私隱署發布《資訊及通訊科技的保安措施指引》
香港互聯網註冊管理有限公司官方帳號
2022-09-22 16:19 HKT
字體大小
在疫情下,網上網下的混合工作和學習模式成為了新常態,資料使用者在保障個人資料私隱面臨新挑戰。根據私隱專員公署的資料,今年1月至7月,共接獲68宗由機構通報的資料外洩事故,其中超過25%涉及資訊及通訊科技系統漏洞。
因應網絡安全事故有所增加,私隱專員公署於8月30日發出 《資訊及通訊科技的保安措施指引》,為資料使用者建議相關的資料保安措施,以協助遵從《個人資料(私隱)條例》的相關規定。公署表示希望透過指引,向資料使用者,特別是中小企,提供全面加強資料保安的良好行事方式,幫助他們建立穩健的資料保安系統,最終逹致加強保安措施,及有效防範資訊系統受到惡意攻擊的目標。
《資訊及通訊科技的保安措施指引》涵蓋了6個方面的的資料保安措施,包括:
- 資料管治和機構性措施:包括委任合適的領導人員負責資料保安,及提供足夠的培訓予工作人員。在評估及制訂資料管治和資料保安政策時,資料使用者可參考信譽良好的機構所制訂的標準和最佳行事方式,例如ISO/IEC 27000 系列的資訊安全管理系統標準。
- 風險評估:在啟用新系統和新應用程式前,以及在啟用後定期進行資料保安風險評估。資料使用者應就其控制的個人資料備存清單,並評估有關資料的性質,以及有關資料被洩露可能導致的損害。
- 建議一系列的技術上及操作上的保安措施,當中涵蓋:電腦網絡、資料庫、存取管控、防火牆和反惡意軟件、網絡應用程式、數據加密、電郵及檔案傳送、資料備份、銷毀及匿名化等等。
- 資料處理者的管理:資料使用者須採取合約規範方法或其他方法,以防止轉移予資料處理者的個人資料在未獲准許或意外的情況下被查閱、處理、刪除、喪失或使用。指引同時提供了在聘用資料處理者時可以考慮採取的一些具體行動。
- 資料保安事故發生後的補救措施,從而減輕對機構及受影響人士可能造成的傷害。有關如何處理資料外洩的詳細指引,請參閱私隱公署發出的《資料外洩事故的處理及通報指引》。
- 定期監察、評估及改善資料保安政策的遵從情況。透過委派獨立的專責小組(例如內部或外部審計)負責定期監察資料保安政策的實施情況,以及定期評估資料保安措施的成效。如發現違反政策的行為或保安措施成效不彰,應採取改善行動。
本週重點
除了以上的重點資料保安措施以外,《資訊及通訊科技的保安措施指引》亦就雲端服務、自攜裝置 (BYOD) 及便攜式儲存裝置等等經常用作儲存或者交換資料的技術提供了一些實用的保安建議。讀者可以點擊以下超連結,一覽指引全文內容。
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
最Hit
《愛回家》演員控訴九記牛腩「拘禁」食客?拍片起衝突遭老闆擋門唔畀走 最後要咁甩身......
2025-05-01 17:37 HKT
甘肅女大生執手機跌入化糞池溺斃 網民:最悲摧的死法
2025-05-01 11:05 HKT
中年好聲音3丨「譚詠麟愛將」爭奪7強席位出絕招!老婆激罕現身外貌驚為天人 撞樣TVB小花
2025-05-01 14:53 HKT
