管理資料外洩

所有會使用網絡的企業都會面臨一系列網絡風險，尤其是資料外洩風險。資料外洩是公眾特別關注的其中一種漏洞，特別是近期發生多宗備受矚目的資料外洩事件，如2018年9月發生涉及Facebook的資料外洩。雖然我們無法消除資料外洩等網絡風險，但企業可透過多種措施管理及減低風險。

管理資料外洩等網絡風險與其他風險一樣，最佳方法是盡可能減低風險及減低風險帶來的損失。減低風險可避免企業及其客戶的資料外洩，而減低風險帶來的損失則可保障企業免受資料外洩的後果。

減低風險帶來的損失的最佳方法是購買網絡責任保險。採用最配合公司業務及資料類型的保安措施是減低風險的最佳方式，可惜目前並沒有適合所有機構的全球標準或解決方案。

無論選擇哪一種保安措施，持續監控及更新保安產品及服務都非常重要。企業確實執行基本網絡安全措施，包括良好的密碼設定及加密相關資料等。這樣雖然不足以建立萬無一失的系統以消除資料外洩風險，但可將風險大幅減少。

良好的資料外洩風險管理策略不僅具備防止資料外洩的措施及程序，亦應包括外洩事件發生時應遵循的指引。有關指引應指明是否需聘請資訊科技、公關、法律等專業人士，並應涵蓋下列項目：

1. 控制外洩及限制損失, 包括關閉並防止進一步入侵系統
   
   
2. 評估與外洩相關的風險及影響, 包括對業務的影響（例如外洩的資料會否影響其他業務流程或與第三方的關係），以及對企業的客戶的影響（例如受影響的人數及外洩資料的性質）
   
   
3. 匯報外洩, 包括需要通知的人士、通知的時間及方式，以及需要匯報的資訊
   
   
4. 處理外洩, 包括修復遺失資料及重啟受影響系統
   
   
5. 評估應對措施的成效並防範日後再發生同類事件, 包括以下事項：釐定外洩是犯罪行為、人為失誤或程序不完善所致；評估應對外洩時出現的任何營運、政策、資源、僱員或管理等問題；及修正導致外洩的程序或行為

管理資料外洩等網絡風險時，須採取針對以下各方面的整合措施：

• 防範攻擊
• 減低風險帶來的損失
• 在防範措施失效時如何應對事故
   

觀看網上研討會瞭解網絡世界：風險面面觀，了解更多有關機構提升網絡防禦的祕訣，並深入了解網絡趨勢。