评估资讯保安风险及审计

保安风险评估和审计是一个持续的资讯保安实践过程，以发现和纠正保安事务。它们涉及一系列活动：

1. 保安风险评估一开始时便要进行，以找出需要甚么的保安措施。这是初步评估和识别与保安弱点有关的风险及结果，并提供一个管理基础，以确立具成本效益的保安计划。
2. 根据评估结果，便可推行适当的资讯保安防护措施，以维持一个稳妥的保安架构。这包括制订新的资讯保安要求，修订现有保安政策和指引、委派保安职责，以及推行技术性的资讯保安防护工作。
3. 通过实施保安架构，还需要持续的监察及记录，以便妥善安排处理保安事故。
4. 紧随这个步骤是周期性的遵行情况覆检和再三评估，以确保保安措施被正确地执行，以达到用户的保安要求和应付科技及环境上的急剧转变。

保安风险评估与保安审计

保安风险评估是识别、分析和评估保安风险的过程，并决定缓解措施以降低风险至可接受水平。保安风险评估是风险管理流程的一部分，旨在为资讯系统提供适当的保安级别。它有助识别保安漏洞所造成的风险和后果，并为建立具成本效益的保安计划和实施适当的保安保护和保障措施提供依据。

资讯保安审计是以资讯科技保安政策或标准为基础的遵行状况审计，以确定现有保护的整体情况，并验证现有的保护措施是否已经妥善地实行。保安审计是持续的过程，以确保现时的安全措施符合部门的资讯科技保安政策、标准和其他协议上或法律要求。

有关评估资讯保安风险及审计的资讯，请参阅以下连结：

• 政府的资讯科技保安风险评估及审计实务指引
• 评估资讯保安风险
• 保安风险评估及审计的常见问题
• 「非政府机构资讯科技安全审计试点项目」(2019年7月–2021年12月)