愈來愈多中小企轉投雲端,雖然不少皆關注雲運算服務的安全性,但卻往往忽略了服務供應商的私隱政策。
上周,香港互聯網協會與雲端安全聯盟香港澳門分會,聯合公布第三份年度《香港中小企雲端應用、保安及私隱就緒程度》調查報告,旨在了解香港中小企,對雲端資訊科技的認知及應用情況。該報告指出,自《個人資料(私隱)條例》實行後,達九成半中小企,已制定公司政策保護客戶私隱,較2年前調查上升近四成。同時,超過五成中小企認為,可以依賴雲服務供應商提供的雲端保安服務;惟四成半中小企表示,雲服務供應商處理客戶數據及資料欠透明度,未知在停用該等服務後,有關數據及資料能否從供應商雲端系統中回收及删除。
在資訊保安標準方面,七成中小企表示,不認識雲端保安及隱私的相關國際標準(如ISO/IEC 27017及ISO/IEC 27018),反映中小企未知如何分辨雲服務供應商的資訊保安工作是否達標。
中小企對雲端資訊保安及私隱關注認知度上升
據往年報告反映,中小企已廣泛採用不同程度的雲端服務;而本年度報告將重點分析中小企,對雲服務供應商的資訊保安,及私隱處理方法的認知及理解程度,並就中小企選擇雲服務供應商給予建議。報告委託香港生產力促進局,進行了為期約3個星期的電話訪問,對象為員工人數少於100人的本港中小企。此外,調查問卷參考雲安全聯盟國際標準Cloud Control Matrix制定,並加入了適合本地業界狀況的問題。
該報告反映,中小企對雲端數據私隱管理認知度增加,在硬件資料存取、數據備份,及設置意外系統管理的比例較往年增加,當中近七成中小企有管理公司密碼,及制定系統存取權,較往年增加一成半;另近七成中小企備有數據重整及備份,並首度增設數據處置政策,由兩年前未曾設立,至今年設置率達超過六成;亦有超過七成中小企設有意外反饋機制及災難修復計畫,分別較往年上升近四成及兩成半。
反觀中小企的系統管理方面則未見改善,只有三成中小企設有保安更新檔政策(Security Patches Policy),較上個年度報告相比的增長率未及一成,同時設有防火牆以保障中小企的保安措施亦有下跌跡象,較往年減少百分之四。
香港互聯網協會網絡保安及私隱小組召集人楊和生表示:「我們樂見更多中小企陸續制定雲端資訊保安政策,整體對雲端數據保安的認知及意外處理有更多準備。惟當中對第三方服務供應商的雲端保安系統依賴程度有上升趨勢,仍有大量中小企在保安更新政策上懸而未決。相信未來仍會有大量中小企依賴第三方服務供應商處理其公司的雲端保安服務。我們建議中小企必須選擇具透明度的雲服務供應商,並定期檢視供應商的保安解決方案有否定期更新。」
中小企不熟國際標準
本年度調查顯示,中小企對個人資料保護的關注比往年更高,由《個人資料(私隱)條例》實施至今,已有九成半制定相關政策。誠然,中小企對雲服務供應商處理數據及資料的認知不足,有超過四成半中小企認為,服務供應商欠透明度,未知在停用供應商服務後,有關數據及資料能否從供應商雲端系統中回收及删除。仍有兩成中小企表示,不知道其雲服務供應商會否將其數據及個人資料作商業用途;亦有兩成半中小企表示,其雲服務供應商沒有遵守《個人資料(私隱)條例》,不排除有關供應商使用企業數據及資料的可能。
雲端安全聯盟香港及澳門分會會長林志堅分析指:「中小企必須清楚了解雲服務供應商對數據及資料的存取及删除政策,同時必須釐清與服務供應商中止合約後的數據資料安排。報告顯示,七成中小企不認識雲端保安及隱私國際標準,反映中小企未能分辨對雲服務供應商的服務是否乎合國際標準。」
因此,他建議中小企選擇雲服務供應商時,可參照《個人資料(私隱)條例》,以及如ISO/IEC 27017,及ISO/IEC 27018等國際標準,以確保雲服務供應商質素。
而微軟(香港)區域科技長許遵發則認為,中小企未必有足夠的人力資源及專業科技知識,透過採用可靠的企業級雲服務供應商,方能彌補當中的不足之處,並以相宜的價錢享用企業級的資料私隱保護。
沒有留言:
發佈留言