生產力辦ISO 27001新版解說會
【本報消息】澳門生產力暨科技轉移中心昨舉行“ISO/IEC 27001:二○二二資訊安全管理系統新標準解說與應對”研討會。有講者表示,隨着手機、網絡、科技盛行和不斷迭代,IT資訊科技風險只增不減,有必要做好風險管理。
研討會昨下午三時假生產力暨科技轉移中心演講廳舉行。香港通用檢測認證有限公司(SGS)新產品和服務開發副總監游天鴻、產品及服務開發部高級認證主任湯凱榮主講。
生產力暨科技轉移中心理事長關治平致辭表示,國際資訊技術服務管理領域的重要標準ISO/IEC 27001發佈二二年新版本,提供更完善的控制措施指引,更加重視日益複雜的安全風險應對,確保營運可持續、有效。中心一直鼓勵及推動本地企業參考國際公認的標準,藉着研討會,希望可加深各機構對標準的了解,提升企業自身管理水平,可在資訊發達的時代繼續保持競爭力。
提高資安風險管理
游天鴻表示,ISO/IEC 27001新版本主要按現有科技、管理手法與時俱進作出改動,同時收集舊版市場上用家反饋和經驗作調整。本澳不少政府部門、公用事業企業都有考取舊的版本,中小企考取相關標準不多。任何規模企業在資訊安全領域都會遇到私隱保護問題,特別是手機、手機軟件盛行,有數據泄露風險等。考取相關標準,提高資訊安全風險管理。
中小企考取相關認證最大阻力是需要投入資源,難評估考取後帶來多少生意。但現時不少行業對考ISO認證有相關要求,特別若是開發手機軟件、網上平台等企業,若沒有認證,難取得客戶信任。
具體成本投入、技術投入方面,視乎企業實際需要,但並非技術上達到某個標準才能考取認證,更多是涉風險管理標準。小企業風險細,大企業風險大,考取認證門檻和難度與風險成正比。目前澳門網絡安全法、私隱條例等有助間接推動企業考取認證。