《附录有关资讯科技风险管理及网络保安的良好业界作业方式》由会员分享,可在线阅读,更多相关《附录有关资讯科技风险管理及网络保安的良好业界作业方式(6页珍藏版)》请在金锄头文库上搜索。
1、附錄 1 附錄 有關資訊科技風險管理及網絡保安的良好業界 作業方式 A. 整體網絡保安管治 經考慮(除其他事項外)當前及新冒起的網絡保安威脅及趨勢、適用的監管規定、公司的策略規劃、營運變動、客戶概況、自我評估或獨立評估的結果、網絡保安事故及補救行動(如有)後,持續評估公司 網絡保安風險管理框架 的充足性及適切程度,並向董事會或 營運風險委員會匯報 結果。 設立配備充足資源的專項職能, 以處理日常的資訊科技風險及網絡保安相關事宜。 訂閱不同來源的網絡情報,以便對新冒起的網絡威脅進行預防性監察。 投購網絡保險, 以紓減所承擔的風險及 補償 就網絡保安事故所 造成 的損害 。 為職員提供適當技術、適
2、當知識及適當行為的指導,以及確保主要職員(特別是負責資訊科技保安運作及服務、資訊科技風險管理及監控以及資訊科技稽核的職員)具備相關專業資格 1和經驗 , 並接受過相關培訓。 B. 安全 的系統及 網絡基礎設施 因應 各個區域所儲存的數據或所連接的系統需要 設置 的接達 管制 ,將內部 網絡劃分為 不同區 段; 具體而言,監控及保護 敏感數據在 不同 網絡區段 之間的 流動 。 設立隔離區,並 採取以下 穩健的保安監控措施: - 配置不同品牌及種類的多重防火牆,以監控及過 濾 隔離區與可靠的內部網絡之間的網絡通訊; - 實施入侵防禦系統、 網上應用系統防火牆 及對抗進階持續性威脅的解決方案,以保
3、護隔離區內面向互聯網的伺服器; - 配置入侵偵測系統以及系統資訊及事件管理解決方案,以偵測及監察未獲授權的接達及數據傳輸; - 不在隔離區內儲存或緩 存 客戶登入資料等敏感數據;及 - 對隔離區內的數據傳輸進行強效加密,以保護敏感數據。 對主 要 的 資訊科技系統 實施 保安配置(即 系統設定)。 停用或 移除任何 不 使用的程式、 連接埠 、 電腦 程序 及特權帳戶 。 實施應用程式白名單解決方案, 以 防 在使用者的電腦或伺服器安裝未經授權的應用程式。 評估 遭受 分散式阻斷服務攻擊的風險,並 透過過濾大量及可疑的輸入流量網絡攻擊(如適用) 實施反分散式阻斷服務 的機制和 解決方案 。 反
4、分散式阻斷服務的機制和解決方案的1 包括 CISA 註冊信息系統審計師 、 CISSP 註冊信息安全經理、及 CISM 資訊系統安全師專業認證。 2 例子包括 : 聘請具備 “ 清洗流量 ” 或 內容傳遞網路功能 的互聯網服務供應商或第三方反分散式阻斷服務供應商 ,以及 專用 (非雲端) 硬件 設備解決方案 。 檢討網絡架構和妥善配置域名系統及或網絡時間協定伺服器,以防罪犯發動具反射性放大作用的分散式阻斷服務攻擊 。 在設計互聯網交易系統及相關技術架構時對系統 抵禦 能力 作充分考慮(例如可用性 高 的 伺服器集 群 、多重網絡連接(最好是由不同電訊商提供)、重要硬件或設備 備份 )。 C.
5、系統接達監控措施 及數據保 護 制訂有足 夠 制衡的 接達管理 和 特權帳 戶 管理 的 程序 。 利用特權或緊急帳戶 來監控、記錄及監察所有接達 端 點 裝置、 伺服器 及網絡設備的情況。 採用 身分接達管理及特權接達管理工具,從而確保 各項 接達管理 作業方式得以 貫徹落實。 對 特權使用者 接達操作系統施加限制 ,以避免安裝惡意應用程式、在未經授權下篡改系統配置 , 或在使用者的電腦或 伺服器 移除保安工具。 制訂 正式的 密碼匙管理 政策及程序,以規管為機密 及敏感數據加密的密碼匙的 生命 周期。 透過採取系統登入密碼,實施 數據保護 監控措施,而登入密碼 應 進行 鹽值及單向散列加密
6、,最好使用慢散列函数的加密程式。 在 沒有高級管理層的書面批准及說明作為憑證 的情況下 ,系統開發人員(包括 服務 供應商)不得接達實際運作環境。如獲允許接達實際運作環境,便 須設有 機制 以 記錄及監察 該等 活動。 界定、識別、記錄及保護敏感資訊的數據流通、採取數據保護程序及技術( 例 如防止數據遺失解決方案)來提供足夠的保障,以及根據數據的敏感程度作出適當的反應(例如封鎖受限制數據的交換、暫停傳輸可能屬機密的數據或向指定人員上報可疑數據傳輸活動)。 制訂 - 資訊保安政策及程序,以及根 據 數據的敏感和 重要程度 分類 ,並實施 數據保護 及基本的 保安監控措施;及 - 處置機密文件及毀
7、滅實體設備的程序,避免數據外洩。 定期 就 獲授權員工對抽取式媒體接達( 例 如硬碟、 USB裝置)的需要進行再認證工作,確保使用抽取式媒體的必需性,從而 監察及限制 數據 轉送 。 為儲存於抽取式媒體( 例 如硬碟、 USB裝置)的數據加密,避免 數據被偷竊或遺 失。 在員工的流動裝置設立流動安全容器,以建立加密的環境,並將公司的應用程式與其他個人數據和流動裝置的應用程式的資料分開。加強數據清除功能 ,以 便 在 得 悉遺失 了 流動裝置時 移除公司的應用程式和 資料。 3 D. 保安監察及 容量 管理 設立一個 配備足夠資源的 保安運 作中心或 同 等 的職能,以負責所有保安監察程序和 技
8、術,並 擔當協調角色, 有效 地偵測及處理 事故 。 針對 各類 型的 網絡攻擊, 設定 行為監控解決方案及其相關參數,以 偵測惡意活動 (例如監控在正常辦公時間後,某些類別的資料如客 戶 識別碼、 原始 碼及大量經加密檔案的數據外洩 )。 採用 電腦輔助交易監督工具 以 偵測異常或有問題的交易 , 包括在以下情況下產生 警示 : - 交易模式改變,或交易活動驟增; - 大手買賣成交量低的證券;及 - 多次試圖以大幅偏離當時市價的價格執行交易。 即時 與 相關客戶跟進 這些 交易,以確定產生警示的原因。 對偵測機制作出微調,以減 少虛假警報 ,從而提高後續 跟進 及調查行動的效率。 備存及審核
9、電腦或網絡系統的稽查紀錄接達紀錄,以識別任何未經授權的接達嘗試或對系統安全的攻擊。 在流動交易應用程式中 嵌 入 監控 程式 以偵測流動裝置被破解(即流動裝置遭 “ 越獄 ” 或 未經 授權 獲取 流動裝置的 最高權限 )的情況;阻止流動交易應用程式在被破解的裝置中使用。 設立系統性能警示界線,例如中央處理器用量、記憶體用量、磁盤讀寫速度、可用空間及頻寬,以監察系統及網絡活動。 實施警示機制,一旦系統性能警示界線被觸及,會及時向有關人士通報,以便採取修正行動。 E. 系統開發及變更管理 制訂正式的系統變更管理程序,並對系統改動、實際運作環境的部署和系統還原實施有效的監控措施。 任何 預定及緊急
10、的變更修正 均應獲 得管理層書面批准。 在軟件開發 生命 周期強制實行以下保安作業方式,以便在推出新系統或實施主要系統變更之前早日識別及修補保安漏洞: - 在系統設計階段考慮保安要求(例如用戶認證和授權、登入時段管理、數據完整性、稽查紀錄); - 制訂安全 的 程式編製 模 式 ; - 進行 原始 碼評審,包括同業評審和自動 原始 碼掃描;及 - 在系統套用到實際運作環境前進行保安測試。 4 建立測試個案,確保所有關鍵功能在實際運作前經過妥善測試,並在 運作 後進行檢視,確保系統經改動後仍能可靠運作。 建構用戶驗收測試或同等的環境,在 實施系統 改動到實際運作環境前作充分測試。 制訂 一個 以
11、系統測試 為目的而 掩蓋敏感資料(例如客戶的個人資料)的監控機制。 在實際運作前以足夠的數據量進行壓力性能測試,以模擬互聯網交易系統及其相關科技基礎設施的預計及過往最高流量。 在 有 需要更換供應商等情況下,安排第三方供應商代管實際運作環境的指令碼。 F. 網絡保安風險評估、網絡攻擊模擬和事故應變 進行 真實網絡攻擊情境 的 模擬(例如採取 “紅隊對藍隊 ”的方式,當中紅隊會展開 模擬 網絡攻擊,而藍隊則應防禦有關網絡攻擊及保護系統 和 網絡)及最新網絡攻擊趨勢, 以確認網絡防禦 機制 是否有效。 由獨立於系統開發及 維護 職能部門的合資格專業人士就面向互聯網的系統和內部系統以及相關科技 基礎
12、設施、人員和程序進行定期獨立評估(例如至少每年進行一次的資訊科技審核、網絡保安風險評估、保安滲透性測試及網絡攻擊模 擬)。例如,由 CISA、 CISSP及CISM進行資訊科技審核或網絡保安風險評估,及 CREST、 GPEN、 GXPN、 OSCE、OSEE及 OSWE2進行保安滲透性測試和網絡攻擊模擬。 一旦發生重大安全事故(包括系統延誤和失靈),即安排獨立的職能部門或外部專業人士進行事後分析檢討。 G. 數據備份及 應變計劃 將所有包含機密和敏感數據的備份媒體加密,並在適當情況下為有關媒體提供實體保護(例如使用上鎖的盒子作保存及運輸之用),以確保有關媒體得以妥為保存及運送 。 定期進行數
13、據備份的復原測試,確保能有效復原數據。 建立災難復原後備數據中心或作出其他替代安排,以便在主數據中心運作中斷時繼續向客戶提供互聯網交易服務,從而將該等服務所受到的干擾減至最低。 至少每年進行一次災難復原演習,並在適當情況下更新災難復原計劃。 H. 供應商管理 建立業務關係及持續審核 在建立業務關係前評估 其 網絡保安的 抵禦 能 力 。 將以下(除其他事項外)網絡保安要求列入與供應商(及或集團內實體)訂立的服務協議內: 2 CREST( CREST 認證模擬攻擊經 理專員、 CREST 認證基礎設施測試員、 CREST 認證網絡應用測試員)、 GPEN( GIAC滲透測試員)、 GXPN( G
14、IAC 漏洞分析師及 高級滲透測試員 ) 、 OSCE(保安攻防認證專家)、 OSEE(保安攻防開發專家)、OSWE(保安攻防網絡專家) 。 5 - 遵循公司的網絡保安政策 ; - 上報保安事故; - 在合約終止或認為有需要時,刪除銷毀儲存在供應商系統內 的數據及備份 ;及 - 合理的彌償保證或法律責任條文 。 定期對供應商進行網絡保安風險評估及現場審核,或檢視供應商的審計師報告(例如SOC2、 ISAE3402 Type II、 SSAE18 Type II),以及要求供應商在識別到重大缺失時採取補救行動。 I. 提 高內部系統使用者的網絡保安意識 向內部系統使用者提 供有系統的網絡保安意識
15、培訓,包括為新入職員工開辦常設課程、複修課程及按需要(例如在察覺到突如其來的網絡保安威脅時)提供特殊課程,以解釋與網絡保安相關的公司政策和程序,以及就如何實施有關政策和程序向員工提供實用指引。 定期評估員工對公司的資訊科技風險及網絡保安政策的了解及遵守有關政策的情況,當中包括簡短測試、 提示信息(例如不要開啟任何 可疑郵件內的連結及附件,以免受到勒索軟件的攻擊) 及模擬 偽冒詐騙 攻擊 。 J. 向客戶發出網絡保安警示及提示 就防範性保安措施 向 互聯網交易客戶提供的意見應是 : - 容易理解 ; - 於顯眼處展示 ; - 定期檢討及更新(如適用);及 - 透過多個有效的途徑(如公司網站、在互聯網交易系統登入畫面上的訊息、彈出訊息及流動交易應用程式內的畫面、電郵提示、印刷通知)發出。 管理與欺詐網站、偽冒電郵或類似 的詐騙事件有關的風險,而有關網站、電郵或詐騙事件旨在誘使其客戶透露帳戶號碼、登入帳號、密碼及一次性密碼等敏感資料 。 定期在互聯網及應用程式商店搜尋假冒或可疑網站或應用程式 。 若識別到假冒或可疑的電郵、網站、應用程式或類似的詐騙事件等不尋常的情況,應及時考慮和決定如何通知客戶及公眾,例如透過公司網站 及向客戶發出電郵 。 向監管機構及香港警方舉報有關事宜。 就使用流動裝置實施有效的客戶教育
