• 實體管理
• 技術管理
• 存取管制
• 數據管制
• 網絡管制
• 應用程式管制
• 審計追蹤
• 電腦病毒
• 運作復原
• 行政管理
• 保安政策
• 人事資料保安
• 教育及訓練
• 監察工作
• 分工
• 查核程序

實體管理

• 管制及監察進入存放電腦裝置範圍的人士的身分
• 為電腦系統和通訊網絡設置防護功能
• 為電腦設施提供不間斷的電源供應及空調設施
• 安裝保護裝置或採取適當措施，防止電腦設施受到破壞

技術管理

• 訂明各級員工使用系統及存取資料的權限
• 避免共用戶口
• 提醒員工妥善保存密碼，並定期更改
• 確保終端機不會被未經授權人士濫用
• 規定只可透過專用終端機使用系統中的敏感功能

• 將數據分成不同的保安級別
• 將機密數據加密
• 在棄置資料前，將機密文件切碎及將資料儲存工具進行格式化
• 經常替最新的資料儲存備份

• 安裝「防火牆」
• 安裝入侵偵測系統
• 安裝監察系統
• 只限於專用電腦上運作特別敏感應用程式

• 輸入控制：檢查輸入系統的數據，確保它們有效、準確、完整、符合格式規定
• 處理控制：確保經處理數據／主數據的一致和完整
• 輸出控制：確保系統輸出的報告及資料只分發予獲授權的用戶

• 抽樣檢查審計追蹤
• 把審計追蹤保留一段預定時間
• 禁止更改審計追蹤
• 只准獲授權人士查閱審計記錄

• 使用最新版本、具有常駐記憶體功能的清除病毒軟件
• 對所有外來檔案及電子郵件附件進行病毒掃描程序
• 在使用外來磁碟之前，必須先利用清除病毒軟件進行掃描
• 不需要的軟碟機及光碟機，應盡快移除，以防惡意或無意地利用帶有病毒的磁碟啟動系統

• 製訂運作復原計劃
• 保存數據、程式、文件及其他實用程式的最新修訂備份
• 設立具有完整功能的運作復原場地

行政管理

• 制定電腦系統保安政策及運作指引
• 將電腦資源分類及設定相應的保安要求
• 清楚說明獲授權使用系統的員工的職務及責任
• 基於「有需要知情、進行或使用」的原則，限制員工的存取權限
• 要求員工在使用載有機密資料的文件及磁碟等之後，加以鎖好
• 禁止電腦系統使用盜版軟件及處理私人檔案或資料

• 就招聘甄選、崗位調配及紀律處分等事宜，制定清晰的政策及程序
• 在職責說明書內列明員工對資料保安的責任
• 制定程序，確保被革職、辭職或調職的員工使用電腦系統的權限，被即時撤銷

• 為員工提供資料保安教育及有關技術培訓
• 定期派發通告，提醒員工須注意的事項

• 定期進行例行及突擊檢查

• 適當分配職務，以確保不會由單一職員全權負責整項工序

查核程序

• 電腦系統的保安工作應交予獨立人士作定期檢討