資訊安全網
[一般使用者] [青少年及學生] [家長及教師] [資訊科技專業人員] [中小型企業]
為 協 助 你 為 公 司 制 訂 資 訊 保 安 管 理 計 劃 , 我 們 點 出 一 些 被 推 薦 為 有 效 保 安 作 業 實 務 的 有 用 指 引 及 資 訊 保 安 國 際 認 可 標 準 以 供 參 考 。
( 以 下 文 件 是 PDF 格 式 , 你 需 要 使 用 Adobe Acrobat Reader 來 閱 覽 及 列 印 , 請 按 此 處 下 傳 。 )
香 港 特 別 行 政 區 政 府 向 各 決 策 局 和 部 門 提 供 了 基 準 資 訊 科 技 保 安 政 策 及 一 系 列 與 資 訊 科 技 保 安 有 關 的 指 引 以 給 各 決 策 局 和 部 門 在 保 護 政 府 資 訊 系 統 時 提 供 有 關 的 技 術 建 議 及 指 引 。 有 關 的 指 引 可 透 過 以 下 超 連 結 獲 。 用 戶 須 留 意 這 些 指 引 只 供 一 般 參 考 用 途 , 用 戶 在 使 用 這 些 指 引 前 須 自 行 對 所 提 供 的 資 料 作 出 評 估 及 徵 詢 獨 立 意 見 。
基 準 資 訊 科 技 保 安 政 策 - 本 文 件 就 政 府 各 政 策 局 及 部 門 在 資 訊 科 技 保 安 規 格 訂 定 基 礎 標 準 。 它 述 明 那 些 保 安 事 宜 , 對 政 策 局 及 部 門 至 為 重 要 。
資 訊 科 技 保 安 指 引 - 這 份 指 引 概 述 與 資 訊 科 技 保 安 有 關 的 理 念 , 並 就 《 基 準 資 訊 科 技 保 安 政 策 》 作 出 闡 釋 。
互 聯 網 通 訊 閘 保 安 指 引 - 這 是 《 資 訊 科 技 保 安 指 引 》 的 補 充 文 件 , 就 互 聯 網 通 訊 閘 的 保 安 提 供 指 引 。
保 安 風 險 評 估 及 審 查 指 引 - 這 是 《 資 訊 科 技 保 安 指 引 》 的 補 充 文 件 , 概 述 適 用 於 保 安 風 險 評 估 及 審 計 的 參 考 模 型 。
公 眾 日 漸 關 注 經 Wi-Fi 網 絡 傳 遞 資 訊 的 保 安 問 題 。 為 解 決 此 問 題 , 電 訊 局 已 公 布 一 套 保 安 指 引 予 公 共 Wi-Fi 服 務 營 辦 商 遵 守 。 該 指 引 是 由 電 訊 局 、 業 界 和 有 關 專 業 團 體 共 同 制 訂 的 。
ISO 27001 - 資 訊 安 全 管 理 系 統 的 需 求
ISO 27002 - 為 資 訊 安 全 管 理 而 設 的 業 務 守 則
BS7799-3 - 為 資 訊 安 全 風 險 管 理 而 設 的 業 務 守 則 URL: www.bsi-global.com
資 訊 及 相 關 技 術 的 控 制 目 標 (COBIT) - 資 訊 及 相 關 技 術 的 控 制 目 標
(COBIT) 是 一 項 由 IT Governance Institute (ITGI) 於 1995 年 首 次 發 布 的 控 制 架 構 , 目 前 更 新 至 2007 年 發 布 的 版 本 為 4.1 。 COBIT 連 結 IT 主 導 與 商 業 需 要 , 組 織 IT 活 動 令 其 成 為 廣 受 接 納 的 程 序 模 式 , 指 出 重 要 的 IT 資 源 並 予 以 善 用 , 同 時 定 義 要 考 慮 的 管 理 控 制 標 準 。
URL: www.itgi.org
ITIL (or ISO/IEC 20000 系 列 ) - ITIL
(The Information Technology Infrastructure
Library) 是 資 訊 科 技 服 務 管 理 (IT service management (ITSM))
中 一 系 列 的 最 佳 作 業 實 務 , 主 要 針 對 服 務 的 過 程 並 考 慮 用 戶 的 中 心 角 色 。 ITIL 是 由 英 國 的 Office
of Government Commerce (OGC) 發 展 出 來 , 其 後 由 2005 年 開 始 演 進 至 ITSM 國 際 標 準 的 ISO/IEC
20000。
URL: www.ogc.gov.uk
可 信 賴 系 統 評 估 準 則 (TCSEC) 或 稱 為 「 橘 皮 書 」 - 基 於 政 府 及 軍 事 機 關 大 部 分 操 作 系 統 的 功 能 評 估 、 有 效 性 及 保 證 性 評 估 而 進 行 的 保 安 要 求 分 類 。 TCSEC 於 1985 年 面 世 , 並 於 2000 年 廢 除 。
資
訊 技 術 保 安 評 估 準 則 (ITSEC)
- 由 歐 洲 國 家 為 評 估 電 腦 系 統 保 安 屬 性 而 制 訂 的
首 個 單 一 標 準 , 只 用 於 歐 洲 。
URL: http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=1&displayPage=1
通 用 條 件 (Common Criteria又 稱 ISO/IEC 15408)
- 透 過 加 拿 大 、 法 國 、 德 國 、 日 本 、 荷 蘭 、 西 班 牙
、 英 國 及 美 國 的 國 家 保 安 標 準 組 織 協 作 努 力 , 結
合 並 劃 一 現 有 及 演 變 中 的 評 估 條 件 。
URL: www.commoncriteriaportal.org
ISO/IEC 13335 (IT Security Management) - 在 ISO/IEC 13335 變 成 完 整 ISO/IEC 標 準 之 前 , 它 原 本 只 是 一 份 技 術 報 告 ( Technical Report, TR) , 包 含 一 連 串 的 技 術 保 安 保 安 措 施 指 引 。
支 付 卡 行 業 數 據 安 全 標 準 - 支 付 卡 行 業 數 據 安 全 標 準 ( Payment
Card Industry Data Security Standard, PCIDSS)
是 由 一 些 大 型 的 信 用 卡 公 司 ( 包 括 American Express、 Discover
Financial Services、 JCB、 MasterCard Worldwide和 Visa
International) 所 發 展 出 來 以 加 強 付 款 帳 戶 的 資 料 保 安 。 這 些 信 用 卡 公 司 都 是 PCI標 準 會 議 ( Standards
Council) 的 會 員 , 該 標 準 含 12項 核 心 要 求 , 包 括 保 安 管 理 、 政 策 、 程 序 、 網 絡 設 計 、 軟 件 設 計 和 其 它 重 要 措 。
URL: https://www.pcisecuritystandards.org/security_standards/
ISO 7498 , 開 放 式 系 統 連 結 標 準 - ISO/IEC 7498開 放 式 系 統 連 結 標 準 現 有 四 部 份 :第 一 部 份 是 The Basic Model、 第 二 部 份 是 Security Architecture、 第 三 部 份 是 Naming and Addressing、 和 第 四 部 份 是 Management Framework。
Computer Security Incident Handling Guide , 來 自 (SP 800-61) NIST (National Institute of Standards and Technology) 。
RFC 2196 Site Security Handbook, 來 自 IETF (The Internet Engineering Task Force)。
RFC 2350 Expectations for Computer Security Incident Response, 來 自 IETF (The Internet Engineering Task Force) 。
SANS Top-20 Security Risks - 這 清 單 包 含 20個 影 響 不 同 範 籌 而 組 織 成 不 同 類 別 的 保 安 漏 洞 ,例 如 影 響 作 業 系 統 和 網 路 裝 備 等 的 保 安 漏 洞 。
國 際 資 訊 系 統 審 計 協 會 標 準 、 指 引 及 程 序 - 國 際 資 訊 系 統 審 計 協 會 制 訂 了 一 系 列 的 資 料 系 統 審 計 標 準 、 指 引 及 程 序 。
健 康 保 險 便 利 及 責 任 法 案 ( HIPAA) -美 國 政 府 已 實 行 健 康 保 險 便 利 及 責 任 法 案 (Health Insurance Portability and Accountability Act, HIPAA),以 統 一 保 護 個 人 健 康 資 訊 私 隱 的 保 安 標 準 。
當 你 經 營 聯 機 業 務 時 , 需 要 留 意 及 跟 從 一 些 基 本 的 指 引 。
| 有 關 指 引 及 參 考 資 料 | 詳 情 |
| 經 濟 合 作 暨 發 展 組 織 之 電 子 商 貿 消 費 保 護 綱 領 (英 文 ) | 有 關 電 子 商 貿 的 原 則 及 作 業 實 務 |
| 電 子 交 易 條 例 | 涉 及 用 於 電 子 交 易 上 的 電 子 記 錄 及 數 碼 簽 署 跟 文 件 記 錄 及 簽 署 相 同 的 法 律 地 位 |
| 保 障 網 上 個 人 私 隱 及 消 費 者 權 益 指 南 | 有 關 個 人 私 隱 的 保 護 , 由 香 港 生 產 力 促 進 局 、 消 費 者 委 員 會 及 個 人 資 料 私 隱 專 員 公 署 聯 合 出 版 |
| E-Privacy: A Policy Approach to Building Trust and Confidence In E-Business (英 文 ) | 由 個 人 資 料 私 隱 專 員 公 署 出 版 給 網 上 業 務 供 應 商 , 特 別 是 那 些 有 在 其 網 站 上 收 集 個 人 資 料 的 供 應 商 |
| 擬 備 網 上 收 集 個 人 資 料 聲 明 及 私 隱 政 策 聲 明 | 就 資 料 使 用 者 應 如 何 擬 備 「 收 集 個 人 資 料 聲 明 」 及 「 私 隱 政 策 聲 明 」 , 提 供 實 際 指 引 |
互 聯 網 為 不 分 界 限 、 不 分 晝 夜 的 商 業 活 動 提 供 了 最 為 方 便 的 平 台 。 然 而 , 大 部 分 互 聯 網 用 戶 仍 對 使 用 這 個 媒 介 來 進 行 商 業 交 易 缺 乏 信 心 。 贏 得 顧 客 的 信 賴 、 為 你 的 聯 機 業 務 建 立 商 譽 的 最 有 效 方 法 , 就 是 獲 取 由 獨 立 核 證 機 構 所 簽 發 的 評 價 認 證 。 市 面 上 有 部 分 國 際 性 評 價 認 證 計 劃 提 供 這 類 核 實 服 務 , 現 列 舉 部 分 例 子 如 下 :
「 網 譽 認 證 」 服 務 計 劃 是 :
某 一 聯 機 網 站 擁 有 「 網 譽 認 證 」 , 即 表 示 該 公 司 已 通 過 由 一 位 持 牌 執 業 會 計 師 、 特 許 會 計 師 或 同 等 專 業 資 格 人 士 所 進 行 的 「 網 譽 認 證 」 檢 查 。 香 港 會 計 師 公 會 是 該 計 劃 的 國 際 成 員 之 一 。
在 「 網 譽 認 證 」 計 劃 下 , 聯 機 公 司 需 要 接 受 「 網 譽 認 證 」 持 牌 執 業 會 計 師 的 定 期 檢 查 , 以 確 保 它 遵 從 「 網 譽 認 證 」 的 現 有 原 則 , 包 括 :
TRUSTe 是 一 個 私 隱 權 標 章 制 度 , 或 可 稱 為 「 信 任 標 章 」 , 利 用 一 個 網 上 的 品 牌 標 章 , 把 用 戶 直 接 帶 到 已 核 准 網 站 的 私 隱 聲 明 。 網 站 必 須 跟 從 私 隱 權 原 則 , 並 遵 守 監 督 及 顧 客 解 決 方 案 程 序 , 方 可 獲 發 信 任 標 章 。 網 站 透 過 展 示 信 任 標 章 , 可 以 告 訴 顧 客 它 已 承 諾 就 其 私 隱 作 業 實 務 進 行 公 開 溝 通 。 用 戶 可 從 展 示 出 來 的 信 任 標 章 得 悉 該 網 站 最 少 會 公 開 下 列 範 疇 的 資 料 :
| 上一頁 | 頁首 |
版權所有2002香港特別行政區政府