私隐署发布《资讯及通讯科技的保安措施指引》
香港互联网注册管理有限公司官方帐号
2022-09-22 16:19 HKT
字体大小
在疫情下,网上网下的混合工作和学习模式成为了新常态,资料使用者在保障个人资料私隐面临新挑战。根据私隐专员公署的资料,今年1月至7月,共接获68宗由机构通报的资料外泄事故,其中超过25%涉及资讯及通讯科技系统漏洞。
因应网络安全事故有所增加,私隐专员公署于8月30日发出 《资讯及通讯科技的保安措施指引》,为资料使用者建议相关的资料保安措施,以协助遵从《个人资料(私隐)条例》的相关规定。公署表示希望透过指引,向资料使用者,特别是中小企,提供全面加强资料保安的良好行事方式,帮助他们建立稳健的资料保安系统,最终逹致加强保安措施,及有效防范资讯系统受到恶意攻击的目标。
《资讯及通讯科技的保安措施指引》涵盖了6个方面的的资料保安措施,包括:
- 资料管治和机构性措施:包括委任合适的领导人员负责资料保安,及提供足够的培训予工作人员。在评估及制订资料管治和资料保安政策时,资料使用者可参考信誉良好的机构所制订的标准和最佳行事方式,例如ISO/IEC 27000 系列的资讯安全管理系统标准。
- 风险评估:在启用新系统和新应用程式前,以及在启用后定期进行资料保安风险评估。资料使用者应就其控制的个人资料备存清单,并评估有关资料的性质,以及有关资料被泄露可能导致的损害。
- 建议一系列的技术上及操作上的保安措施,当中涵盖:电脑网络、资料库、存取管控、防火墙和反恶意软件、网络应用程式、数据加密、电邮及档案传送、资料备份、销毁及匿名化等等。
- 资料处理者的管理:资料使用者须采取合约规范方法或其他方法,以防止转移予资料处理者的个人资料在未获准许或意外的情况下被查阅、处理、删除、丧失或使用。指引同时提供了在聘用资料处理者时可以考虑采取的一些具体行动。
- 资料保安事故发生后的补救措施,从而减轻对机构及受影响人士可能造成的伤害。有关如何处理资料外泄的详细指引,请参阅私隐公署发出的《资料外泄事故的处理及通报指引》。
- 定期监察、评估及改善资料保安政策的遵从情况。透过委派独立的专责小组(例如内部或外部审计)负责定期监察资料保安政策的实施情况,以及定期评估资料保安措施的成效。如发现违反政策的行为或保安措施成效不彰,应采取改善行动。
本周重点
除了以上的重点资料保安措施以外,《资讯及通讯科技的保安措施指引》亦就云端服务、自携装置 (BYOD) 及便携式储存装置等等经常用作储存或者交换资料的技术提供了一些实用的保安建议。读者可以点击以下超连结,一览指引全文内容。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
