經過數年疫情的洗禮，各企業均明白到數碼轉型的重要性，不但難再有競爭優勢，更可能被市場淘汰；然而，在推動數碼轉型時，可能因為過於進取而忽略一些重要的元素和步驟而變成資訊保安漏洞，因此企業需要定期邀請相關專家作出審視，確保整個資訊系統符合同國際認可水平。

所謂「IT審計」，是指獨立於信息系統本身、信息系統相關開發、使用人員的第三方，聘請IT審計師採用客觀的標準對信息系統的策劃、開發、使用維護等相關活動和產物進行完整地、有效地檢查和評估。

資訊保安是近年各企業重中之重的處理事項之一，可惜仍有不少企業掉以輕心。以數碼港為例，去年8月遭黑客入侵，大批資料被盜。個人資料私隱專員公署早前發表調查報告指出，數碼港在本次事故中存在五大缺失，事件導致逾一點三萬人的個人資料外洩，當中約四成為求職者及已離職僱員，因個人資料被不必要地保留而受影響。此外，事發時數碼港未有啟用多重認證功能，以核實獲授權可遠端登入數碼港網絡的用戶身份，讓黑客成功進入數碼港網絡。調查又發現，數碼港每兩年對資訊系統進行保安審計，對上一次審計於2021年尾進行，署方認為數碼港保安審計頻率明顯不足，未能適時應對資訊科技變化及網絡安全風險。

事實上，不少企業不單過份依賴IT，更對IT系統的運作方式一竅不通，加上企業員工對於IT保安的意識十分不足，導致很多安全隱憂。而對於IT設備管理人員來說，亦有可能因設備眾多而導致管理上出現混亂，久而久之，即使設備出現了異常情況亦來不及進行修正工作。這些正是審計工作之中的一個重要部分，審計過程之中將會協助指出整個企業之中的 IT 安全盲點，從而協助企業發現問題並為企業提供修補建議。

筆者認為，企業需要好好把握IT審計，去強化企業管治及風險管理，從而提升競爭力。

撰文：梁偉峰

擁有工商管理博士及三個碩士學位，從事資訊科技超過三十年，現為香港理工大學專業進修學院講師及課程總監、香港零售科技商會副會長、香港互聯網論壇副會長、亞洲域名爭議解決中心專家名冊成員、香港調解資歷評審協會認可綜合調解員、英國特許仲裁學會（東亞分會）委員、學術及職業資歷評審局學科專家、香港、新加坡及英國電腦學會資深會員、英國特許市務學會資深會員、國際扶輪3450區中環海濱扶輪社創社社長。

電郵地址：[email protected]