評估資訊保安風險及審計

保安風險評估和審計是一個持續的資訊保安實踐過程，以發現和糾正保安事務。它們涉及一系列活動：

1. 保安風險評估一開始時便要進行，以找出需要甚麼的保安措施。這是初步評估和識別與保安弱點有關的風險及結果，並提供一個管理基礎，以確立具成本效益的保安計劃。
2. 根據評估結果，便可推行適當的資訊保安防護措施，以維持一個穩妥的保安架構。這包括制訂新的資訊保安要求，修訂現有保安政策和指引、委派保安職責，以及推行技術性的資訊保安防護工作。
3. 通過實施保安架構，還需要持續的監察及記錄，以便妥善安排處理保安事故。
4. 緊隨這個步驟是周期性的遵行情況覆檢和再三評估，以確保保安措施被正確地執行，以達到用戶的保安要求和應付科技及環境上的急劇轉變。

保安風險評估與保安審計

保安風險評估是識別、分析和評估保安風險的過程，並決定緩解措施以降低風險至可接受水平。保安風險評估是風險管理流程的一部分，旨在為資訊系統提供適當的保安級別。它有助識別保安漏洞所造成的風險和後果，並為建立具成本效益的保安計劃和實施適當的保安保護和保障措施提供依據。

資訊保安審計是以資訊科技保安政策或標準為基礎的遵行狀況審計，以確定現有保護的整體情況，並驗證現有的保護措施是否已經妥善地實行。保安審計是持續的過程，以確保現時的安全措施符合部門的資訊科技保安政策、標準和其他協議上或法律要求。

有關評估資訊保安風險及審計的資訊，請參閱以下連結：

• 政府的資訊科技保安風險評估及審計實務指引
• 評估資訊保安風險
• 保安風險評估及審計的常見問題
• 「非政府機構資訊科技安全審計試點項目」(2019年7月–2021年12月)