嗚呼哀哉：七成港企完全不熟悉雲保安及隱私國際標準！

正當大家都在使用雲端時，很多外國的機構早已注意到雲端的安全政策，這裡所指的並不是雲端之中的網絡安全防禦，而是用戶與供應商之間的雲保安及隱私問題。舉個例子，我們大家都知道檔案是儲存在雲端之上，然而雲端背後的基建位於那裡呢？例如我問你：「你資料儲存在那一個實際的地址？是旺角還是銅鑼灣？」這些相信很多人都未能準確提供答案。

最近香港互聯網協會與雲端安全聯盟香港澳門分會公佈了第三份年度《香港中小企雲端應用、保安及私隱就緒程度》調查報告。報告指出，自《個人資料（私隱）條例》實行後，達九成半中小企已制定公司政策保護客戶私隱，較兩年前調查上升近四成。同時，超過五成中小企認為可以依賴雲服務供應商提供的雲端保安服務，惟四成半中小企表示雲服務供應商處理客戶數據及資料欠透明度，未知在停用該等服務後，有關數據及資料能否從供應商雲端系統中回收及删除。在資訊保安標準方面，七成中小企表示不認識雲端保安及隱私的相關國際標準（如 ISO/IEC 27017及ISO/IEC 27018），反映中小企未知如何分辨雲服務供應商的資訊保安工作是否達標。

據往年報告反映，中小企已廣泛採用不同程度的雲端服務，本年度報告將重點分析中小企對雲服務供應商的資訊保安及私隱處理方法的認知及理解程度，並就中小企選擇雲服務供應商給予建議。訪問於今年三月進行，並委託香港生產力促進局進行為期大約三個星期的電話訪問，對象是員工人數少於 100 人的本港中小企。參考政府統計處的數據，本調查涵蓋香港主要行業，成功完成了共 103 份的調查。調查問卷是參考雲安全聯盟國際標準 Cloud Control Matrix 制定，並加入適合本地業界狀況的問題。

中小企對雲端資訊保安及私隱關注認知度上升

本報告反映中小企對雲端數據私隱管理認知度增加，在硬件資料存取、數據備份、及設置意外系統管理的比例較往年增加，當中近七成中小企有管理公司密碼及制定系統存取權，較往年增加一成半；近七成中小企備有數據重整及備份，並首度增設數據處置政策，由兩年前未曾設立至今年設置率達超過六成；亦有超過七成中小企設有意外反饋機制及災難修復計劃，分別較往年上升近四成及兩成半。反觀中小企的系統管理方面未見改善，只有三成中小企設有保安補丁政策 (Security Patches Policy)，較上個年度報告相比的增長率未及一成，同時設有防火牆以保障中小企的保安措施亦有下跌跡象，較往年減少百分之四。

中小企未能分辨雲服務供應商是否乎合國際標準

本年度調查顯示，中小企對個人資料保護的關注比往年更高，由《個人資料（私隱）條例》實施至今已有九成半制定相關政策。誠然，中小企對雲服務供應商處理數據及資料的認知不足，有超過四成半中小企認為服務供應商欠透明度，未知在停用供應商服務後，有關數據及資料能否從供應商雲端系統中回收及删除。仍有兩成中小企表示不知道其雲服務供應商會否將其數據及個人資料作商業用途，亦有兩成半中小企表示其雲服務供應商沒有遵守《個人資料（私隱）條例》，不排除有關供應商使用企業數據及資料的可能。

中小企必需清楚了解雲服務供應商對數據及資料的存取及删除政策，同時必需釐清與服務供應商中止合約後的數據資料安排。報告顯示，七成中小企不認識雲端保安及隱私國際標準，反映中小企未能分辨對雲服務供應商的服務是否乎合國際標準。建議中小企選擇雲服務供應商時，可參照《個人資料（私隱）條例》，以及如 ISO/IEC 27017及ISO/IEC 27018 等國際標準以確保雲服務供應商質素。