推行及維持一個穩妥的保安架構

隨著從保安風險評估過程中取得風險評估結果，資訊保安管理周期便進入推行及維持的階段，以推行適當的保安防護措施來維持一個穩妥的保安架構。這包括制訂保安政策和指引、委派保安職務，以及推行技術及行政上的保安防護措施。所有這些步驟均大大有助保衛你的業務資產。

制訂及推行保安政策

保安政策乃就資訊保安設定基本守則。這些守則是強制性的，及必須由整家機構的人員遵守。由於每家機構的保安需求均有不同，故其保安政策亦會各異。因此，最重要是保安政策應合乎該機構的保安需求、業務目標和業務政策，才可得到支持和落實施行。

事實上，保安政策可以非常高層次而跨越個別科技界限，又或非常詳細而特指某一科技界限。保安政策可以分為三個基本類別：

程式層面政策

問題特定政策

系統特定政策

系統特定政策著眼於管理某一特定係統的政策問題。它只會處理一個系統，而程式層面政策及問題特定政策兩者則會處理廣泛層面上的問題，通常包含整家機構。

選擇制訂哪一種保安政策乃視乎你機構的需要。然而，最重要的是政策必須定出方向，以作為作出其他較低層次決策時的基礎。

保安政策制訂周期概略

界定計劃範圍和部署

收集資料

構建保安政策架構

制訂政策陳述

推行、宣傳及加強執行保安政策

定期覆檢及評估

資訊科技保安政策應涵蓋公司對可以適當使用其電腦及網絡資源的預期，以及防止和應付保安事故的程序。在草擬政策時，應要考慮公司本身的保安需求。草擬政策時應考慮以下範疇：

公司目標及方向

現行政策、守則、規條及香港特區政府的法例

公司本身的要求和需要

推行、分發及加強執行事宜

你可參考一些資訊保安良好作業模式、指引及有效保安作業實務的指引。部分標準、指引及守則只提供英文版本。

制訂及推行管理及行政程序

制訂及推行管理及行政程序根據保安政策所定的方向和範圍，便可設定管理及行政程序來支持政策的推行。

這裡是部分主要的管理及行政活動。

委派任務及職責

制訂資訊科技保安政策需要來自多個職位及職務單位人士的積極支持和持續參與。因此，在保護公司資訊及系統資產時，必需明確界定責任及適當委派職責，並會視乎業務需要和環境而涉及以下職務：

資訊科技保安主任

高級管理人員

資訊擁有人

資訊系統用戶

指引及標準

指引及標準是推行保安政策的工具。由於政策可能在一個廣泛的層面上擬訂，故必需制訂有關標準、指引和程序，以給予用戶、管理人員、電腦人員及高層管理人員一個較為清晰的方法去推行保安政策及達成部門的任務。

保安認知和培訓

保安認知對確保有關各方面能了解風險、接受和採納良好保安作業實務是十分關鍵的。培訓和教育可以為用戶、制訂人員、系統管理人員、保安管理人員及任何有關方面，提供推行保安措施所必需的技術和知識。

除非用戶或有關方面作出承諾和進行溝通，否則沒有政策可以落實推行。這是指用戶及有關方面：

已透過簡報或介紹會得悉有關政策；

已獲邀參與製訂政策建議書；

已跟從政策所需接受的技術培訓；

覺得保安措施是為他們的利益而製訂；

定期提醒、注意及獲知最新的問題；

已簽署確認；

及已獲得適量的政策指引

落實執行

這是指施行來自推行政策的權力，以及糾正侵犯此等權力的工作。公司應設定程序，為調查破壞保安系統的事宜上提供及時的協助。成立公司事故管理小組和設定保安事故處理程序，均能改善保安政政策的效用。

各方的持續性參與

一個有效的保安政策亦有賴用戶與公司之間持續性地交換資料、諮詢、協調和合作。從有關方面引入標準、方法、業務守則及資訊科技其他方面的專門知識，將有助保持保安政策追上時代和切題。

選擇及推行技術措施

除了管理和行政過程外，推行保安政策可能涉及技術措施的使用，透過選擇和推行合適技術和產品。技術措施應在正式操作前接受適當的測試

選擇及推行

抗惡意軟件

接達控制系統

防火牆

入侵偵測系統

加密技術

密碼匙的管理及密碼匙分發系統

網絡管理系統及保安管理系統

操作

操作採取適當程序來處理問題

採取適當程序來追踪系統活動和警告

採取適當程序來監察保安基建的健全狀況

採取適當程序來處理及控制變動

相關主題:

資訊保安管理

參閱資料予: