「资料交换、存取及保密性」认证准则,旨在保护公司资料免被擅自存取更改。公司须制定资料系统保安政策,透过保安措施、备份管理以及定期监控等方面,保护公司重要资料。
一般保安措施有: 锁好主体伺服器、加装智能卡连密码登入系统,设定权限并要求定期更换密码、购置防毒防火墙等防护软件、适时为作业系统及防护软件作出更新,和加设沙盒以测试更新等。随着科技日新月异,电脑黑客及其他袭击保安系统的手段亦层出不穷,公司还须委派专职人员留意相关发展,增改保安措施以作应对。
为避免重要资料可能因意外受损而失去,公司亦须制定资料备份政策,设置备份系统,委派专职人员为资料备份及进行复原演习,并限制备份资料的提取。
另外,公司须安排指定人员定期监控系统,侦查并跟进可能违反安全规定行为或系统异常情况,例如分析反常数据流量、连续失败登入、防火墙警告及病毒警告等。指定人员亦应透过查核纸本文件与系统内货物资料是否相符,以确保货物资料完整和准确。