資訊保安標準及最佳作業守則
主頁 > 
資訊保安標準及最佳作業守則
< 返回

資訊保安標準及最佳作業守則

為協助你為公司制訂資訊保安管理計劃 , 我們列出一些資訊保安國際認可標準、指引及有效保安作業實務的指引以供參考。部分標準、指引及守則只提供英文版本。

資訊科技保安政策及指引

香港特別行政區政府向各決策局和部門提供了一套《政府資訊科技保安政策及指引》以給各決策局和部門在保護政府資訊系統和數據資產時提供有關的技術建議及指引。有關的指引可透過以下超連結取得。用戶應留意這些指引只供一般參考用途,用戶在使用這些指引前須自行對所提供的資料作出評估及徵詢獨立意見。

基準資訊科技保安政策 - 本文件就政府各政策局及部門在資訊科技保安規格訂定基礎標準。它列明哪些保安事宜,對政策局及部門至為重要。
資訊科技保安指引 - 本文件闡釋對《基準資訊科技保安政策》的要求及制定相關的實施標準。
《保安風險評估及審計實務指引》 - 本文件為政府的保安風險評估及審計工作提供實務指引和參考。
《資訊保安事故處理實務指引》 - 本文件為政府的保安風險評估及審計工作提供實務指引和參考。

公眾日漸關注經 Wi-Fi 網絡傳遞資訊的保安問題。為解決此問題,通訊事務管理局 ( 通訊局 ) 已公布一套保安指引予公共 Wi-Fi 服務營辦商遵守。該指引是由電訊局、業界和有關專業團體共同制訂的。

資訊科技保安管治及良好作業守則

資訊保安管理系統 ISO/IEC 27000 標準系列 - 本文件提供資訊保安管理系統 ISO/IEC 27000 系列概論包括互有關連的標準及指南,以及若干重要的組成部分。
ISO/IEC 27001 – 本文件就國際標準化組織 (ISO) 的標準,列明機構在建立、推行、維持及改良其資訊安全管理系統時需符合的要求。
ISO/IEC 27002 – 這是國際標準化組織 (ISO) 就資訊安全管理而設的業務守則。
ISO/IEC 27017 – 本文件提供支援推行資訊保安控制措施並適用於雲端服務用戶及供應商的指南。用戶及供應商可按照適用於雲端服務的風險評估及其他要求,選擇適當的控制措施和採用有關的推行指南。
British Standard 7799 Part 3 - 這是 BSI Group 就資訊安全風險管理而設的業務守則。
資訊及相關技術的控制目標 (COBIT) - 這是 ISACA 發布的一套資訊科技管治架構。
通用條件 (Common Criteria 又稱 ISO/IEC15408) - 這是多個國家保安標準組織合作發展的一套劃一評估準則。這些國家包括澳洲、加拿大、法國、德國、日本、荷蘭、新西蘭、西班牙、英國及美國。
ITIL (ISO/IEC 20000 系列) - 這是一系列有關資訊科技服務管理 (IT service management (ITSM)) 的良好作業守則 , 主要針對服務過程並考慮用戶的中心角色。
國家信息安全技術標準規範 - 這是由全國信息安全標準化技術委員會制定的一系列國家資訊保安標準。當中包括管理、評測、認證與授權等相關資訊保安標準。
SANS Security Policy Resource – 這是由 SANS 組織提供的一套資源以助機構可快速建立及實行其資訊科技保安政策。

網上商業活動保安指引

電子交易條例 - 這條例涉及用於電子交易上的電子記錄及數碼簽署跟文件記錄及簽署相同的法律地位。
經濟合作暨發展組織 (OECD) 之電子商貿消費保護綱領 – 這是由經濟合作暨發展組織發布的有關電子商貿的原則及良好作業守則。
OWASP Top Ten Project – 這是由 OWASP 組織發布的網上應用系統保安指引,列明了哪些是廣泛業界所認同的重要保安漏洞。
支付卡行業數據安全標準 - 這是一套由多間大型信用卡公司 ( 包括 American Express、MasterCard Worldwide 和 Visa International ) 所發展出來以加強保障付款帳戶資訊的保安標準。
RFC 2196 Site Security Handbook , 來自 IETF ( The Internet Engineering Task Force ) –這是由 IETF 發出的手冊,就接駁互聯網的系統提供了建立資訊保安政策及程序的指引。
雲端運算相關的技術標準 - 這網頁介紹了一些由國際組織制定與雲端運算相關的技術標準。當中包括管理、網絡服務、保安及其他相關的雲端運算標準。
TRUSTe – 在這計劃下,網站可獲發並展示一個私隱權標章,或可稱為「信任標章」,但必須跟從私隱原則,以及符合監督及顧客服務程序。
「網譽認證」 ( WebTrust ) 服務計劃 – 在這計劃下 , 網站擁有「網譽認證」,即表示該公司已遵從一系列「網譽認證」的原則,範疇包括網上私隱、資訊保安、商業實務守則、交易準確性、可用性、及為核證機關而設的「網譽認證」。

數據私隱保安指引

一系列與個人資料私隱相關的指引 – 這是由香港個人資料私隱專員公署提供給行業、機構及用戶的參考資料。
A Practical Guide for IT Managers and Professionals on the Personal Data (Privacy) Ordinance – 這份指南由香港電腦學會制訂 , 旨在幫助企業團體 , 尤其是 IT 管理層及專業人員 , 保障個人資料私隱。
康保險便利及責任法案 (HIPAA) - 這法案是美國政府實行的健康保險便利及責任法案以統一保護個人健康資訊私隱的保安標準。

其他參考資料

國際信息系統審計協會 ( ISACA ) 標準、指引及程序 - 這是由國際信息系統審計協會制訂的一系列的資料系統審計標準、指引及程序。
SANS’s Critical Security Controls for Effective Cyber Defense - 這是由 SANS 組織提供的保安控制,以防禦嚴重的網絡攻擊,以及舒緩有關的風險。
RFC 2350 Expectations for Computer Security Incident Response, 來自 IETF (The Internet Engineering Task Force) – 這是由 IETF 發出的文件,列明了一般電腦保安事故協調隊伍需注意的事項。