盡職

近日很多資訊保安事故不斷被揭出，最令人驚嘆的莫過於入境處及警隊的內部資料竟然可以輕易外洩。我今早亦無意發現本地某大銀行的一個網上服務，其中一個用作測試的網站竟然中門大開，任人瀏覽，系統的設定，源碼以及一些登入戶口及密碼可以隨意下載，簡直豈有此理。

我已電郵那間銀行，要求她們盡快跟進，並調查有否洩露客戶資料。不過由此例子可見，被揭出的保安事故極可能只是冰山一角，相信有很多只是沒人發現沒報導出來而已。

資訊外洩事故，一定是人為疏忽。然而資訊科技業界都會犯的錯誤，要那些沒太多電腦知識的用家去避免確實有點困難 ¹。但最令我氣結的是商經局局長馬時亨說成這是用家不理資訊保安政策的後果，期圖把責任推給用家。

資訊保安政策當然要有，但只有它並不足夠。在資訊保安範疇，盡職 (Due Diligence) 才是重點²。所謂盡職，就是要把已訂立的政策，有紀律地透過負責任行為去執行訂立的管理常規。盡職是所有人的責任，負責資訊保安者尤甚，他應嚴謹對待每個處理資訊的步驟，亦要確保其管輆範圍內的程序有否違規，才可避免當中有任何狀況。現在很多的情況是，硬件不夠，軟件又陽春。用家保安意識薄弱之餘，指引不足，保安執行力不夠，幾環弱點加起來，不出事才怪。

各個機構現在最需要做的，是檢討一下機構裡的資訊保安，在政策，教育，執行上花多些功夫，全面檢討有否潛在危機，包括防止一切資訊帶離工作間。不要單純靠用家自律，這顯然是不會有效的。

1. 這說法其實有點說不過，資訊保安不止是業界從業員的責任，其實是整個機構的責任 [↩]
2. 這是 CISSP (一個資訊保安認證考試) 第一課所說的。 [↩]

Related Entries:

• Online form security: Further
• Online form Security
• 更改密碼
• 互聯網保安
• 把 USB Flash Drive 加密