香港（2010年8月9日）──國際信息系統審計協會（ISACA）日前發表最新的白皮書，討論在流動電子設備愈趨普及的同時，企業機密資料及知識產權透過手提設備外泄的風險亦會隨之增加。

於企業信息科技管治界處身領導地位的國際專業組織ISACA，公布了可免費閱覽的《保護流動設備》白皮書（Securing Mobile Devices），指出使用保安能力一般較有線網絡薄弱的無線網絡，會令資料被截取的風險大增。不論是智能手機、USB記憶體，甚至是智能卡，很多儲存資料的裝置均沒有加密，導致敏感資料容易被截取外，也會因手提設備被盜或遺失而易於被人取用。另外，由於員工會在受公司保護的網絡範圍以外使用流動設備，所以這些器材也容易成為惡意軟件攻擊的對象。

《保護流動設備》白皮書指出，由於企業對流動設備的使用缺乏監管，加上愈來愈多員工以個人設備處理商務，因此均加大了流動設備可能帶來的潛在風險。　

根據專門研究私隱保安與資訊管理的調查機構Ponemon Institute發表的《2009年環球資料盜用遺害報告》（Global 2009 Annual Study on Cost of a Data Breach），研究中32%的資料侵害個案，與手提電腦或其他存有資料的流動設備被盜或遺失有關。報告顯示，資料被盜平均會令一家機構損失高達340萬美元。研究亦發現，所有調查國家在涉及流動設備所引起的資料盜用方面，計算的損失金額均明顯較高。

ISACA中國香港分會會長翁偉基表示：「流動設備愈趨普遍，使用率亦不斷增加。但此等設備，如USB 記憶體以及智能卡，一直以來，以及將會繼續是不同類型保安事故的源頭。保安經理需要考慮到如何管理流動設備的相關風險。設立具透明度、靈活及可行的政策，保障流動設備使用安全，將有助管理層保護知識產權及維持競爭優勢。」

管治架構如COBIT（信息及相關科技監控目標）或 Risk IT（信息系統風險架構）有助企業清楚了解政策改變及順利推行政策，並確保應用合適的保安水平以防止資料遭侵害。ISACA倡議在制定流動設備策略時，可以考慮到以下問題：

• 界定可使用設備種類 (企業提供的裝置相對個人裝置)
• 界定流動設備的服務範圍
• 確認員工使用流動設備之方式及用途，同時考慮機構企業文化，以及人為因素。(舉例來說，十個美國人中，便有一人會使用公司流動設備，於假期季節時期進行網上購物*)
• 將所有企業提供的設備納入資產管理計劃
• 為流動設備必須安裝的授權及加密的模式制定清晰指引
• 闡明如何安全地儲存及傳送資料

翁偉基續稱：「雖然流動設備已成為提升效率、生產力及加強商機的催化劑，但要知道的是只有企業有效管理技術應用─包括相關價值及風險，方能得益。」。

有關風險及策略建議詳情，可參閱現供免費的「保護流動設備」白皮書www.isaca.org/mobiledevices。

*資料來源：ISACA辦公室購物：網上假期購物與辦公室電腦保安，2009 年

國際信息系統審計協會簡介
國際信息系統審計協會（ISACA®，網址為www.isaca.org）是全球首屈一指的專業機構，會員遍佈全球160個國家，數目超逾86,000人。協會致力於信息系統的標準及保安、信息科技的企業管治，以及有關信息科技的風險和監管方面提供相關的專業知識、證書和交流平台，同時促進業界發展和教育。成立於1969年，ISACA定期贊助國際會議，並出版刊物《ISACA®Journal》，及發展信息系統審計及訂立監控方面的國際標準。另外，ISACA亦負責頒授獲得全球推崇的專業資格─註冊信息系統審計師（CISA®）、註冊信息安全經理（CISM®）、企業信息科技管治認證（CGEIT®），以及風險及信息系統監控認證（CRISCTM）。
###

本資料由凱旋先驅公關公司代表國際信息系統審計協會發佈。

查詢詳請，請聯絡黃家健先生或羅淑敏小姐：
電話：(852) 3141 8083 or 3141 8095 傳真：(852) 2510 8199
電郵：carl.wong@knprhk.com or yvonna.law@knprhk.com

國際信息系統審計協會
Kristen Kessinger, +1.847.660.5512, kkessinger@isaca.org

- 新聞稿有效日期，至2010/09/09為止

上一篇：Novell推出線上商店SUSE Gallery推動Linux裝置創新
下一篇：資策會開辦「軟體需求塑模與需求規格文件撰寫實務班」