《香港中小企雲端應用、保安及私隱就緒程度調查》結果公佈

香港互聯網協會與雲端安全聯盟香港澳門分會聯合公佈第三份年度《香港中小企雲端應用、保安及私隱就緒程度》調查報告。本報告由Microsoft香港贊助。報告指出 ，自《個人資料（私隱）條例》實行後，達九成半中小企已制定公司政策保護客戶私隱，較兩年前調查上升近四成。

同時，超過五成中小企認為可以依賴雲服務供應商提供的雲端保安服務，惟四成半中小企表示雲服務供應商處理客戶數據及資料欠透明度，未知在停用該等服務後，有關數據及資料能否從供應商雲端系統中回收及删除。在資訊保安標準方面，七成中小企表示不認識雲端保安及隱私的相關國際標準（如ISO/IEC 27017及ISO/IEC 27018），反映中小企未知如何分辨雲服務供應商的資訊保安工作是否達標。

本報告旨在了解香港中小企對雲端資訊科技的認知及應用情況。據往年報告反映，中小企已廣泛採用不同程度的雲端服務，本年度報告將重點分析中小企對雲服務供應商的資訊保安及私隱處理方法的認知及理解程度，並就中小企選擇雲服務供應商給予建議。訪問於今年三月進行，並委託香港生產力促進局進行為期大約三個星期的電話訪問，對象是員工人數少於100人的本港中小企。參考政府統計處的數據，本調查涵蓋香港主要行業，成功完成了共103份的調查。調查問卷是參考雲安全聯盟國際標準Cloud Control Matrix制定，並加入適合本地業界狀況的問題。

中小企對雲端資訊保安及私隱關注認知度上升 

本報告反映中小企對雲端數據私隱管理認知度增加，在硬件資料存取、數據備份、及設置意外系統管理的比例較往年增加，當中近七成中小企有管理公司密碼及制定系統存取權，較往年增加一成半；近七成中小企備有數據重整及備份，並首度增設數據處置政策，由兩年前未曾設立至今年設置率達超過六成；亦有超過七成中小企設有意外反饋機制及災難修復計劃，分別較往年上升近四成及兩成半。反觀中小企的系統管理方面未見改善，只有三成中小企設有保安補丁政策 (Security Patches Policy)，較上個年度報告相比的增長率未及一成，同時設有防火牆以保障中小企的保安措施亦有下跌跡象，較往年減少百分之四。

香港互聯網協會網絡保安及私隱小組召集人楊和生先生表示：「本年度報告與2015年比較，我們樂見更多中小企陸續制定雲端資訊保安政策，整體對雲端數據保安的認知及意外處理有更多準備。惟當中對第三方服務供應商的雲端保安系統依賴程度有上升趨勢，仍有大量中小企在保安補丁政策上缺席。相信未來仍會有大量中小企依賴第三方服務供應商處理其公司的雲端保安服務，我們建議中小企必需選擇具透明度的雲服務供應商，並定期檢視供應商的保安解決方案是否有定期更新。」

中小企未能分辨雲服務供應商是否乎合國際標準 

本年度調查顯示，中小企對個人資料保護的關注比往年更高，由《個人資料（私隱）條例》實施至今已有九成半制定相關政策。誠然，中小企對雲服務供應商處理數據及資料的認知不足，有超過四成半中小企認為服務供應商欠透明度，未知在停用供應商服務後，有關數據及資料能否從供應商雲端系統中回收及删除。仍有兩成中小企表示不知道其雲服務供應商會否將其數據及個人資料作商業用途，亦有兩成半中小企表示其雲服務供應商沒有遵守《個人資料（私隱）條例》，不排除有關供應商使用企業數據及資料的可能。

雲端安全聯盟香港及澳門分會會長林志堅先生分析：「中小企必需清楚了解雲服務供應商對數據及資料的存取及删除政策，同時必需釐清與服務供應商中止合約後的數據資料安排。報告顯示，七成中小企不認識雲端保安及隱私國際標準，反映中小企未能分辨對雲服務供應商的服務是否乎合國際標準。我們建議中小企選擇雲服務供應商時，可參照《個人資料（私隱）條例》，以及如ISO/IEC 27017及ISO/IEC 27018等國際標準以確保雲服務供應商質素。」

Microsoft 香港有限公司區域科技長許遵發先生表示：「眾所周知，中小企未必有足夠的人力資源及專業科技知識，透過採用可靠的企業級雲服務供應商方能彌補當中的不足之處，並以相宜的價錢享用企業級的資料私隱保護。Microsoft一直致力協助中小企善用資訊科技以提升競爭力，是次調查顯示本港超過四成的中小企優先考慮Microsoft Azure作其雲服務供應商。我們提供適當的產品功能及營運模式，以便更完善及更有效地保護其企業數據及資產。」