资讯保安标准及最佳作业守则
主页 > 
资讯保安标准及最佳作业守则
< 返回

资讯保安标准及最佳作业守则

为协助你为公司制订资讯保安管理计划 , 我们列出一些资讯保安国际认可标準、指引及有效保安作业实务的指引以供参考。部分标準、指引及守则只提供英文版本。

资讯科技保安政策及指引

香港特别行政区政府向各决策局和部门提供了一套《政府资讯科技保安政策及指引》以给各决策局和部门在保护政府资讯系统和数据资产时提供有关的技术建议及指引。有关的指引可透过以下超连结取得。用户应留意这些指引只供一般参考用途,用户在使用这些指引前须自行对所提供的资料作出评估及徵询独立意见。

基準资讯科技保安政策 - 本文件就政府各政策局及部门在资讯科技保安规格订定基础标準。它列明哪些保安事宜,对政策局及部门至为重要。
资讯科技保安指引 - 本文件阐释对《基準资讯科技保安政策》的要求及制定相关的实施标準。
《保安风险评估及审计实务指引》 - 本文件为政府的保安风险评估及审计工作提供实务指引和参考。
《资讯保安事故处理实务指引》 - 本文件为政府的保安风险评估及审计工作提供实务指引和参考。

公众日渐关注经 Wi-Fi 网络传递资讯的保安问题。为解决此问题,通讯事务管理局 ( 通讯局 ) 已公布一套保安指引予公共 Wi-Fi 服务营办商遵守。该指引是由电讯局、业界和有关专业团体共同制订的。

资讯科技保安管治及良好作业守则

资讯保安管理系统 ISO/IEC 27000 标準系列 - 本文件提供资讯保安管理系统 ISO/IEC 27000 系列概论包括互有关连的标準及指南,以及若干重要的组成部分。
ISO/IEC 27001 – 本文件就国际标準化组织 (ISO) 的标準,列明机构在建立、推行、维持及改良其资讯安全管理系统时需符合的要求。
ISO/IEC 27002 – 这是国际标準化组织 (ISO) 就资讯安全管理而设的业务守则。
ISO/IEC 27017 – 本文件提供支援推行信息安全控制措施并适用于云用户及供应商的指南。用户及供应商可按照适用于云服务的风险评估及其它要求,选择适当的控制措施和采用有关的推行指南。
British Standard 7799 Part 3 - 这是 BSI Group 就资讯安全风险管理而设的业务守则。
资讯及相关技术的控制目标 (COBIT) - 这是 ISACA 发布的一套资讯科技管治架构。
通用条件 (Common Criteria 又称 ISO/IEC15408) - 这是多个国家保安标準组织合作发展的一套划一评估準则。这些国家包括澳洲、加拿大、法国、德国、日本、荷兰、新西兰、西班牙、英国及美国。
ITIL (ISO/IEC 20000 系列) - 这是一系列有关资讯科技服务管理 (IT service management (ITSM)) 的良好作业守则 , 主要针对服务过程并考虑用户的中心角色。
国家信息安全技术标準规範 - 这是由全国信息安全标準化技术委员会制定的一系列国家资讯保安标準。当中包括管理、评测、认證与授权等相关资讯保安标準。
SANS Security Policy Resource – 这是由 SANS 组织提供的一套资源以助机构可快速建立及实行其资讯科技保安政策。

网上商业活动保安指引

电子交易条例 - 这条例涉及用於电子交易上的电子记录及数码签署跟文件记录及签署相同的法律地位。
经济合作暨发展组织 (OECD) 之电子商贸消费保护纲领 – 这是由经济合作暨发展组织发布的有关电子商贸的原则及良好作业守则。
OWASP Top Ten Project – 这是由 OWASP 组织发布的网上应用系统保安指引,列明了哪些是广泛业界所认同的重要保安漏洞。
支付卡行业数据安全标準 - 这是一套由多间大型信用卡公司 ( 包括 American Express、MasterCard Worldwide 和 Visa International ) 所发展出来以加强保障付款帐户资讯的保安标準。
RFC 2196 Site Security Handbook , 来自 IETF ( The Internet Engineering Task Force ) – 这是由 IETF 发出的手册,就接驳互联网的系统提供了建立资讯保安政策及程序的指引。
云端运算相关的技术标準 - 这网页介绍了一些由国际组织制定与云端运算相关的技术标準。当中包括管理、网络服务、保安及其他相关的云端运算标準。
TRUSTe – 在这计划下,网站可获发并展示一个私隐权标章,或可称为「信任标章」,但必须跟从私隐原则,以及符合监督及顾客服务程序。
「网誉认證」 ( WebTrust ) 服务计划 – 在这计划下 , 网站拥有「网誉认證」,即表示该公司已遵从一系列「网誉认證」的原则,範畴包括网上私隐、资讯保安、商业实务守则、交易準确性、可用性、及为核證机关而设的「网誉认證」。

数据私隐保安指引

一系列与个人资料私隐相关的指引 – 这是由香港个人资料私隐专员公署提供给行业、机构及用户的参考资料。
A Practical Guide for IT Managers and Professionals on the Personal Data (Privacy) Ordinance – 这份指南由香港电脑学会制订 , 旨在帮助企业团体 , 尤其是 IT 管理层及专业人员 , 保障个人资料私隐。
康保险便利及责任法案 (HIPAA) - 这法案是美国政府实行的健康保险便利及责任法案以统一保护个人健康资讯私隐的保安标準。

其他参考资料

国际信息系统审计协会 (ISACA) 标準、指引及程序 - 这是由国际信息系统审计协会制订的一系列的资料系统审计标準、指引及程序。
RFC 2350 Expectations for Computer Security Incident Response, 来自 IETF (The Internet Engineering Task Force) – 这是由 IETF 发出的文件,列明了一般电脑保安事故协调队伍需注意的事项。
SANS’s Critical Security Controls for Effective Cyber Defense - 这是由 SANS 组织提供的保安控制,以防禦严重的网络攻击,以及舒缓有关的风险。