拟定资讯保安计划
资讯是你业务最珍贵的资产。使用正确的预防及保护措施可以减少资讯备受攻击的成功机会,否则可能招致巨大的金钱损失。某些损失更可能无法挽回,例如因泄露了机密资讯予竞争对手而损失了一宗生意。
透过有效的资讯保安管理,你可以为公司提供最佳的策略和合乎成本效益的解决方案,全面保护你的珍贵资料。它的好处是容易管理,而更重要是可以尽量减低被攻击的风险,最终助你节省成本。你当然希望尽力保护你的资产。只要简单地把保安预算列作贵公司 / 机构预算中的一个强制性部分即成。
资讯保安管理涉及综合性的预防、侦测及应变过程。它是一个包含了反覆活动和过程的周期,需要不断的监察和控制。
资讯保安管理周期
资讯是你业务最珍贵的资产。透过有效的资讯保安管理,你可以为公司提供最佳的策略和合乎成本效益的解决方案,全面保护你的珍贵资料。它的好处是容易管理,而更重要是可以尽量减低被攻击的风险,最终助你节省成本。你当然希望尽力保护你的资产。只要简单地把保安预算列作贵公司 / 机构预算中的一个强制性部分即成。
资讯保安管理涉及综合性的预防、侦测及应变过程。它是一个包含了反覆活动和过程的周期,需要不断的监察和控制。这个管理周期大多数应用于机构层面上,但亦可应用于业务上不同的职务和单位,例如营业部、顾客服务小组等,以预防财务损失。
要使资讯保安管理收效,你机构中所有成员的参与、理解和支持是计划成效的关键因素。别以为这只是资讯保安部孤军作战的工作。
下图点出了资讯保安周期所涉及的主要活动。
资讯保安管理周期
除要展开推行及维修工作来提供稳妥的保安架构外,也要恒常地进行监察及记录,才能在处理保安事故时作出适当的安排。
此外,日常运作如用户在使用资源或资讯时的接达尝试及活动,也要妥善监察、审计和记录。例如,个人用户身份识别需要包含在审计记录中,以加强个人责任。每位用户在使用公司资源时应了解其责任,并为本身的行为负责。
主要活动包括:
持续性覆检综合了资讯保安管理周期中各项主要活动及过程,例如评估资讯保安风险、推行及维持一个稳妥的保安架构、监察及记录等,以找出需要改善的地方。这一系列对于遵守情况的周期性覆检和重新评估,确保能适当地执行保安措施以达至保安要求,并应付技术和环境上的急剧转变。这意味著需要持续的回应和监察。检讨工作可以透过定期的保安审计来进行,并在一个持续性的基础上进行监察和检讨保安作业实务及策略。
保安审计
保安审计是一个重複性的覆核过程,以确保在任何时候保安措施均被妥善地执行。保安审计的工作比保安风险评估进行得更为频繁。它旨在找出目前环境是否按照既定的保安政策而受到安全保护。
保安审计的目的
审计步骤
保安覆检控制
机构应积极及定期监控和覆检服务供应商及用户的保安控制遵行情况,并保留审计服务水平协议所界定责任的权利、安排独立第三方进行审计。
为了确保有效及全面地进行检讨,机构须保存:
