安全控制-cosconetwork.pptVIP

* * * * * * * * * * * * * * 要求集團各部及各下屬公司委任信息安全責任人，根據網絡公司訂立的工作說明，負責單位內的信息安全事務，並代表單位與中遠網絡及信息安全委員會溝通協調 由網絡公司制定員工信息安全責任書，集團所有員工必須遵守責任書所列的規定。個別員工須對各單位內的信息安全作進行管理並承擔責任 應進一步加入用戶帳號領用規定，要求員工細閱帳號管理規定後才給予使用 集團規章制度內沒有明確信息安全賞罰制度，可由網絡公司為各種信息安全責任，以嚴重性、危害性作分類，再由集團相關部門決定懲處事宜，並加入集團規章制度內以便執行 * * * * * * * * * * 編制「服務器回復手冊」，確保所有恢復工具（如光盤、磁帶機等）準備就緒，減少服務器停機時間 對Token認證方式進行調研，但由於利用Token認證需要硬件投資、軟件改動等，費用高昂，建議選擇一些需要高度保密的應用系統（如人事系統、財務系統、薪金管理系統等），研究加入Token認證系統的可能性。 對筆記本電腦、手機等移動設備的訪問控制方案進行調研，並制定解決方案。如設備沒有安裝或配置操作系統以外的訪問控制措施，將不能訪問香港集團網絡 對現在集團各網絡區間的訪問需求作調研，訂立訪問權限表。 完成上述網絡分區訪問權限表後，如日後需修改，則必須通過流程作申請，並知會各區間的所屬單位 在所有系統進行交付時，必需執行「系統交付信息安全檢查」，由供應商提供合理的測試，並由網絡公司確認 制定及統一所有系統的變更流程，必須讓用戶參與。如變更對系統安全做成影響，開發或管理人員必須讓用戶清楚了解當中風險。用戶經過功能和成本考慮系決定是否執行變更 建立弱點報告匯報流程，當信息系統於日常工作時被發現含弱點，則須馬上向上級匯報， 並以流程統一處理方法及紀錄在案，避免弱點因延誤處理而演變成重大問題 為主要應用系統訂立連續性方案，但由於系統眾多，操作非常複雜，建議先對電子郵件、Internet瀏覽及綜合信息管理平台制定方案 須配置微軟Configuration Manager 2007應用服務，實時檢測服務器是否符合安全策略要求 * 要求集團各部及各下屬公司委任信息安全責任人，根據網絡公司訂立的工作說明，負責單位內的信息安全事務，並代表單位與中遠網絡及信息安全委員會溝通協調 由網絡公司制定員工信息安全責任書，集團所有員工必須遵守責任書所列的規定。個別員工須對各單位內的信息安全作進行管理並承擔責任 編制「服務器回復手冊」，確保所有恢復工具（如光盤、磁帶機等）準備就緒，減少服務器停機時間 ，應進一步加入用戶帳號領用規定，要求員工細閱帳號管理規定後才給予使用 對Token認證方式進行調研，但由於利用Token認證需要硬件投資、軟件改動等，費用高昂，建議選擇一些需要高度保密的應用系統（如人事系統、財務系統、薪金管理系統等），研究加入Token認證系統的可能性。 將進一步加入用戶帳號領用規定, 要求員工細閱帳號管理規定後才給予使用 對筆記本電腦、手機等移動設備的訪問控制方案進行調研，並制定解決方案。如設備沒有安裝或配置操作系統以外的訪問控制措施，將不能訪問香港集團網絡 對現在集團各網絡區間的訪問需求作調研，訂立訪問權限表。 完成上述網絡分區訪問權限表後，如日後需修改，則必須通過流程作申請，並知會各區間的所屬單位 在所有系統進行交付時，必需執行「系統交付信息安全檢查」，由供應商提供合理的測試，並由網絡公司確認 制定及統一所有系統的變更流程，必須讓用戶參與。如變更對系統安全做成影響，開發或管理人員必須讓用戶清楚了解當中風險。用戶經過功能和成本考慮系決定是否執行變更 建立弱點報告匯報流程，當信息系統於日常工作時被發現含弱點，則須馬上向上級匯報， 並以流程統一處理方法及紀錄在案，避免弱點因延誤處理而演變成重大問題 為主要應用系統訂立連續性方案，但由於系統眾多，操作非常複雜，建議先對電子郵件、Internet瀏覽及綜合信息管理平台制定方案 須配置微軟Configuration Manager 2007應用服務，實時檢測服務器是否符合安全策略要求 集團規章制度內沒有明確信息安全賞罰制度，可由網絡公司為各種信息安全責任，以嚴重性、危害性作分類，再由集團相關部門決定懲處事宜，並加入集團規章制度內以便執行 中遠網絡交付各單位的系統文檔，應由各單位之行政部門保管，系統使用者不得管有系統文檔 * * * 存取及授權的管制 存取權分配是根據實際需要及盡量收緊至可行權限 存取權不可與利益有衝突 * 病毒控管 病毒的入侵可造成下列的影響 : 影響用戶的日常操作 不能夠登入電腦或存取數據 損失或破壞數據 不可靠的應用程式 屏幕出現不正常的訊息 系統衝突 花費除毒的時間及人力 * 防衛