私隱專員公署於今年首7個月,共接獲68宗由機構通報的資料外洩事故,其中超過四分一涉及資訊及通訊科技系統的漏洞。公署遂發出 《資訊及通訊科技的保安措施指引》,建議定期監察及採取一系列的技術上及操作上的保安措施等。
個人資料私隱專員鍾麗玲表示,因應網路安全事故有所增加,資料使用者應加強保安措施,防範資訊系統受到惡意的攻擊。她希望指引可向資料使用者,特別是中小企,提供全面加強資料保安的良好行事方式。
指引建議,在資料管治和機構性措施方面,委任合適人員負責資料保安,及提供足夠的培訓;就風險評估,在啟用新系統和新應用程式前,以及在啟用後定期進行資料保安風險評估;同時建議一系列的技術上及操作上的保安措施。
另外,資料使用者須採取合約規範方法或其他方法,以防止轉移予資料處理者的個人資料在未獲准許或意外的情況下被查閱、處理、刪除、喪失或使用;資料保安事故發生後的補救措施,從而減輕對機構及受影響人士可能造成的傷害;定期監察、評估及改善資料保安政策的遵從情況,以及使用雲端服務、自攜裝置,及便攜式儲存裝置所應採取的資料保安措施。