香港（2010年7月12日）─ 國際信息系統審計協會（ISACA）在中國及香港第一次的《信息科技風險與回報測量研究》（IT Risk/Reward Barometer）中發現，接近一半（42%）的中國與香港信息科技專業人士認為，雲端運算技術（cloud computing）存在的風險蓋過其益處。然而，由於雲端運算技術有助減低營運的總持有成本（total cost of ownership，簡稱TCO），提高投資回報（ROI）及運作效率，並且能協助「按用量繳費」（pay-as-you-go）服務的推行，不少企業和大型機構對雲端運算技術的興趣愈益殷切。另一方面，中國的經濟增長並未因環球金融不景氣而受阻，而雲端運算技術可不斷擴充的發展規模亦引來國內私人與公營機構的青睞。根據中國調查公司計世資訊的資料顯示，中國的雲端運算技術市場在2009年的價值高達403.5億元人民幣，較2008年增長了28%。　

儘管如此，信息科技專才卻認為，把信息資產交給雲端技術管理存有不少風險。ISACA在2010年7月於中國及香港進行了《信息科技風險與回報測量研究》，調查對象為中、港兩地的ISACA會員。調查顯示，少於20%的中港企業計劃使用雲端運算技術。只有7%的受訪者稱，其機構有計劃採用雲端運算技術來處理重大事宜中涉及的信息科技服務之上，47%受訪者則表示沒有考慮以雲端技術執行任何信息科技服務。　

ISACA中國香港分會會長翁偉基表示：「雲端運算的確具有極大的發展潛力。由於中國現時的經濟發展十分蓬勃，對中國企業來說，雲端技術靈活的擴展潛力便更加備受注目。雲端現已成為信息科技界的焦點，現在應是適當的時候，給業內專才小心評估此技術的應用能力，並分析當中的利弊。雲端應用在現時只屬早期階段，信息科技人士把焦點放在風險問題之上，實屬正常。這不但可以加強業界對雲端風險的重視，而且也能令管治的三大疇範，即企業、信息科技及數據管治，得到更佳的協調。」

ISACA在其《雲端運算技術：保安、管理、認證與商業利益》白皮書（Cloud Computing: Business Benefits with Security, Governance and Assurance Perspectives）中仔細考量了雲端計算技術帶來的風險和回報。此白皮書由ISACA與雲端安全聯盟（Cloud Security Alliance）共同撰寫，現已於網站www.isaca.org/cloud內供免費下載閱覽。　

鑒於經濟環境持續不明朗，若果撇開信息科技能夠帶來更多回報的潛力，超過七成受訪者相信，信息科技項目在2010年的風險水平應會與往年一樣或稍為下降。56%受訪者稱，針對本年的風險管理及規管達標工作，其機構所投放的資源將與往年相等或只會略有縮減。　

此外，是次調查亦研究了機構組織對信息科技風險管理的取態。在受訪的信息科技專業人士中，只有16%認為其機構能夠十分有效地把信息科技風險管理與整體業務風險管理互相整合。長遠而言，受訪者認為提升員工的風險意識（34%），以及加強信息科技風險管理與企業整體風險管理之間的協調（33%）是極之重要的改善方法。　

ISACA中國香港分會會長翁偉基續稱：「信息科技風險管理對企業來說是十分重要，尤其是對於普遍『重硬輕軟』在國內企業。在內地，部份的企業把資源及精神投放在硬件的建構之上，而忽略如風險管理等較『軟』的項目。」

高風險員工
ISACA中國及香港的《信息科技風險與回報測量研究》同時探討了信息科技專業人士對機構雇員使用信息科技行為的見解。根據調查結果，以下是員工容易令業務蒙受風險的四大行徑：　

• 沒有妥善保護機密的業務資料（62%）
• 使用未獲批准的軟件或網上服務處理工作（40%）
• 透過處理公務的設備使用點對點（peer-to-peer）檔案傳輸功能（39%）
• 未有完全了解企業實施的信息科技政策（37%）

《信息科技風險與回報測量研究》簡介
ISACA的《信息科技風險與回報測量研究》的資料源自於一項在2010年7月舉行的網上問卷調查，受訪對象為身處中國與香港的ISACA會員。調查旨在研究現今機構在信息科技項目的風險與回報方面的取態及相應舉動。如欲詳閱研究結果，請瀏覽www.isaca.org/news。　

國際信息系統審計協會簡介
國際信息系統審計協會（ISACA®，網址為www.isaca.org）是全球首屈一指的專業機構，會員遍佈全球160個國家，數目超逾86,000人。協會致力於信息系統的標準及保安、信息科技的企業管治，以及有關信息科技的風險和監管方面提供相關的專業知識、證書和交流平台，同時促進業界發展和教育。成立於1969年，ISACA定期贊助國際會議，並出版刊物《ISACA®Journal》，及發展信息系統審計及訂立監控方面的國際標準。另外，ISACA亦負責頒授獲得全球推崇的專業資格─註冊信息系統審計師（CISA®）、註冊信息安全經理（CISM®）、企業信息科技管治認證（CGEIT®），以及風險及信息系統監控認證（CRISCTM）。

ISACA 提供信息安全商業模式（BMIS）以及信息科技認證架構（ITAF）。協會亦一直持續發展及更新「信息及相關科技監控目標」（COBIT®）、Val ITTM及Risk IT信息系統風險架構，協助信息科技專才及企業領袖履行在信息科技管治方面的職責，並提升業務價值。

現可於Twitter緊貼ISACA最新動向: http://twitter.com/ISACANews

###

本資料由凱旋先驅公關公司代表國際信息系統審計協會發佈。

查詢詳情，請聯絡黃家健先生或羅淑敏小姐：
電話：(852) 3141-8083或3141-8095 傳真：(852) 2510-8199
電郵：carl.wong@knprhk.com或yvonna.law@knprhk.com

國際信息系統審計協會
Kristen Kessinger
電話：+1.847.660.5512　
電郵：kkessinger@isaca.org

- 新聞稿有效日期，至2010/08/12為止

上一篇：資策會7/26開辦IRCA核可之「ISO20000主導稽核員認證班」
下一篇：水與綠景觀遊憩廊道之設計監造實務與採購要領