覆水難收﹕時刻小心處理客戶資料

我們留意到一宗保安事故，近日有一間本地知名的信貸評分公司洩露個人資料。攻擊者可濫用你的個人資料，例如﹕香港身份證號碼，輕易通過認證程序，以取得你的信貸評分報告。

 

不能成功保護客戶資料是企業的致命傷，這會為企業帶來負面影響，例如﹕法律責任、損害企業聲譽及財務影響等。

 

香港電腦保安事故協調中心呼籲機構應做到「謹慎」及「盡職調查」 (Due Care, Due Diligence)，以保障客戶資料。改善及加強數據保護及保安措施，以偵測任何未獲授權的資料存取及提防資料洩露事件發生。

 

於應用程式設計階段，企業應因應其業務作風險評估，例如﹕應用程式會處理什麼資料, 若這些資料意外洩漏將帶來什麼影響, 企業應使用什麼相應保安措施去減低這些已發現的風險等。

 

企業應定期評估其保安風險措施及能否管理這些風險。例如﹕進行安全評估。保障客戶資料並不是一個一次性的項目，它應該被常規化。網絡罪犯越來越成熟，其攻擊亦十分複雜。為應對這些不斷變化的風險，企業需不斷改進其資訊保安的能力，例如﹕改進應用程式的保安、訓練員工處理最新的保安威脅及評估業務程序上的漏洞等。

 

預防勝於治療，保護客戶資料屬資訊保安的一部份。滿足資訊保安的要求需要很多資源，故應由企業管理層支持。企業應預期未來可能會有越來越多有關資料保護及資訊保安的法例法規，例如﹕歐盟推出的《一般資料保護規範》。