中小型企业
主页 > 
良好作业模式 > 
参阅资料予 > 
中小型企业
< 返回
相关主题
清除所有
结果:
互联网内容过滤
有些网站也许包含不雅甚至淫亵的内容,这些内容并不适合儿童或是青少年浏览,有些软件工具可帮助过滤含有不适合儿童和青少年内容的网站,监察儿童在网上的活动,并限制你的孩子使用网络的时间。
厘订「保证等级」的例子
几个例子说明如何评估未获授权认证的潜在后果所带来的影响,以厘订相关服务/交易情况的整体保证等级。
什么是「电子认证保证等级」
「保证等级」一词用作描述在注册及认证程序中的信心程度。
中小型企业的建议和支援
要学习所有必要的保安知识和技巧是不可能的事。因此,你应该学习如何使用其它有用资源,例如与朋友讨论、谘询你的企业夥伴、或在网上搜寻,都是可能要做的事。
电子认证方法
电子认证系统一般可采用叁种不同方法:包括「使用者所知的资料」、「使用者拥有的资料」,以及「使用者特征或行为的资料」。
电子认证 (商业用户)
为防止未获授权的使用者接达受保护的资源,需建立安全的认证系统,以确定使用者声称的身分。
电子认证模式
建立「电子认证」系统有两种基本模式。
重要资讯的接达控制
你应该按照需要知道 (need-to-know)原则来发出资料接达权,否则,你将面对保安风险。
网上应用系统保安
网上应用系统可带来便利和提升效率,但也产生新的保安威胁,若未作好妥善处理,对机构中的资讯科技架构可能会造成潜在而显着的风险。
开发安全流动应用程式
智能手机和平板电脑的增长令公众及机构用户与企业互动的方式产生重大转变。
使用软件准则
许多电脑软件均可作为资讯保安的工具。
保护你的网站
假如你拥有电子贸易网站,你会面临以下风险
虚拟私有网络( VPN)保安
虚拟私有网络( VPN)保安现今,由遥距网络接达到内联网的需求日渐增加,员工经常需要从家里、酒店、机场或其它外部网络经互联网(互联网基本上是不安全的)接达到内部私有网络。
持续业务运作规划
持续业务运作规划涉及订定持续业务运作计划,确保在发生人为事故或天灾时,重要业务活动能在预定时间内复原至可接受的水平,从而减少对机构造成的损失。持续业务运作计划对每种业务而言,均十分重要。
发出促销讯息
为遏止非应邀电子讯息问题,《非应邀电子讯息条例》(「条例」)和《非应邀电子讯息规例》(「规例」)已于二零零七年制定。条例规管有「香港联系」的「商业电子讯息」发送活动。
预防资料盗窃
每分每秒皆有人在不同地方储存、处理或移动大量的数据,身为负责任的用户,你必须知道如何保护你的资料和预防资料从流动设备中被人盗窃。
中小企防范诈骗
公司机构对防范仿冒诈骗攻击,侦察及回应措施的建议。
中小企处理滥发电邮的提示
中小企能够采取多种方法来减少收到滥发电邮的数量。这些方法包括保护公司的电邮地址,为雇员的工作站和电邮伺服器安装过滤软件及采用具体的保安措施。
教育及培训员工
保安培训是确保相关各方了解保安风险,并接受和采取良好保安作业实务的关键。若要保安方案有效,必须经由受过良好培训的员工正确地执行。你必须确定你的员工拥有必要的技能。
拟定资讯保安计划
资讯是你业务最珍贵的资产。使用正确的预防及保护措施可以减少资讯备受攻击的成功机会,否则可能招致巨大的金钱损失。
定期做备份
良好的备份策略对资讯安全来说是必要的。
备份及复原
备份是指在某特定时间保存一份数据的拷贝。「备份及复原」一词,时常指由某一位置传送已拷贝的档案往另一处,传送时会在拷贝的档案上进行不同操作。
评估资讯保安风险
资讯保安管理周期始于评估资讯保安风险。保安风险评估一开始时便要进行,以找出需要什么的保安措施。这是初步评估和识别与保安弱点有关的风险及结果,并提供一个管理基础,以确立具成本效益的保安计划。
推行及维持一个稳妥的保安架构
随着从保安风险评估过程中取得风险评估结果,资讯保安管理周期便进入推行及维持的阶段,以推行适当的保安防护措施来维持一个稳妥的保安架构。这包括制订保安政策和指引、委派保安职务,以及推行技术及行政上的保安防护措施。所有这些步骤均大大有助保卫你的业务资产。
保护你的电脑资产
电脑设备是公司的重要资产,而它们通常储存有价值的资料。因此,你可以采取措施来保护它们。
识别及选择防护措施
检讨保安风险评估结果后,便要定出防护措施,并评估它们能否把识别出来的威胁及漏洞的可能性和其影响力,有效地减低至可以接受的水平。
网络保安
办公室网络是一个企业的核心网络。每个职员都使用这个共用的媒介履行职务,例如分享档案、列印、发放电邮和浏览网页。
防御分布式拒绝服务(DDoS)攻击
分布式拒绝服务攻击基本上会消耗目标机构的频宽和伺服器资源。大规模的分布式拒绝服务攻击通常透过僵尸网络发动,令大量分布在世界各地受到病毒感染的电脑在不知不觉间被操纵而参与攻击。
域名系统的安全
DNS 没有内置的保安功能,因此 DNS 数据可能会被窜改。如 DNS 的答覆被窜改,用户可能会被转至恶意网站。为免成为 DNS 保安威胁的受害者,我们可以采取不同层面的措施。
保护您的公司机构
现在的日常生活中,任何人都可藉流行的工具与技术,如流动电话、电子邮件、即时通讯服务、可携式的储存器,以及经无线网络接达互联网的能力,轻易地携带及处理大量数据。
开放源码保安
原始码的开放提供机会给攻击者和防卫者去读取详细编码,并分析软件保安漏洞。
保障你的资讯科技服务外判的安全
资讯科技服务外判是将原本由内部员工负责的资讯服务或功能交给其他公司负责。
资讯科技服务外判保安
资讯科技服务外判保安当机构外判部份资讯科技服务的时候,外判供应商便可能成为公司里另一个”内部人员”,处理公司内敏感而且重要的资料。
加强实体保安
实体保护你的电脑设备也是很重要的,就像其他你所拥有的有价值资产一样,你可考虑以下工具或方法来实体保护你的电脑
处理公司的资讯保安事故
它指在资讯系统及/或网络上的负面事情,对资讯的机密性、完整性、可用性、不可否认性和认证等方面构成威胁。
处理恶意软件爆发
由于攻击者的动机是基于经济掠夺,他们的攻击形式也不只是骚扰或破坏活动而已。恶意程式码攻击已经变得更复杂,甚至成为机构一项严重的隐忧。
机构无线网络的部署
为协助机构了解在无线网络推行期间的最佳作业实务,我们会以一个分为五个阶段的网络发展周期作为基础,逐步指出保安方面需要特别注意的重点。
防范仿冒诈骗网站
要小心避免浏览那些模仿知名公司的仿冒诈骗网站。设立它们的用途是蒐集浏览者的敏感资料,例如个人资料、用户名称及密码。这种行为也是 仿冒诈骗 的一种,同样是恶名昭彰。
身分管理
身分管理( Identity management)是过程和科技的结合体,帮助企业管理和保护组织内资讯和资源的接达。
使用电子认证确保接达安全
电子认证是确立对使用者以电子形式向资讯系统提交的身分的信心,当中可涉及核实「使用者所知的资料」、「使用者拥有的资料」及/或「使用者特征或行为的资料」。经核实的项目愈多,确立的信心便愈高。
加密你的资料
加密技术是一个把易于读取和了解的数据格式(原文)加以更改及转变的过程,使其转为不可读取的格式(加密文本),令人看起来是一组无用及难以了解的文本。
处理电子邮件须知
今时今日,电邮是与人通讯的普遍方式。它带来了极大的方便,但亦对你的电脑系统构成威胁。
防范仿冒诈骗攻击
不要连接滥发电邮等不可信赖来源或电邮所载的URL连结,以免被看似合法的恶意连结转往恶意网站。
防范滥发电邮
滥发电邮对每个电邮用户来说都已经变成了一个问题。例如,电邮的终端用户必需每天花时间去清理这些没有必要且未经要求便发出的讯息。
明智地使用网络邮件
以下是提供终端用户关于使用网上电邮的贴士。
防范电话诈骗
犯罪者使用电话(特别是互联网的电话系统)来欺骗他人。
小心保管手提电脑
小心保管手提电脑以免被贼人有机可乘。
安全地使用即时通讯
以下是给终端用户使用即时通讯作为一般通讯工具的贴士
保护你的新电脑
当你设定你的家用新电脑时,不要忘记安装一些必要的保安措施。单单打开盒子取出电脑然后连线是不安全的,因为此举会把电脑处于一些保安风险:如感染病毒及恶意程式码,接收滥发电邮,拒绝服务攻击,个人或敏感资料被泄露。
获取防火墙
所谓防火墙可以是软件或是硬件的一种工具。它可用于保护电脑,以避免来自互联网攻击者的威胁。
定期安装保安修补程式
当软件商在软件发现程式错误,便会向用户提供一些修补程式去修补这些漏洞。同时,骇客也会利用这些漏洞去攻击一些还未安装修补程式的电脑。
防范恶意软件
最佳作业实务可以保护您的电脑更有效地对抗恶意软件的攻击。
使用有安全更新的软件
凡软件产品,包括操作系统和应用软件,皆有其生命週期,任何软件产品都会有终止支援的一日,而成为过时产品。终止支援是指软件供应商不再提供安全更新、修补程式或支援服务等,在支援结束后被发现的安全漏洞,就没有安全更新以解决问题。
弃置处理电脑设备
本部分提供一些关于数据删除的资料,和正确弃置电脑或储存媒体的方法,以防止资料被未预期地外泄。
遥距工作的保安
以下贴士可供各有关方面(包括机构和个人)参考,以维持遥距工作或学习环境安全稳妥。
安全使用视像会议指南
在主持视像会议或使用视像会议方案时,可参考以下一些保安措施/良好做法,以减低风险和避免私隐外泄。
何谓资讯保安
CIA指机密性,完整性和可用性三重奏是资讯保安的核心。
资讯保安与公司何干
要知道你公司的资讯是否已经妥善保安,请检阅下列几点说明
电子服务与资讯保安
电子服务是指透过电子媒介来获取和传送服务。电子商贸亦属这个范畴
殭尸网络
殭尸网络为互联网带来严重的保安威胁,大部分的滥发电子邮件、身分盗用、仿冒诈骗和分布式拒绝服务(DDoS)攻击均由殭尸网络引致 。
暴力攻击
暴力攻击暴力攻击是通过试误法以破解凭證,反覆试验所有可能的组合,直至猜到正确密码。
核心保安原则
核心保安原则是一些广为接纳并从宏观角度应对资讯保安事宜的原则。这些原则属基本原则,甚少改变。
针对域名系统(DNS)伺服器的网络威胁
除了DNS相关的攻击规模与复杂程度大幅增加之外,攻击者还采用多种不同的攻击技术,来针对DNS的不同组件 。
资料外泄
资料外泄属于网络安全事件,涉及未经系统拥有人授权下接达、更改、移除、窃取或公开披露的资料。
深度伪造
近年,由於深度偽造惡意用於製造假視像、偽造圖像和金融欺詐,所傳播的錯誤訊息 或虛假訊息 可能會侵蝕企業的聲譽和社會之間的信任,因而引起大眾關注。現在要取用創作深度偽造的工具十分容易,引起公眾對於以假亂真的深度偽造製成品的關注,認為須加以偵察,以及限制其使用。
拒绝服务 / 分布式拒绝服务攻击
拒绝服务攻击和分布式拒绝服务攻击是互联网上一种常见的网络威胁。
身分盗窃
身分盗窃是一种刑事行为,在他人不知情或没有得到其同意的情况下取得其个人资料,意图诈骗。身分盗贼利用有关个人资料冒充资料当事人作欺诈用途。
内部威胁
内部威胁是源自机构内的人士所带来的保安风险,通常涉及在职或前雇员,以及可以接达敏感讯息或特权帐户的外判商业伙伴。
恶意软件
恶意软件是不同类型的恶意程式码的一个统称。恶意软件可用于破坏正常的计算机功能,窃取数据,获得未经授权的访问,或形成殭尸网络以发起有组织的攻击。
仿冒诈骗
仿冒诈骗攻击邮件几可乱真,有些收件人会作出回应,结果导致财务损失、身份盗用和其他欺诈行为。
预防勒索软件
勒索软件是一种恶意软件。电脑罪犯会利用这种软件把受感染电脑装置内的档案锁上。这些被锁的档案就好像人质一样,受害人如要取回这些资料,便需按照勒索软件的指示缴付「赎金」,才可把档案解锁。
供应链攻击
供应链攻击日趋普遍,因为攻击者通过获信赖的第三方供应商可以接达多个机构的系统。