澳門生產力暨科技轉移中心昨舉行“ISO/IEC 27001:二○二二資訊安全管理系統新標準解說與應對”研討會。有講者表示，隨着手機、網絡、科技盛行和不斷迭代，IT資訊科技風險只增不減，有必要做好風險管理。

    研討會昨下午三時假生產力暨科技轉移中心演講廳舉行。香港通用檢測認證有限公司(SGS)新產品和服務開發副總監游天鴻、產品及服務開發部高級認證主任湯凱榮主講。

    生產力暨科技轉移中心理事長關治平致辭表示，國際資訊技術服務管理領域的重要標準ISO/IEC 27001發佈二二年新版本，提供更完善的控制措施指引，更加重視日益複雜的安全風險應對，確保營運可持續、有效。中心一直鼓勵及推動本地企業參考國際公認的標準，藉着研討會，希望可加深各機構對標準的了解，提升企業自身管理水平，可在資訊發達的時代繼續保持競爭力。

    提高資安風險管理

    游天鴻表示，ISO/IEC 27001新版本主要按現有科技、管理手法與時俱進作出改動，同時收集舊版市場上用家反饋和經驗作調整。本澳不少政府部門、公用事業企業都有考取舊的版本，中小企考取相關標準不多。任何規模企業在資訊安全領域都會遇到私隱保護問題，特別是手機、手機軟件盛行，有數據泄露風險等。考取相關標準，提高資訊安全風險管理。

    中小企考取相關認證最大阻力是需要投入資源，難評估考取後帶來多少生意。但現時不少行業對考ISO認證有相關要求，特別若是開發手機軟件、網上平台等企業，若沒有認證，難取得客戶信任。

    具體成本投入、技術投入方面，視乎企業實際需要，但並非技術上達到某個標準才能考取認證，更多是涉風險管理標準。小企業風險細，大企業風險大，考取認證門檻和難度與風險成正比。目前澳門網絡安全法、私隱條例等有助間接推動企業考取認證。

   來源：澳門日報