Adobe Acrobat Reader )

資 訊 科 技 保 安 政 策 及 指 引

香 港 特 別 行 政 區 政 府 向 各 決 策 局 和 部 門 提 供 了 基 準 資 訊 科 技 保 安 政 策 及 一 系 列 與 資 訊 科 技 保 安 有 關 的 指 引 以 給 各 決 策 局 和 部 門 在 保 護 政 府 資 訊 系 統 時 提 供 有 關 的 技 術 建 議 及 指 引 。 有 關 的 指 引 可 透 過 以 下 超 連 結 獲 。 用 戶 須 留 意 這 些 指 引 只 供 一 般 參 考 用 途 , 用 戶 在 使 用 這 些 指 引 前 須 自 行 對 所 提 供 的 資 料 作 出 評 估 及 徵 詢 獨 立 意 見 。

  • 基 準 資 訊 科 技 保 安 政 策 - 本 文 件 就 政 府 各 政 策 局 及 部 門 在 資 訊 科 技 保 安 規 格 訂 定 基 礎 標 準 。 它 述 明 那 些 保 安 事 宜 , 對 政 策 局 及 部 門 至 為 重 要 。

  • 資 訊 科 技 保 安 指 引 - 這 份 指 引 概 述 與 資 訊 科 技 保 安 有 關 的 理 念 , 並 就 《 基 準 資 訊 科 技 保 安 政 策 》 作 出 闡 釋 。

  • 互 聯 網 通 訊 閘 保 安 指 引 - 這 是 《 資 訊 科 技 保 安 指 引 》 的 補 充 文 件 , 就 互 聯 網 通 訊 閘 的 保 安 提 供 指 引 。

  • 保 安 風 險 評 估 及 審 查 指 引 - 這 是 《 資 訊 科 技 保 安 指 引 》 的 補 充 文 件 , 概 述 適 用 於 保 安 風 險 評 估 及 審 計 的 參 考 模 型 。

  • 資 訊 保 安 事 故 處 理 指 引 - 這 是 《 資 訊 科 技 保 安 指 引 》 的 補 充 文 件 , 有 助 於 制 定 處 理 保 安 事 故 的 規 劃 措 施 , 而 文 件 並 可 用 作 預 防 、 偵 測 及 應 付 保 安 事 故 的 參 考 資 料 。

公 眾 日 漸 關 注 經 Wi-Fi 網 絡 傳 遞 資 訊 的 保 安 問 題 。 為 解 決 此 問 題 , 電 訊 局 已 公 布 一 套 保 安 指 引 予 公 共 Wi-Fi 服 務 營 辦 商 遵 守 。 該 指 引 是 由 電 訊 局 、 業 界 和 有 關 專 業 團 體 共 同 制 訂 的 。

  • 公 共 Wi-Fi 服 務 設 計 、 實 施 、 管 理 及 運 作 的 保 安 指 引 ( 只 提 供 英 文 版 本 ) - 一 套 公 共 Wi-Fi 服 務 保 安 指 引

資 訊 保 安 標 準

  • ISO 27001 - 資 訊 安 全 管 理 系 統 的 需 求

  • ISO 27002 - 為 資 訊 安 全 管 理 而 設 的 業 務 守 則

  • BS7799-3 - 為 資 訊 安 全 風 險 管 理 而 設 的 業 務 守 則 URL: www.bsi-global.com

  • 資 訊 系 統 稽 核 與 控 制 標 準 (COBIT) - 資 訊 系 統 稽 核 與 控 制 標 準 (COBIT) 是 一 項 由 IT Governance Institute (ITGI) 於 1995 年 首 次 發 布 的 控 制 架 構 , 目 前 更 新 至 2007 年 發 布 的 版 本 為 4.1 。 COBIT 連 結 IT 主 導 與 商 業 需 要 , 組 織 IT 活 動 令 其 成 為 廣 受 接 納 的 程 序 模 式 , 指 出 重 要 的 IT 資 源 並 予 以 善 用 , 同 時 定 義 要 考 慮 的 管 理 控 制 標 準 。
    URL: www.itgi.org

  • ITIL (or ISO/IEC 20000 系 列 ) - ITIL (The Information Technology Infrastructure Library) 是 資 訊 科 技 服 務 管 理 (IT service management (ITSM)) 中 一 系 列 的 最 佳 作 業 實 務 , 主 要 針 對 服 務 的 過 程 並 考 慮 用 戶 的 中 心 角 色 。 ITIL 是 由 英 國 的 Office of Government Commerce (OGC) 發 展 出 來 , 其 後 由 2005 年 開 始 演 進 至 ITSM 國 際 標 準 的 ISO/IEC 20000。
    URL: www.ogc.gov.uk

  • 可 信 賴 系 統 評 估 準 則 (TCSEC) 或 稱 為 「 橘 皮 書 」 - 基 於 政 府 及 軍 事 機 關 大 部 分 操 作 系 統 的 功 能 評 估 、 有 效 性 及 保 證 性 評 估 而 進 行 的 保 安 要 求 分 類 。 TCSEC1985 年 面 世 , 並 於 2000 年 廢 除 。

  • 資 訊 技 術 保 安 評 估 準 則 (ITSEC) - 由 歐 洲 國 家 為 評 估 電 腦 系 統 保 安 屬 性 而 制 訂 的 首 個 單 一 標 準 , 只 用 於 歐 洲 。
    URL: http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=1&displayPage=1

  • 通 用 條 件 (Common Criteria又 稱 ISO/IEC 15408) - 透 過 加 拿 大 、 法 國 、 德 國 、 日 本 、 荷 蘭 、 西 班 牙 、 英 國 及 美 國 的 國 家 保 安 標 準 組 織 協 作 努 力 , 結 合 並 劃 一 現 有 及 演 變 中 的 評 估 條 件 。
    URL: www.commoncriteriaportal.org

  • ISO/IEC 13335 (IT Security Management) - 在 ISO/IEC 13335 變 成 完 整 ISO/IEC 標 準 之 前 , 它 原 本 只 是 一 份 技 術 報 告 ( Technical Report, TR) , 包 含 一 連 串 的 技 術 保 安 保 安 措 施 指 引 。

  • 支 付 卡 行 業 數 據 安 全 標 準 - 支 付 卡 行 業 數 據 安 全 標 準 ( Payment Card Industry Data Security Standard, PCIDSS) 是 由 一 些 大 型 的 信 用 卡 公 司 ( 包 括 American Express、 Discover Financial Services、 JCB、 MasterCard Worldwide和 Visa International) 所 發 展 出 來 以 加 強 付 款 帳 戶 的 資 料 保 安 。 這 些 信 用 卡 公 司 都 是 PCI標 準 會 議 ( Standards Council) 的 會 員 , 該 標 準 含 12項 核 心 要 求 , 包 括 保 安 管 理 、 政 策 、 程 序 、 網 絡 設 計 、 軟 件 設 計 和 其 它 重 要 措 。
    URL: https://www.pcisecuritystandards.org/tech/index.htm

  • ISO 7498 , 開 放 式 系 統 連 結 標 準 - ISO/IEC 7498開 放 式 系 統 連 結 標 準 現 有 四 部 份 :第 一 部 份 是 The Basic Model、 第 二 部 份 是 Security Architecture、 第 三 部 份 是 Naming and Addressing、 和 第 四 部 份 是 Management Framework。

資 訊 科 技 保 安 參 考 資 料

聯 機 業 務 指 引 及 參 考 資 料 選 錄

當 你 經 營 聯 機 業 務 時 , 需 要 留 意 及 跟 從 一 些 基 本 的 指 引 。

有 關 指 引 及 參 考 資 料 詳 情
經 濟 合 作 暨 發 展 組 織 之 電 子 商 貿 消 費 保 護 綱 領 (英 文 ) 有 關 電 子 商 貿 的 原 則 及 作 業 實 務
電 子 交 易 條 例 涉 及 用 於 電 子 交 易 上 的 電 子 記 錄 及 數 碼 簽 署 跟 文 件 記 錄 及 簽 署 相 同 的 法 律 地 位
保 障 網 上 個 人 私 隱 及 消 費 者 權 益 指 南 有 關 個 人 私 隱 的 保 護 , 由 香 港 生 產 力 促 進 局 、 消 費 者 委 員 會 及 個 人 資 料 私 隱 專 員 公 署 聯 合 出 版
E-Privacy: A Policy Approach to Building Trust and Confidence In E-Business (英 文 ) 由 個 人 資 料 私 隱 專 員 公 署 出 版 給 網 上 業 務 供 應 商 , 特 別 是 那 些 有 在 其 網 站 上 收 集 個 人 資 料 的 供 應 商
擬 備 網 上 收 集 個 人 資 料 聲 明 及 私 隱 政 策 聲 明 就 資 料 使 用 者 應 如 何 擬 備 「 收 集 個 人 資 料 聲 明 」 及 「 私 隱 政 策 聲 明 」 , 提 供 實 際 指 引

為 成 立 聯 機 業 務 而 設 的 評 價 認 證

互 聯 網 為 不 分 界 限 、 不 分 晝 夜 的 商 業 活 動 提 供 了 最 為 方 便 的 平 台 。 然 而 , 大 部 分 互 聯 網 用 戶 仍 對 使 用 這 個 媒 介 來 進 行 商 業 交 易 缺 乏 信 心 。 贏 得 顧 客 的 信 賴 、 為 你 的 聯 機 業 務 建 立 商 譽 的 最 有 效 方 法 , 就 是 獲 取 由 獨 立 核 證 機 構 所 簽 發 的 評 價 認 證 。 市 面 上 有 部 分 國 際 性 評 價 認 證 計 劃 提 供 這 類 核 實 服 務 , 現 列 舉 部 分 例 子 如 下 :

WebTrust

WebTrust in Hong Kong

「 網 譽 認 證 」 服 務 計 劃 是 :

  • 一 套 電 子 商 貿 的 標 準 , 包 含 了 全 球 主 要 的 作 業 實 務 及 要 求 ;
  • 它 獨 立 地 核 實 一 個 網 站 是 否 符 合 標 準 ;
  • 聯 機 業 務 獲 得 國 際 認 可 的 「 網 譽 認 證 」 , 表 示 該 聯 機 業 務 符 合 嚴 格 標 準 。

某 一 聯 機 網 站 擁 有 「 網 譽 認 證 」 , 即 表 示 該 公 司 已 通 過 由 一 位 持 牌 執 業 會 計 師 、 特 許 會 計 師 或 同 等 專 業 資 格 人 士 所 進 行 的 「 網 譽 認 證 」 檢 查 。 香 港 會 計 師 公 會 是 該 計 劃 的 國 際 成 員 之 一 。

在 「 網 譽 認 證 」 計 劃 下 , 聯 機 公 司 需 要 接 受 「 網 譽 認 證 」 持 牌 執 業 會 計 師 的 定 期 檢 查 , 以 確 保 它 遵 從 「 網 譽 認 證 」 的 現 有 原 則 , 包 括 :

  • 聯 機 私 隱
  • 資 訊 保 安
  • 作 業 實 務 及 交 易 完 整 性
  • 可 用 性
  • 為 核 證 機 關 而 設 的 「 網 譽 認 證 」

TRUSTe

TRUSTe 是 一 個 私 隱 權 標 章 制 度 , 或 可 稱 為 「 信 任 標 章 」 , 利 用 一 個 網 上 的 品 牌 標 章 , 把 用 戶 直 接 帶 到 已 核 准 網 站 的 私 隱 聲 明 。 網 站 必 須 跟 從 私 隱 權 原 則 , 並 遵 守 監 督 及 顧 客 解 決 方 案 程 序 , 方 可 獲 發 信 任 標 章 。 網 站 透 過 展 示 信 任 標 章 , 可 以 告 訴 顧 客 它 已 承 諾 就 其 私 隱 作 業 實 務 進 行 公 開 溝 通 。 用 戶 可 從 展 示 出 來 的 信 任 標 章 得 悉 該 網 站 最 少 會 公 開 下 列 範 疇 的 資 料 :

  • 正 在 收 集 甚 麼 個 人 資 料
  • 將 會 怎 樣 使 用 該 等 資 料
  • 將 會 與 誰 人 共 用 該 等 資 料
  • 誰 人 負 責 收 集 資 料
  • 用 戶 會 有 甚 麼 選 擇
  • 會 有 甚 麼 保 安 程 序 來 防 止 資 料 誤 用 或 遺 失
  • 用 戶 怎 樣 能 夠 更 正 資 料 以 控 制 資 料 散 播 的 情 況
 
 
     
上一頁 頁首
 
網頁指南 | 聯絡本網站 | 私隱政策 | 免責聲明
 

版權所有2008香港特別行政區政府