上星期提到,生产力局及属下香港电脑保安事故协调中心最近编制《中小企网络安全七大攻略》,助中小企运用有限的资源来应付网络保安威胁。今次首先从资讯保安政策和资讯保安管理入手。

2018年世界盃已落下帷幕,法国队凭藉出色的发挥夺得大力神杯。法国队能够在20年后再度捧杯,离不开主帅制定了正确的战术,并得到球员完美地执行。同样地,在资讯保安系统中,制定正确的资讯保安政策,管理员工妥善地执行政策也是重中之重,是决定保安水平的关键要素。

主帅会根据自己球队与对手的实际情况,来制定合适的战术和应变对策。相对于资讯保安政策,则由管理层策划,须因应本身的营商环境和资源,并配合业务需要和风险管理策略而制定。资讯保安政策是一个机构实现保安目标的基本指引和途径,但绝非是一成不变,机构可根据实际情况及资讯保安要求的变化,适时更新资讯保安政策。

在足球场上,球员不执行主帅的战术,所有战术只是纸上谈兵。资讯保安政策也一样,管理层制定政策之后,需要在机构上下推广和落实,并监察政策的执行情况。

推行资讯保安政策有三大方法:

  1. 各位员工尤其新员工,应有机会查阅及知悉资讯保安政策,了解企业的资讯保安要求,并在工作中积极遵守。
  2. 资讯保安政策应张贴在当眼处,以及在公司内联网上发佈,方便员工查阅。
  3. 资讯保安政策应定期更新,并确保员工知悉,如:即时向员工发送电邮介绍新政策,更新办公室的海报及公司内联网的文件。

资讯保安政策的制定与管理是一个持续的过程,需要管理层及企业上下员工的通力合作,才能确保资讯保安政策妥善执行。