香港，2011年11月16日－流動裝置上如Facebook、Groupon及Google Maps等內置定位的應用程式越趨普及，因而造成地理定位（Geolocation）的風險及好處的激烈討論。一份由非牟利環球信息科技組織ISACA發布的新指引建議，企業應立即採取措施，保護其所提供、收集及使用的資料。

地理定位利用在電腦或流動裝置獲得數據以確認所在位置。運用這項科技的應用程式能便利顧客，並向他們提供更多優惠價及資訊分享，且能確保企業為客戶提供更為個人化的客戶服務及優惠。然而，由於地理定位服務日益盛行，數據管理及企業監控的需求大幅增加。

可供免費下載的ISACA指引「地理定位：風險、議題及策略」（Geolocation: Risk, Issues and Strategies）提出，惡意使用地理定位數據可令個人及企業承受風險。當個人資料，例如性別、種族、職業及財務記錄，與GPS及地理定位標記的資料結合時，數據可能會遭不法份子使用，確認該名人士現時或將來的位置。此舉會造成如搶劫、盜竊以至跟蹤、綁架等潛在威脅。

ISACA中國香港分會會長翁偉基表示：「由於使用地理定位的用戶及流動裝置的數目增加，個人或企業資料遭黑客或其他未獲授權的用戶竊取的可能性備受關注。在香港，機構以地理定位技術收集了個人的數據後如果處置及利用，現時只由個人資料（私隱）條例規管。不過，由地理定位應用而衍生的風險問題，就如其他風險管理課題一樣，不能單靠法例規管去解決。因此ISACA認為個人和企業在利用地理定位時均須考慮自身能夠承受相關風險的程度，主動管理其風險。」

收集及使用地理定位數據對企業造成的風險包括：

• 私隱：地理標記乃由用戶執行，但可能有包括服務供應商及無線接入點／開發商的不同實體能存取數據。用戶未能經常確認（或未能經常得悉）其定位數據的來源，或數據由誰擁有。
• 企業聲譽：當出現違法或未有向客戶清楚傳達政策時，組織將承受品牌聲譽受損的風險。
• 危及敏感資料：企業以及其遙距設施／設備的所在位置可以獲確認，不法份子透過多種途徑入侵，增加敏感資料被盜取的潛在可能。

兼任ISACA指引與守則委員會成員及Quest Software保安推廣和策略專家的Ramsés Gallego表示：「我們身處於一個流動世界，地理定位乃無可避免。地理定位為個人和企業帶來顯著的益處，但倘若缺乏妥善管理，相關的風險將會相當龐大。它可直接影響個人和企業的私隱和機密資料，因此，不妥當地管理地理定位可帶來嚴重後果。」

公司可怎樣做？
• 制定技術保護系統，利用COBIT等架構作為制定政策的指引。
• 定期更新作業系統和工作設備的軟件，以確保整個企業可迅速進行信息安全提升。
• 將資料分類，使外界無法讀取任何最敏感的資料，即個人、財政、客戶敏感或機密資料。
• 設計裝置管理程序，包括用戶可連線的位置。
• 考慮全球各地的適用法律和法規，因為每個國家的法律和法規都不相同。
• 制定風險管理政策，識別地理定位服務可如何增值和使用，並應在何處禁止使用。地理定位應是一個組織的風險狀況其中一環。

消費者和僱員該怎樣做？

ISACA建議消費者和僱員按照「ROUTE」五個步驟，明智地運用地理定位服務：

• 細讀手機應用程式的協議書，了解自己與別人所分享資訊的內容（Read mobile app agreements to see what information you are sharing）。
• 僅在地理定位服務利多於弊的情況下使用這功能（Only enable geolocation when the benefits outweigh the risk）。
• 理解別人能夠追蹤自己目前和過去的地理位置（Understand that others can track your current and past locations）。
• 在社交網站上載已標籤相片前請三思（Think before posting tagged photos to social media sites）
• 欣然接納地理定位技術，並自我教育和教導別人如何適當運用這科技（Embrace the technology, and educate yourself and others）。

ISACA中國香港分會宣傳推廣理事趙麗娟表示：「地理定位服務為消費者帶來很多好處，例如相片可標籤在正確的位置，或協助指示駕駛者前往目的地的方向。然而，當所有技術集合起來，個人和企業均須考慮自身能夠承受相關風險的程度。近日，越來越多應用程式的安全問題備受關注，如應用程式LINE和Find Your Friends，這反映我們必須提高消費者對於地理定位相關風險的意識，並須教導他們作出明智的決定。」
如欲瞭解有關地理定位風險、好處和管治事宜的詳情，可於www.isaca.org/geolocation免費下載ISACA白皮書。

COBIT簡介
信息是21世紀的企業貨幣，驅使企業愈來愈重視辨識重要事宜，以及為信息和相關科技的管治提供有效支援的需要。ISACA開發的COBIT是一個既全面又可自行制訂的決策架構，涵蓋最出色的慣例、分析工具和流程樣式，致令使用COBIT的機構在信息和技術方面均可取得最高的投資回報。建基於COBIT超過15年的實際經驗，並獲世界各地的資深信息科技及商業領袖協助發展，COBIT 的演進版本COBIT 5將會就企業技術的有效管理提供最完整和最新的指引。COBIT 5將於2012年初發佈，如欲瞭解有關COBIT 5的詳情，請瀏覽www.isaca.org/cobit5。

本資料由凱旋先驅公關公司代表國際信息系統審計協會發佈。

查詢詳請，請聯絡黃家健先生或羅淑敏小姐
電話：(852) 3141 8083 or 3141 8095 傳真：(852) 2510 8199
電郵：carl.wong@knprhk.com or yvonna.law@knprhk.com

- 新聞稿有效日期，至2011/12/17為止

上一篇：2011年度CASBAA會議——帶來內容與傳輸的革命
下一篇：LSI宣佈推出前置放大器，提供硬碟(HDD)更高效能與更低功耗