保護您的公司機構
現在的日常生活中,任何人都可藉流行的工具與技術,如流動電話、電子郵件、即時通訊服務、可攜式的儲存器,以及經無線網絡接達互聯網的能力,輕易地攜帶及處理大量數據。隨著攜帶數據的便利,要把關鍵的機構資料儲存到個人設備中,或利用公共訊息服務處理,有很多其它不當的方式使資料洩漏到公眾的領域。
數據的保護曾經依賴實體性的防禦或完全隔離原始數據的策略,也就是限制接達在大型主機系統、磁帶或磁碟上儲存的數據位元與字節。時至今日,這種策略已不足夠應付保護數據的要求,因限制接達這種靜態的防禦方法並不適合使用於現代的商業實務上。因為公用客戶端(電腦及流動裝置)能使用相容的介面標準與公司的服務溝通,所以只要有渠道和機會的存在,任何人都可接達與轉譯從任何來源的數據。
以下是一些保護你的公司資料的貼士:
意識與責任:透過教育與定期的提示使內部工作人員充分意識他們的共同責任,是相當重要的。故資訊保安的重要性是不容忘卻與忽視的。每個雇員都必需要充分意識自己的責任、他們在資訊接達的限制、及任何可能造成保安事故的紀律處分。
定時評估與政策:在做任何改變之前,評估建設在公司內各處的資訊系統以及確認其必須改善的地方,是一個很好的概念。建立一個保安政策去管理隨之而來的指引與程序的發展是必須的。定期執行持續的評估也是很重要的,這使既有的程序能因應工作條件與新的技術作出更新與改善。
數據的分類:並非所有的數據都屬於相同等級的重要性或敏感性。為了善用資源,應該以公司數據的保安等級來作優先次序,把保安上所用的資源先集中在最重要的數據上。
接達的限制:軟件以及機密數據的接達應該是僅能給予經過授權的員工。用密碼或權標這類型的認證方式在接達的保護上是屬於較常見的技術,且可根據使用者的角色,把不同的授權配置檔應用於不同使用者上。審計追蹤是認證的另一個補充辦法,且全面的活動記錄也能夠提供有用的資訊去改善保安措施的效率。數據加密對未經授權的數據接達提供了另一層次的保護。
流動裝置的保護:流動資訊處理裝置與儲存在其中的數據,不論是遭盜竊或者是在沒有人看管的情況下,都會很容易被遺失。實體的防護方法,如用防盜安全鎖,就是最常見的第一道防線。還有額外的授權要求如密碼也可以防衛未經授權的接達。使用者應自行判斷在這些裝置上儲存保密資料的風險以及必要性,且不管如何都要定期進行數據備份。
網絡的防護:防止從互聯網的入侵或攻擊是一個很大的課題。如防火牆以及代理伺服器這些產品都已經可提供某一程度的數據與系統保護。但每家公司的數據系統所具不同的架構通常都必須受到評估,並設計出針對該公司營運所需的保護措施。應定期掃描硬碟與可攜式的儲存器,以及即時更新修補程式、病毒識別碼特徵檔(virus signature pattern files)和惡意程式碼定義。
公用渠道的保安措施:公用通訊的渠道,如即時通訊(IM)、無線網絡的接達以及公共網上電子郵件服務等,都有可能帶有公司的資訊。在辦公環境中使用這些公用渠道的控制措施有時候是必要的:
發展一套清晰的通訊使用政策,且發布這些訊息給所有員工知道;
考慮推行一個相當於企業的統一解決方案而非使用公用通訊服務;
在適當的地方實施保安保護系統;
將一些不安全的服務停止,如遠端啓動的錄影機。
電腦配備的棄置:當丟棄已舊的電腦配備或內存非揮發性數據的儲存媒體,便需要一個適當的程序去保證所有的資訊和數據都已經被刪除,如對儲存媒體作實體破壞、覆寫資料,或是重新格式化。
數據的保護:在某些狀況下,防止員工攜帶個人物品,包括流動電話在內,進入工作範圍也許是值得建議的。這有助於排除一些數據被竊取的機會。重要的或敏感的數據可儲存於虛擬機器內已加密的資料夾,這樣操作上的數據便可自動地被加密。
自我評估資訊及通訊科技系統的資料保安 : 使用香港個人資料私隱專員公署提供的 數據安全快測 ,就資訊及通訊科技系統的資料保安措施進行快捷方便的自我評估。
