(引言)
電子服務日益普及,香港企業可以如何確保資訊安全?資訊保安措施不 足的機構,容易被黑客入侵,流失資料,信譽受損。因此,推行資訊安全相關政策對企業尤其重要,而獲得ISO/IEC 27001資訊安全管理體系認證證書的企業,可為其客戶以至社會大眾帶來安心。
資訊安全管理體系(Information Security Management System,簡稱ISMS)專為企業和機構的資訊安全管理而設計,基於控制業務風險的方針,建立、實施、運行、監控、審查、維護和改進信息安全管理體系。ISO/IEC 27001是國際標準化組織就ISMS發布的國際標準,為體系的開發與運作提供規範性要求。香港生產力促進局總經理(資訊科技)黃家偉指出,ISO/IEC 27001資訊安全管理體系可以協助機構通過風險評估,因應其風險接受程度有效地應對及管理資訊保安風險,從而達到業務目標。而實施ISO/IEC 27001的困難,在於系統有很多程序要跟隨,亦要翻查記錄,所需時間較多,員工亦需要時間適應。黃家偉強調,機構取得認證後可進一步確保資訊資產受到充分保護,從而為業務夥伴帶來信心。
事實上,取得資訊安全管理體系認證能為企業帶來不少禆益,機構宜選擇合適的網路保安政策。由於ISO/IEC 27001認受性高,同時亦適合各種行業使用,現時本港已有數家認證機構提供ISO/IEC 27001認證服務。黃家偉表示,香港生產力促進局會協助公司建立符合ISO/IEC 27001認證要求的資訊安全管理體系。申請認證資格的公司在取得認證證書後,需要每年接受認證機構審查,以確定其繼續符合認證要求。
已取得ISO/IEC 27001認證的萬維數碼視像製作有限公司的執行創作總監陳海良指,公司自2015年開始逐步按照ISO/IEC 27001的要求來建立及實施資訊安全管理體系,並一直有諮詢顧問意見、監察及改善不足之處,公司終於在2017年獲得認證證書。
陳海良表示,公司本身的主要業務是電影後期製作、3D轉製及4K影視提升,所以資訊安全管理對於客戶來說很重要。他們務求每一個流程都不會洩露電影的製作內容,可令客戶或投資者對公司更放心。ISO/IEC 27001的確可以保障客戶利益,令他們放心合作,提升公司的競爭力,增加商機。
陳海良指出,公司致力教育每個員工遵守資訊保安管理的「操作安全」、「通訊安全」與「危機處理」,監測及製作管理系統架構的一致性,清晰定義管理架構、管理制度和配合公司其他管理體系的運作,並不斷因應環境改變和業務發展,持續更新管理制度,即使日後發生資訊外洩,亦可以即時追蹤問題,並迅速解決。
圖片1 香港生產力促進局總經理(資訊科技)黃家偉
圖片2 萬維數碼視像製作有限公司執行創作總監陳海良