我需要怎樣做?
實施保護
根據對註冊及認證程序所釐定的要求,實施可應用的認證方法及適當的措施以減低相關風險或影響。
務請注意,資訊系統的整體保安取決於多項因素。單純依賴認證權標設備作為唯一途徑不一定可確保或改善保安水平。在設計安全資訊系統方面可採用其他舒緩辦法。而以下保護措施尤其重要
- 實施適當的技術措施,例如抗電腦病毒程式、防火牆、密碼匙管理等等,以保護相關的操作環境
- 經常追踪系統活動、警戒訊息,用以識別可疑的活動
- 經常獲取最新的保安消息、保安事件、安全漏洞、安全威脅及攻擊的報導
- 採用良好的資訊保安慣例
- 透過不同渠道,例如刊物、官方網站、官方聲明,直接通知使用者有關敏感的個人或帳戶資料在通訊或收集方面的政策或防預措施。例如,網站聲明載有
- 將不會發放連接到網站登入網頁的電子郵件
- 將不會透過電子郵件或電話要求使用者提供個人或帳戶資料
- 提供通訊渠道處理使用者通報的保安事件
- 教育使用者須遵從的良好保安慣例
此外,各參與方(例如使用者、技術支援、使用者支援、管理層)應明白本身關聯的角色和責任,並需對其行為負責。
|