在資訊及通訊科技的廣泛使用下,加上混合工作及混合學習等模式的新常態,資料使用者在保障個人資料私隱方面面臨重大的挑戰,特別是資料保安。今年1月至7月,個人資料私隱專員公署(私隱專員公署)共接獲68宗由機構通報的資料外洩事故,其中超過四分之一涉及資訊及通訊科技系統的漏洞。
有見及此,私隱專員公署今日(8月30日)發出 《資訊及通訊科技的保安措施指引》(指引),為資料使用者建議相關的資料保安措施,以協助他們遵從《個人資料(私隱)條例》(第486章)的規定。
個人資料私隱專員鍾麗玲表示:「因應網路安全事故有所增加,資料使用者應加強保安措施,防範資訊系統受到惡意的攻擊。事實上,穩健的資料保安系統是良好資料管治的一個核心元素。我希望指引可向資料使用者,特別是中小企,提供全面加強資料保安的良好行事方式。」
指引輔以個案分析及圖表説明,所建議的資訊及通訊科技的資料保安措施涵蓋:-
1.
資料管治和機構性措施:包括委任合適的領導人員負責資料保安,及提供足夠的培訓予工作人員。
2.
風險評估:在啟用新系統和新應用程式前,以及在啟用後定期進行資料保安風險評估。
3.
建議一系列的技術上及操作上的保安措施。
4.
資料處理者的管理:資料使用者須採取合約規範方法或其他方法,以防止轉移予資料處理者的個人資料在未獲准許或意外的情況下被查閱、處理、刪除、喪失或使用。
5.
資料保安事故發生後的補救措施,從而減輕對機構及受影響人士可能造成的傷害。
6.
定期監察、評估及改善資料保安政策的遵從情況。
7.
使用雲端服務、自攜裝置,及便攜式儲存裝置所應採取的資料保安措施。
下載《資訊及通訊科技的保安措施指引》:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidance_datasecurity_c.pdf