香港，2010年10月29日 — 于全球拥有95,000多名信息科技专才为会员的非牟利组织—国际信息系统审计协会(ISACA)在最新一份白皮书表示，由于个人及商业电子产品(如智能手机及笔记型电脑) 应用的界线愈来愈模糊，导致企业有可能因而面临具破坏性的资料外泄风险。

ISACA最新发表的《防止数据泄漏》白皮书(Data Leak Protection)作者Tony Noble表示：「虽然大部分企业都采取保护措施，以管理敏感资料，但这些措施通常都欠缺一致性或未能有效地管理。同时，数据可于任何时间以不同形式外泄，例如电子邮件、文字档案、试算表、资料库、普通档案及即时传讯等。无论怎样努力，全球的企业都不知不觉间泄漏大量的敏感资料，构成主要财务及监管风险。」

《防止数据泄漏》白皮书可于www.isaca.org/dlp免费下载。 ISACA提供以下锦囊，减低数据外泄问题。

• 制订政策：在选择及实施资料外泄防护(DLP)技术前，应先制定政策管理其用途。商业及信息科技员工应参与政策的发展。政策应以管理风险为依归，同时，企业亦应就商业程序上任何重大的改变，为员工提供培训

• 让利益相关者参与规划防止资料外泄措施：实施DLP技术是一项复杂的计划，当中牵涉繁多的筹备工作，包括制定政策、商业程序分析、详细存货清单厘定及企业所有不同类型的资料分析。这些工作都需要一众信息科技及商业业务的利益相关者参与。

• 留意DLP技术的不足：虽然DLP技术可助企业获得更多资讯以管理敏感资料，但是，企业应了解DLP技术亦有其不足。例如：DLP技术只能审查解码后的加密信息。若使用者使用不受企业管理的个人加密工具，DLP技术将无法分析档案。 DLP技术亦无法诠释动画档案。另外，随着流动通讯工具使用的普及，DLP技术也无法轻易监察及管理通讯渠道。最后，根据《防止数据泄漏》白皮书，DLP技术尚未发展完善，未能侦察复杂的数据盗取。

Noble表示：「了解现时资料外泄防护的限制，是制定相应弥补策略及政策的第一步。」

根据最新发表的白皮书，当企业实施资料外泄防护后，可减低以下潜在风险：
• 错误调校网络资料外泄防护组件
• 错误调校网络资料外泄防护组件的大小
• 过度汇报及假阳性的出现
• 软件或系统操作引起的冲突
• 因信息科技装置的程序改变，导致资料外泄防护无法有效运作
• 错误放置网络资料外泄防护的组件
• 资料外泄防护组件无法侦测的错误
• 错误配置或尚未完成的目录服务

若要浏览更多由ISACA就云端运算技术、社交媒体管理及流动设备保安所发表的白皮书，请到www.isaca.org/downloads免费下载。

国际信息系统审计协会简介
国际信息系统审计协会（ISACA® ，网址： www.isaca.org）是全球公认提供信息系统标准合规及保安、企业信息科技管治，以及信息科技相关风险与遵循之知识、认证、社群、倡导与教育训练的领导组织，会员遍布逾 160 个国家，总数超过 95,000 人。 ISACA 成立于 1969 年，是一个非牟利的独立组织。 除了主办国际会议，出版《国际信息系统审计期刊》（ISACA® Journal），并制定国际公认的信息系统的审计与监控标准，以协助其成员缔造一个信赖可靠，优值的信息系统。 同时，为促进与证明各人的信息技术及知识 ， ISACA 推出各项全球公认的专业认证，如：注册信息系统审计师（CISA®）、注册信息安全经理（CISM®）、企业信息科技管治认证（CGEIT®）及风险和信息系统监控认证（CRISCTM）。

国际信息系统审计协会研拟及持续更新 COBIT® ，以协助资讯科技专才及企业领袖履行在资讯科技管治方面的职责，特别是在信息系统标准合规、保安、风险架构及控制的范畴，使业务价值得以提升。
现在可于 Twitter 紧贴 ISACA 最新动向 : http://twitter.com/ISACANews

本资料由凯旋先驱公关公司代表国际信息系统审计协会发布。
查询详请，请联络黄家健先生或罗淑敏小姐：
电话： (852) 3141 8083 or 3141 8095 传真： (852) 2510 8199
电邮： carl.wong@knprhk.com or yvonna.law@knprhk.com

国际信息系统审计协会
Kristen Kessinger, +1.847.660.5512, kkessinger@isaca.org

- 新聞稿有效日期，至2010/11/29為止

上一篇：德州儀器針對工業市場推出9款36V高精度運算放大器
下一篇：AMD 校外教學日 創新視覺科技孕育科技英才