缺定期審核 人員少培訓
澳機構資訊安全存隱患
【本報消息】由澳門創新科技中心主辦的“二○一四澳門資訊安全調查報告”發佈會昨舉行,該中心執行董事陳東昇表示,從報告中發現,受訪機構投放較多資源於安全系統管理及維護,而忽略了資訊安全意識及培訓、風險評估及制訂資訊保安政策等。此外,受訪政府機構及私人機構部分亦沒有定期審核系統,存在潛在威脅。
發佈會昨日下午三時在該中心舉行。主辦單位在今年七月十四日至九月十七日期間共邀請三百三十六個來自不同領域的機構參與,回應率約百分之二十七,即九十二個機構完成了是次網上調查。當中百分之五十九屬於政府部門,其餘為通信科技業、公用事業、銀行業、零售業、旅遊娛樂事業及教育事業等。報告針對圍繞資訊安全的三大方面:政策、管理及事故。
面對日新月異的科技發展,陳東昇坦言沒有一個完美的系統可以完全阻擋黑客攻擊,甚至出現今日安全的系統、隔日便出現破解方法或被發現漏洞。報告以政府部門和私人機構作比較,發現政府部門在資訊安全管理、意識及培訓、資源分配及重視程度等,均較私人機構遜色。其中私人機構接近百分之二十八的員工沒有接受相關的認知培訓,政府則接近一半。
對網頁或管理系統作定期更新或維護,將能提高系統的安全,而政府機構中,有百分之四十一沒有對系統作出定期審核,存在潛在威脅,而私人機構則為百分之二十四。
現時所有機構,包括政府部門等,均須提高員工的網絡認知及意識,並應由相關專業人士作出風險評估及資訊安全政策。近年,向澳門電腦保安事故協調中心求助的個案有上升趨勢,主辦單位希望社會各界重視資訊安全,將損失減至最低。