e 書直說

經過數年疫情的洗禮, 各企業均明白到數碼轉型的重要性, 不單難再有競爭優勢, 更可能被市場淘汰; 然而, 在推動數碼轉型時, 可能因為過於進取而忽略一些重要的元素和步驟, 從而變成資訊保安漏洞, 故此, 企業需要定期邀請相關專家作出審視, 確保整個資訊系統乎合同國際認可水平。

所謂「IT審計」, 是指獨立於信息系統本身、信息系統相關開發、使用人員的第三方, 聘請IT審計師採用客觀的標準對信息系統的策劃、開發、使用維護等相關活動和產物進行完整地、有效地檢查和評估。 對企業而言, 儘管花費了數十萬的審計支出, 然而令避開了一些責任危機, 一些可能因為沒有做足審計工作而引起一連串問題以及法律責任。

企業為了提升工作效率及競爭力而過份依賴IT是無容置疑的事實, 正因如此, IT 審計可以為企業的所有 IT 設備作出一個概括的報告, 對於不懂得 IT 的管理層而言, 亦提供了企業 IT 實際情況以及相關問題所在。

資訊保安是近年各企業重中之重的處理事項之一, 可惜仍有不少企業掉以輕心, 以數碼港為例, 去年8月遭黑客入侵, 大批資料被盜。個人資料私隱專員公署早前發表調查報告指出, 數碼港在本次事故中存在五大缺失, 事件導致逾1.3萬人的個人資料外洩, 當中約四成為求職者及已離職僱員, 因個人資料被不必要地保留而受影響。此外, 事發時數碼港未有啟用多重認證功能, 以核實獲授權可遠端登入數碼港網絡的用戶身份, 讓黑客成功進入數碼港網絡。調查又發現, 數碼港每兩年對資訊系統進行保安審計, 對上一次審計於2021年尾進行, 署方認為數碼港保安審計頻率明顯不足, 未能適時應對資訊科技變化及網絡安全風險。

事實上, 不少企業不單過份依賴 IT, 更對於 IT 系統的運作方式一竅不通, 加上企業員工對於 IT 保安的意十分不足, 導致很多安全隱憂; 而對於 IT 設備管理人員來說, 亦有可能因設備眾多而導致管理上出現混亂, 久而久之即使設備出現了異常情況亦來不及進行修正工作,而這些都是審計工作之中的一個重要部份, 審計過程之中將會協助指出整個企業之中的 IT 安全盲點, 從而協助企業發現問題並為企業提供修補建議。

總括而言, 企業需要好好把握IT審計, 去強化企業管治及風險管理, 從而提升競爭力。