重要資訊的接達控制
你應該按照需要知道 (need-to-know)原則來發出資料接達權,否則,你將面對以下保安風險:
未經授權員工可接達到敏感資料,如薪金帳冊紀錄。
也許有人會破壞你的資料。
你也許違反個人資料(私隱)條例
接達控制
你可在資訊科技系統中設定及應用接達控制政策,以允許特定人仕接達至特定資料類別,例如人事部門的員工可接達薪金帳冊資料,而市場行銷部門的員工則無法接達到該資料,需按照需要知道原則來發出接達權。
保安貼士
定期檢查及更新接達控制政策。
限制系統管理者和用戶的數量和領域。
依個別任務來發出接達權,而非依個別人員而發出接達權。
分配給每個用戶獨一無二的用戶 ID。
教育用戶有關資訊保安的重要性,並經常提醒他們保安最佳作業實務。
一旦員工離職或更改職務,便應使其帳戶失效或移除相關的權力。
確定每個人接達系統時皆通過登入和登出的過程。如用戶端閒置一段時間,系統應該有自動登出功能。
假如連續登入失敗數次,應使該帳戶失效。
使用難以猜測的密碼,學習如何適當地處理密碼。
考慮使用生物特徵認證技術,例如指紋、面部特徵辨識或智能卡技術。
學習如何棄置無用的設備,因為機密資訊也許會遺留在棄置設備中。
