建议监控措施及程序A.管理层监督及资讯科技管治.PDF

附錄 建議監控措施及程序 A. 管理層監督及資訊科技管治 I. 管理層監督 1. 通過制訂正式的政策及程序以及設立資訊保安管理系統以實施有效的資訊科技管治 及保護所有重要資訊資產（例如互聯網交易系統及客戶個人資料） 。 2. 設立獨立及合資格的資訊科技及保安風險管理職能，或將監督工作交由高級管理人 員負責，以監察及監督資訊科技及保安風險，包括與資訊科技有關的監管合規事宜。 3. 定期為員工提供資訊科技保安意識培訓。 II. 系統保安及客戶資訊科技保安意識 1. 定期委聘合資格人士進行全面的保安滲透性測試。通過模擬在真實情況下對支援互 聯網交易系統的系統應用程式及網絡基礎設施的威脅 ，利用保安滲透性測試識別出 可導致互聯網交易系統面臨保安風險的保安漏洞。 2. 委派獨立於系統開發及保養職能的人士定期進行全面的資訊科技風險評估或資訊科 技審核。 3. 向客戶提供有關互聯網交易系統 （包括網絡及流動裝置應用程式）的必威体育精装版保安提示 。 III. 供應商管理 1. 與主要供應商 （包括集團內實體）訂立服務水平協議 ，以量化方式詳細規定這些供 應商需提供足夠的保養及技術協助。 2. 與供應商（包括集團內實體）訂立合約條款，規定一旦合約終止，這些供應商必須 刪除／銷毀儲存在其系統內的數據及備份。 3. 在與主要供應商（包括集團內實體）訂立的合約協議內加入有關合理的彌償保證或 法律責任的條款。 B. 操作監控措施 I. 使用者接達監控措施 1. 制訂有足夠制衡的特權帳戶管理正式程序 。 2. 只在管理層作出適當而審慎的考慮後才批准使用特權帳戶。 3. 定期檢討使用者及系統帳戶的有效性及其接達權的適當性。 4. 迅速識別、移除或終止過時的使用者及系統帳戶以及相關接達權 （如適用）。 1 of 3 Tel: (852) 2231 1222 Fax: (852) 2284 4660 Website: www.sfc.hk II. 密碼監控措施 1. 適當地設定（例如）最短密碼長度及最長密碼使用期 ，以實施有效的密碼政策 。 2. 改良應用程式的功能及操作程序，使互聯網交易系統能夠在設定最初密碼或重設密 碼 ，及向客戶發送密碼時 ，不會向客戶以外的人士披露有關密碼。 3. 透過獨立信函或安全的電子郵件向客戶發送登入資料，包括登入名稱及密碼。 III. 系統的執行、升級及改動 1. 制訂正式的系統變更管理程序，並對系統開發或改動實施有效的監控措施。 2. 建立測試個案，確保所有關鍵功能在應用前均經過妥善測試，並在應用後進行檢視， 確保系統經改動後仍能可靠運作。 3. 建構用戶測試環境或同等的環境，以便在改動套用到實際運作環境前對該改動作充 分測試。 4. 在系統開發及改動的整個周期內密切留意保安需要： - 在系統設計階段考慮保安要求； - 制訂安全程式編製常規；及 - 在系統套用到實際運作環境前進行保安測試。 IV. 網絡基礎設施的架構設計 1. 實施安全的網絡架構，例如利用至少兩重防火牆設立非武裝區，及為主要網絡裝置 及伺服器設置復元結構。 2. 實施入侵偵測系統或入侵防禦系統，以降低精密及持續的網絡攻擊風險。 3. 評估應用程式層面的分散式阻斷服務攻擊的風險 ，並考慮是否有需要購置合適的解 決方案。 C. 監察及應變措施 I. 監察 1. 建立不尋常使用者活動監察及偵測機制，例如在短時間內更改互聯網規約地址（IP 地址）。 2.