上星期提到,生產力局及屬下香港電腦保安事故協調中心最近編制《中小企網絡安全七大攻略》,助中小企運用有限的資源來應付網絡保安威脅。今次首先從資訊保安政策和資訊保安管理入手。
2018年世界盃已落下帷幕,法國隊憑藉出色的發揮奪得大力神杯。法國隊能夠在20年後再度捧杯,離不開主帥制定了正確的戰術,並得到球員完美地執行。同樣地,在資訊保安系統中,制定正確的資訊保安政策,管理員工妥善地執行政策也是重中之重,是決定保安水平的關鍵要素。
主帥會根據自己球隊與對手的實際情況,來制定合適的戰術和應變對策。相對於資訊保安政策,則由管理層策劃,須因應本身的營商環境和資源,並配合業務需要和風險管理策略而制定。資訊保安政策是一個機構實現保安目標的基本指引和途徑,但絕非是一成不變,機構可根據實際情況及資訊保安要求的變化,適時更新資訊保安政策。
在足球場上,球員不執行主帥的戰術,所有戰術只是紙上談兵。資訊保安政策也一樣,管理層制定政策之後,需要在機構上下推廣和落實,並監察政策的執行情況。
推行資訊保安政策有三大方法:
資訊保安政策的制定與管理是一個持續的過程,需要管理層及企業上下員工的通力合作,才能確保資訊保安政策妥善執行。
透過電郵取得本局的最新資訊