個人資料外洩 暴露資訊保安危機

近日接連發現無論是市民投訴警察，甚至是申請電訊、保險服務的個人資料於網上廣為流傳的侵犯私隱個案，事件徹底反映整體社會的保安危機意識薄弱，政府必須予以正視。

當局漠視管治水平

　警監會的洩密事件，不單顯示公營部門在處理敏感資料方面的措施，不夠嚴謹。更令人憂心的是政府對資訊保安，從來都是採取漠視的態度。對於資訊保安認證發展，也並未給予應有的重視，以至各政府部門及公營機構的資訊系統管治水平，並不理想，

打從政策和資源方面，便足以顯示政府一直對資訊保安掉以輕心。

香港作為一個國際金融中心，卻從來沒有長遠的資訊保安策略，去保障一旦出現的資訊危機。過去，業界早已經批評政府只一味採取「頭痛醫頭、腳痛醫腳」的「散件」保安措施，各重要的資訊基建系統的協調工作固然散亂，至於政府部門和公營機構，有制定一套完善的資訊保安政策的，更是寥寥可數，箇中因由是政府從沒有在資訊保安問題上制定通盤的發展方向。

以電子證書為例，若政府銳意大力提倡，在聯同政府、公營和私營機構三方面共同推動之餘，更應該帶頭使用。可是稅務局在推廣電子報稅時，不但並未藉此機會推動市民使用已附載在智能身份證的電子證書來報稅，反而只採用安全性較低的通行密碼。連各政府部門本身對資訊保安的詮釋及應採取的立場和措施，也自相矛盾，政府又如何能提高普羅大眾的保安意識呢？

除此之外，當局投放在資訊保安的資源，也是「捉襟見肘」。以06-07年為例，當局投放在資訊科技保安的預算開支只有130萬元，我相當質疑有關的資源是否足夠推廣資訊保安。

反觀，鄰近地區的新加坡，去年便動用約2300萬美元，推出為期三年的資訊保安策略，重點加強公營、私營機構以及公眾在資訊保安方面的危機意識，改善他們一貫高水平的資訊保安環境。我無意要求政府調撥同等的資源在資訊保安，但很明顯，以130萬元來改善政府的整體資訊保安架構，根本就是九牛一毛。沒有長遠方針，缺乏足夠的資訊，政府對提升資訊保安管治水平的決心，大家心裏有數。

要提升香港的資訊保安管治水平，政府便必須以身作則，率先改革公營部門的資訊保安管理。首先，當局應嚴格地要求所有的公營機構，例如金融管理局、醫管局、證監會等，採用國際資訊保安標準，如COBIT、ISO17799和ISO270011。日本和韓國政府早已要求各公營部門，全面達到這些國際性的資訊保安標準，這種做法，既確保政府的資訊管治水平，也可以牽頭推動私人企業，改善資訊保安意識。當局亦應倡議資訊科技管理，成為各機構管治框架的其中一環。

公營機構牽頭提升保安意識

各重要的政府部門和公營機構，也須重新檢視其資訊保安政策，進行風險評估，同時制訂相應的保護措施，減低一旦因網絡保安失誤而引發的危機。政府必須建立一套劃一清晰的資訊分級制度，將現時政府部門和公營機構的資訊和系統按敏感程度作出分類，訂立基線的保安要求和稽核要求。政府應該要求公營機構向政府註冊敏感的資訊系統項目，定期提交資訊保安管治報告。

此外，當局也應要檢討目前政府和公營機構資訊科技外判計劃，確保承辦商有能力及確實執行保安政策的要求。而涉及敏感的資訊系統項目，只可容許符合國際保安認證水平要求的承辦商，參與該項目。

而更重要的，政府得加強它在資訊保安所擔當的角色，全面檢討現有各資訊基建架構的協調情況，建立有效的資訊危機應變機制；增撥資源，積極在商界推動資訊保安認證發展，提升有關的認知水平。

今次的個人資料外洩事件，對香港的資訊基建架構和系統已敲響警號。若我們的資訊基礎並沒有緊貼當前的國際保安趨勢、與時並進，任何的網絡襲擊也可嚴重地損害我們的經濟。

(註：COBIT╱ISO17799╱ISO27001均是全球公認的資訊管理框架及國際保安標準，採納這些標準有助機構建立、實施和維護資訊安全管理體系的要求，減少相關的風險。）

(本文已於2006年3月17日刊於文匯報"單刀直入"專欄。)