德勤/特许公认会计师公会调查发现，大陆和香港公司对信息安全投入度低

出版日期：2016年9月13日

目前，中国大陆和香港公司在信息安全方面的投入度低，将近四分之一的受访公司未把这重点领域纳入未来三年的财政预算范围。德勤中国和特许公认会计师公会联合出版的报告显示，多达40%的受访者（大部分为首席财务官或首席信息官）不清楚自己的公司是否有拨备专门的信息安全开支预算。

在数字化的背景下，各公司纷纷建立多个与对外受众联系的接触点，通过网络和社交媒体与他们展开互动，进而调整经营模式和流程。公司可以通过这些渠道与顾客展开更有效的交流，但同时，公司亦可能因此面临网络攻击，因而带来有形或无形的业务损失。基于这情况，德勤中国和特许公认会计师公会联合开展了一项调查，探讨公司在市场上遇过的网络攻击，以及其应对威胁的方法。该调查对象包括中国大陆和香港在内，300位大多来自于各行各业的首席财务官和首席信息官。

德勤中国企业风险管理服务合伙人郭仪雅女士认为：“新型信息技术明显有助促进业务发展，因此各公司对在这领域的投资态度均显得十分积极，然而，公司董事会却甚少讨论风险防范的问题。事实上，公司在使用新技术的同时，如果没有提高信息安全保障的能力，则将有可能面临严重的威胁。移动设备和云端技术等新兴技术在日常生活中的运用越来越普遍，令公司与外部受众的接触渠道也随之增多，从而形成了更加复杂的局面。”

报告显示，所有行业都有可能遭受网络攻击的威胁，一些公司平均每个月遭受两次甚至更多的网络攻击。但有趣的是，仅有28%的受访公司表示曾于过去12个月内，遭受过信息安全的破坏或事故。香港的电脑犯罪已越发猖獗，就2009至2015年期间，香港地区的电脑犯罪案件数量便按复合年均增长率达28.8%，呈上升趋势。同一时期，因技术犯罪而导致的经济损失每年增长85.4%，金额更创纪录达18亿港元。

受访者还指出一些在网络威胁和信息安全方面面临的挑战，如信息泄露、缺乏成文的指导方针、私隐权申诉、骇客行为和未遵守私隐权相关法规等。然而，仅有50%的受访者有为公司实行信息安全措施，并有60%的公司没有为员工进行提高网络安全意识方面的培训。

有关解决安全破坏或事故的效率方面，众多受访者表示问题可在一个月内得以解决，但亦仍有大量安全事故未能在一个月内得到解决，并因此增加成本。郭女士认为：“没有做好充分的准备通常是应对效率低的根源所在。低效率导致的经济损失以倍数增长，同时还会导致其他的负面影响，如声誉受损和遗失敏感性资料等。”郭女士引用另一项由德勤调查研究所得的结果指出，解决一次网络攻击所需的平均时间为32天，而平均总成本则略超过100万美元。

报告在分析网络安全风险的法律问题时，着重介绍了香港监管机构在支持这方面的举措。为确保信息安全得到支援，香港监管机构越来越注重完善法律结构。调查显示，14%的受访者曾有因未遵照数据安全措施或因侵犯私隐而遭受投诉的经历。毫无疑问，日益严苛的法规将推动制定网络安全相关的结构与流程。

特许公认会计师公会香港分会政策主管朱暖晖女士总结称：“网络安全是个复杂的议题。无论是政府、执法机构，或信息技术专业人员，均无法独自保障网络安全。因此，只有当公司和个人认识到自己在网络安全中的重要作用，并承担自己相应的责任时，网络安全问题才能有效得到解决。每个人都是铸造网络安全新防线的一员，而会计专才则可透过确定需保护的关键资产、界定存取权限等级，及评估安全措施的成本效益方面，为网络安全做出贡献。特许公认会计师公会一直注重对其会员提供这些方面的必要培训，使他们具备应对以上新挑战所需的知识。”