採用雲端服務已成為不少企業數碼轉型的方向,不過有調查指出,部分中小企認為雲服務供應商處理客戶數據及資料欠透明度,未知在停用該等服務後,有關數據及資料能否從供應商雲端系統中回收及删除。
七成中小企不認識雲端保安及隱私的相關國際標準
香港互聯網協會與雲端安全聯盟香港澳門分會聯合公佈第三份年度《香港中小企雲端應用、保安及私隱就緒程度》調查報告,電話訪問員工人數少於 100 人的本港中小企,最終完成了共 103 份的調查。
結果發現,九成半中小企已制定公司政策保護客戶私隱,超過五成中小企亦認為可以依賴雲服務供應商提供的雲端保安服務。然而,四成半中小企表示雲服務供應商處理客戶數據及資料欠透明度,未知在停用該等服務後,有關數據及資料能否從供應商雲端系統中回收及删除;兩成中小企表示不知道其雲服務供應商會否將其數據及個人資料作商業用途,亦有兩成半中小企表示其雲服務供應商沒有遵守《 個人資料(私隱)條例》,不排除有關供應商使用企業數據及資料的可能。
在資訊保安標準方面,七成中小企表示不認識雲端保安及隱私的相關國際標準(如ISO/IEC 27017及ISO/IEC 27018),反映中小企未知如何分辨雲服務供應商的資訊保安工 作是否達標。
雲端安全聯盟香港及澳門分會會長林志堅先生分析:「中小企必需清楚了解雲服務供應商對數據及資料的存取及删除政策,同時必需釐清與服務供應商中止合約後的數據資料安排。 我們建議中小企選擇雲服務供應商時,可參照《個人資料(私隱) 條例》,以及如 ISO/IEC 2701 7及 ISO/IEC 27018 等國際標準以確保雲服務供應商質素。」
僅三成中小企設有保安補丁政策
報告亦反映中小企對雲端數據私隱管理認知度增加,在硬件資料存取、數據備份、及設置意外系統管理的比例較往年增加 ,當中近七成中小企有管理公司密碼及制定系統存取權, 較往年增加一成半;近七成中小企備有數據重整及備份,並首度增設數據處置政策,由兩年前未曾設立至今年設置率達超過六成;亦有超過七成中小企設有意外反饋機制及災難修復計劃,分別較往年上升近四成及兩成半。
不過中小企的系統管理方面未見改善,只有三成中小企設有保安補丁政策 (Security Patches Policy),較上個年度報告相比的增長率未及一成, 同時設有防火牆以保障中小企的保安措施亦有下跌跡象, 較往年減少百分之四。
香港互聯網協會網絡保安及私隱小組召集人楊和生先生建議,中小企必需選擇具透明度的雲服務供應商,並定期檢視供應商的保安解決方案是否有定期更新。