我需要怎样做?
实施保护
根据对注册及认证程序所厘定的要求,实施可应用的认证方法及适当的措施以减低相关风险或影响。
务请注意,信息系统的整体保安取决於多项因素。单纯依赖认证权标设备作为唯一途径不一定可确保或改善保安水平。在设计安全信息系统方面可采用其他舒缓办法。而以下保护措施尤其重要
- 实施适当的技术措施,例如抗计算机病毒程式、防火墙、密码匙管理等等,以保护相关的操作环境
- 经常追踪系统活动、警戒讯息,用以识别可疑的活动
- 经常获取最新的保安消息、保安事件、安全漏洞、安全威胁及攻击的报导
- 采用良好的信息保安惯例
- 透过不同渠道,例如刊物、官方网站、官方声明,直接通知使用者有关敏感的个人或帐户资料在通讯或收集方面的政策或防预措施。例如,网站声明载有
- 将不会发放连接到网站登入网页的电子邮件
- 将不会透过电子邮件或电话要求使用者提供个人或帐户资料
- 提供通讯渠道处理使用者通报的保安事件
- 教育使用者须遵从的良好保安惯例
此外,各参与方(例如使用者、技术支持、使用者支持、管理层)应明白本身关联的角色和责任,并需对其行为负责。
|