香港，2011年11月22日－由於網路應用程式能為企業與客戶建立嶄新溝通途徑，為企業增值，近期網路應用程式的運用因而急升。然而，運用網路應用程式帶來好處之際，其保安漏洞亦會招致危機及資料外泄。擁有95,000名信息科技保安、認證及管治專業人士的非牟利環球專業組織國際信息系統審計協會（ISACA），發表了一份免費的全新白皮書，名為網路應用程式保安：業務及風險考量（Web Application Security: Business and Risk Considerations），提出網路應用程式漏洞的原因、研究相關的風險及影響，並提出減低風險的建議。指引適用於全部類別的軟件開發。

新網路應用程式乃主從形式並附有獨立平台，需要較少運算力，且可以暢通無阻地結合線上資源及服務。使用網路應用程式可減低處理程序的時間和成本，提升客戶滿意度，並增加收入。然而，網路應用程式的漏洞猶如歡迎不法分子洩取企業敏感資料、中斷服務及盜取知識產權。白皮書所載的部分常見漏洞包括：

• SQL攻擊
• 跨網站指令碼
• 不安全的物件參考
• 資料洩漏
• 抗自動控制不足

ISACA中國香港分會會長翁偉基表示：「網路應用程式的運用已成為企業日常業務中不可或缺的一部分。由於網路應用程式愈來愈備受重視，與網絡相關的資料入侵事故亦日益增多。然而，其實不少資料入侵事故仍尚未匯報或未被發現，而很多企業亦未有洞悉保安出現漏洞。網路應用程式的保安漏洞是企業必須認真看待的首要事項。ISACA提供的特定指引和程序，能有助企業遠離運用網路應用程式時涉及的任何風險。」

網路應用程式保安：業務及風險考量載有以下有助減低使用網路應用程式風險的策略：
• 保安措施應於起初階段被納入為強制實施項目。
• 程式編制員必須接受保安編碼技術培訓。
• 必須具備穩妥的質量保證程序，以支援受監控的持續測試。
• 必須持續監控正在使用的應用程式，預防新保安漏洞。
• 必須採取及時措施，以堵塞任何已發現的保安漏洞。

翁偉基表示：「要是懂得小心運用網路應用程式，企業定能享受其帶來的最大好處，當中包括提升市場推廣效用、簡化供應鏈及節省溝通時間、提高收入，以及能從整個企業及相關人士取得更多支援。」

網路應用程式保安：業務及風險考量可於www.isaca.org/web-application-security免費下載。更多ISACA有關雲端運算、社交媒體規範及流動裝置保安等主題的指引，請瀏覽www.isaca.org/whitepapers。

國際信息系統審計協會簡介
國際信息系統審計協會（ISACA®，網址：www.isaca.org） 是全球公認提供信息系統標準合規及保安、企業信息科技管治，以及信息科技相關風險與遵循之知識、認證、社群、倡導與教育訓練的領導組織，會員遍布逾 160 個國家，總數超過 95,000 人。ISACA®成立於 1969 年，是一個非牟利的獨立組織。除了主辦國際會議，出版《ISACA期刊》（ISACA® Journal），並制定國際公認的信息系統的審計與監控標準，以協助其成員締造一個信賴可靠，優值的信息系統。同時，為促進與証明各人的信息技術及知識 ，ISACA推出各項全球公認的專業認證，如：註冊信息系統審計師（CISA®）、註冊信息安全經理（CISM®）、企業信息科技管治認證（CGEIT®）及風險和信息系統監控認證（CRISC）。ISACA研擬及持續更新 COBIT®，以協助信息科技專才及企業領袖履行在信息科技管治方面的職責，特別是在信息系統標準合規、保安、風險架構及控制的範疇，使業務價值得以提升。

現在可於Twitter (http://twitter.com/ISACANews)、微博 (http://weibo.com/isacachinahk/) 及Facebook (http://www.facebook.com/ISACAHQ) 緊貼ISACA最新動向。
於 LinkedIn加入ISACA : ISACA (Official)
與ISACA會員交流: www.isaca.org/knowledge-center

本資料由凱旋先驅公關公司代表國際信息系統審計協會發佈。
查詢詳請，請聯絡黃家健先生或羅淑敏小姐：
電話：(852) 3141 8083 or 3141 8095 傳真：(852) 2510 8199
電郵：carl.wong@knprhk.com or yvonna.law@knprhk.com

- 新聞稿有效日期，至2011/12/22為止

上一篇：Acronis 獲德勤2011年高科技高成長500強
下一篇：【農委會】『農業知識入口網問卷調查』開始囉!!