PCPD 調查揭示香港中小企的網絡安全治理缺失

PCPD 調查發現：五大關鍵治理缺失

• 帳號生命週期管理失效

 閒置帳號超過 13 年仍未停用，缺乏多重身份驗證（MFA）、登入鎖定或定期審查。

• 過時的安全基礎設施

防火牆與防毒軟件陳舊，缺乏入侵檢測、SIEM 或異常監控。

• 不受支援的操作系統

伺服器運行已停止支援超過四年的操作系統，漏洞未被修補。

• 缺乏政策及事故應變框架

公司未制定帳號控制、密碼強度、修補週期或資料外洩通報的安全政策。

• 缺乏風險評估與獨立審計

未進行結構化的 安全風險評估與稽核 (SRAA) 或第三方審查，直至事故發生後才發現風險。

經驗教訓：香港企業的五大必做行動

此事件反映了香港中小企普遍存在的制度性弱點。為提升網絡韌性，企業應：

• 規範身份與存取控制

1. 建立離職員工帳號停用流程
2. 強制啟用 MFA 及異常登入監測

• 制度化獨立審計

1. 每年至少進行一次 SRAA
2. 與供應商簽署 資料處理協議 (DPA) 並驗證其安全控制

• 建立修補與漏洞管理機制

1. 及時替換所有不受支援的系統
2. 部署持續掃描、修復追蹤及修補驗證

• 採納國際標準與基準

1. 通過 ISO/IEC 27001 資訊安全管理體系 (ISMS) 認證
2. 採用 72 小時外洩通報標準，與 GDPR 最佳做法接軌

• 將資訊安全融入企業文化

1. 定期為全體員工開展 安全意識培訓
2. 設立 資訊安全委員會，由董事會層面監督

延伸洞察：中小企必須避免的三大誤區

• 誤區一：「我們不是科技公司，不會成為攻擊目標。」

事實： 香港警方數據顯示，48% 的網絡攻擊發生於零售、醫療及製造業。
啟示： 任何持有個人資料的組織都是潛在目標。

• 誤區二：「有防火牆和防毒軟件就足夠。」

事實： 涉事公司依賴過時的邊界防護工具，缺乏監測，導致橫向入侵。
啟示： 必須部署 SIEM/XDR、漏洞掃描及定期滲透測試。

• 誤區三：「資訊安全只是 IT 部門的責任。」

事實： 法規（PDPO、GDPR、DORA）均強調董事會問責，管理層需承擔個人責任。
啟示： 必須將資訊安全納入企業風險治理，由董事會主導。

核心結論： 資訊安全不僅是技術防護，更是企業治理的實踐。

常見問題 (FAQ)

• Q1: 數據量少的中小企仍需 ISO 27001 嗎？

答：需要。ISO/IEC 27001 著重於風險管理與治理，而非數據量大小。

• Q2: PCPD 是否規定外洩通報時限？

答：沒有法定時限，但最佳做法是 72 小時內報告，與 GDPR 接軌。

• Q3: 每年一次滲透測試是否足夠？

答：不一定。若系統頻繁升級，需進行 額外滲透測試 及持續漏洞掃描。

結論：資料外洩是治理的壓力測試

本案例表明，若缺乏 存取治理、風險評估及事故應變規劃，單靠 IT 防禦並不足夠。

為維護信任，香港企業應將 ISO/IEC 27001、SRAA、PIA 及滲透測試 納入統一的治理與技術防禦框架。

DQS HK 相關服務

• 安全风险评估与审计 (SRAA)
• 隐私影响评估 (PIA)
• ISO 27001 认证
• 渗透测试
• 安全事件响应 (IR)
• 安全意识培训