雲端安全聯盟:七成中小企欠雲端保安意識

香港互聯網協會與雲端安全聯盟香港澳門分會公佈第三度《香港中小企雲端應用、保安及私隱就緒程度調查報告。報告指出 ,自《個人資料(私隱)條例》實行後,達九成半中小企已制定公司政策保護客戶私較兩年前調查上升近四成

是次調查報告於今年月進行,由Microsoft香港贊助,並委託香港生產力促進局進行為期大約三個星期的電話訪問,對象是員工人數少於100人的本港中小企。參考政府統計處的數據,本調查涵蓋香港主要行業,成功完成了共103份的調查。調查問卷是參考雲安全聯盟國際標準Cloud Control Matrix制定,並加入適合本地業界狀況的問題。

Microsoft香港有限公司區域科技長許遵發表示:「中小企未必有足夠的人力資源及專業科技知識,透過採用可靠的企業級雲服務供應商方能彌補當中的不足之處,並以相宜的價錢享用企業級的資料私隱保護。」

該調查報告指出,超過五成中小企認為可以依賴雲服務供應商提供的雲端保安服務,惟四成半中小企表示雲服務供應商處理客戶數據及資料欠透明度,未知在停用該等有關數據及資料能否從供應商雲端系統中回收及删除

在資訊保安標準方面七成中小企表示不認雲端保安及隱私的相關國際標準(如ISO/IEC 27017ISO/IEC 27018反映中小企未知如何分辨雲服供應商的資訊保安工作是否達標。

雲端資訊保安及私隱關注認知度上升

本報告反映中小企對雲端數據私隱管理認知度增加,在硬件資料存取、數備份、及設置意外系管理的比例較往年增加當中近七成中小企有管理公司密碼及制定系統存取權,較往年增加一成半近七成中小企備有數重整及備份並首度增設數據處置政策,由兩年前未曾設立至今年設置率達超過六成;亦有超過七成中小企設有意外反饋機制及災難修復計劃,分別較往年上升近四成及兩成半觀中小企的系統管理方面未見改善,只有三成中小企設有保安補丁政策 (Security Patches Policy),較上個年度報告相比的增長率未及一成,同時設有防火牆以保障中小企的保安措施亦有下跌跡象,較往年減少百分之四

香港互聯網協會網絡保安及私隱小組召集人楊和生表示:「與2015年比較,我們樂見更多中小企陸續制定雲端資訊保安政策。我們建議中小企必需選擇具透明度的雲服務供應商,並定期檢視供應商的保安解決方案是否有定期更新。」

未能分辨雲服務供應商是否乎合國際標準

本年度調查顯示,中小企對個人資料保護的關注比往年高,個人資料(私隱)條例》實施至今已有九成半制定相關政策。誠然,中小企對雲服供應商處理數據及資料的認知不足有超過四成半小企認為服務供應商欠透明度,未知在停用供應商有關數據及資料能否從供應商雲端系統中回收及删除。仍有兩成中小企表示不知道其雲服務供應商會否將其數據及個人資料作商用途亦有兩成半中小企表示其雲服務供應商沒有遵守個人資料(私隱)條例》,不排除有關供應商使用企業數據及資料可能。

雲端安全聯盟香港及澳門分會會長林志堅說:「報告顯示,七成中小企不認識雲端保安及隱私國際標準,我們建議中小企選擇雲服務供應商時,可參照《個人資料(私隱)條例》,以及如ISO/IEC 27017及ISO/IEC 27018等國際標準以確保雲服務供應商質素。」

雲端安全聯盟(CSA)是一個國際性的非謀利組織,其使命是推廣使用最佳實踐的方法而為雲計算提供安全保證,並提供教育用來幫助保護其他形式的計算。 CSA 是一個由業界的從業者,企業,協會和其他主要利益相關者領導的廣泛聯盟。CS香港及澳門分會由一群本地熱心 IT 專業人員於 2012 年成立,進一步擴大亞太地區的服務。

benny

benny

Benny Yeung ~ 企業IT傳媒人,經常四周穿梭科技巨企及論壇,熱愛探討新商機。性格貪玩,但喜歡閱讀沉悶的企業賺蝕數字,最重視辦事效率。