核心保安原则
核心保安原则是一些广为接纳并从宏观角度应对资讯保安事宜的原则。这些原则属基本原则,甚少改变。个人/公司须遵守这些原则,以制订、推行和了解保安政策。下列资讯保安原则并非详尽无遗:
资讯系统保安目标
资讯系统保安的目标或宗旨可通过下述叁项整体目标说明:机密性、完整性和可用性。保安政策和措施须按这叁项目标制订及推行。
风险为本的方法
须采用风险为本的方法,以一致及有效的方式为资讯系统识别保安风险、订定应对风险的缓急次序和应对有关风险。须推行适当的保安措施,以保护资讯资产及系统,并把保安风险减至可接受的水平。
预防、侦测、应变和复原
资讯保安涵盖预防、侦测、应变和复原措施。预防措施用于避免或制止不利情况发生。侦测措施用于识别已出现的不利情况。应变措施是指在不利情况(或事故)发生时所作出的协调行动,以控制损毁。复原措施则是令资讯系统的机密性、完整性和可用性回复至预定状态。
处理、传输和储存资料时的保护措施
处理、传输和储存资料时,须视乎情况考虑及推行保安措施,以维持资料的机密性、完整性和可用性,例如欠缺保护的无线通讯容易遭受攻击,传输保密资料时须采取保安措施。
外部系统假定为不安全
一般来说,外部系统须假定为不安全。在把其资讯资产或资讯系统连接至外部系统时,须根据业务要求及相关的风险水平,以实体或逻辑方式推行保安措施。
关键资讯系统的复原能力
所有关键资讯系统须具备复原能力,以应付严重的服务中断情况。亦须采取措施,以侦测服务中断情况、尽量减低破坏,以及迅速应变和使系统迅速复原。于复原计划中,须考虑并适当地推行损害控制措施,以限制事故範围、强度及影响,令系统能有效复原。
审计和问责
资讯保安须加入审计和问责元素。审计是指通过审计追踪、系统记录、警报或其他提示讯息等证据,核实资讯系统内的活动。问责是指审核所有曾与资讯系统互动的人士/机构的活动和所涉及的程序。须根据资料的敏感度,明确界定和定出有关各方所担当的职务和职责,并据此授予权限。
持续改进
为了因应不断转变的环境和崭新的技术而作出更新,须推行一套持续改进程序,以监察、覆检及改善资讯科技保安管理工作的效益和效率。保安措施的效能须定期予以评估,以确定是否达到资讯科技保安目标。
