私隱專員公署表示,香港兆基創意書院及香港專業進修學校於2024年分別向公署通報涉及載有個人資料的資訊系統被黑客入侵的資料外洩事故。公署按既定程序完成審查及調查,並根據《個人資料(私隱)條例》第36條權力,對兩校的個人資料系統及其資料保安進行視察,結果顯示兩校在處理學生及教職員個人資料方面整體符合《私隱條例》附表1第4項(資料保安)規定,但仍須在多方面加強防護與治理。
公署指出,兩宗資料外洩事故已於2024年循規通報並接受審查。為檢視兩校所採補救措施及系統保安情況,私隱專員對兩校進行實地視察與文件審閱,並就發現向兩校提出具體建議,亦向教育界發放參考意見。
兆基書院:已採技術補強 建議提升偵測與銷毀監管
視察發現,兆基創意書院在事件發生後已實施多項技術性加強,包括建立修補程式(patch)管理程序、為帳戶的虛擬私人網絡(VPN)登入啟用雙重認證(2FA)、設定高強度密碼;在存取管控方面採用「最小權限」與「角色為本」機制;並為員工提供個人資料保障與資訊保安培訓。私隱專員鍾麗玲表示,整體而言兆基在資料保安方面已符合相關規定,但仍建議書院進一步提升資訊系統的偵測能力,以及加強對資料處理者在妥善銷毀其所持有個人資料方面的管理與監督,並就資料保留制定更詳盡政策。
港專:已建私隱管理系統 建議定期審計與檢視系統紀錄
港專(香港專業進修學校)亦在事故後採取多項保安及偵測措施,並建立個人資料私隱管理系統,委任專責人員擔任保障資料主任,為員工提供網絡安全及電郵防詐培訓;同時採用「最小權限」與「角色為本」的存取授權,並制定資料外洩事故應變計劃。公署建議港專進一步制定更全面及具體的資訊保安政策與資料保留政策、加強對載有個人資料系統紀錄的檢視,並定期對資訊系統進行保安審計。
私隱專員向教育界的通用建議
私隱專員鍾麗玲指出,教育機構日常需處理大量學生與教職員個人資料,應按風險採取適切管理與保安措施。公署綜合視察經驗向教育界提出多項建議,包括設立個人資料私隱管理系統,並委任專責人員;制定並貫徹資料管治及資訊保安的內部政策與程序;在員工入職及定期提供個人資料保障與資訊安全培訓;採用「最小權限」及「角色為本」的存取控制;實施有效措施預防、偵測及應對網絡攻擊;定期進行資訊系統的全面保安風險評估與審計;審慎聘任及管理資料處理者;以及制定資料外洩事故及人工智能相關事故的應變計劃。
公署同時鼓勵機構參考其已刊發的《資訊及通訊科技的保安措施指引》及《資料外洩事故的處理及通報指引》,並利用公署提供的「數據安全」專題資源與熱線(2110 1155)及「數據安全快測」進行自評,以提升網絡與數據保安水平。@
-------------------
香港大紀元創辦24周年
時代變,信念從未變。
-------------------
💪🏻支持我們,您可以:
刊登祝賀廣告
📞 熱線:2770 5566
成為網站會員
🔗 https://hk.epochtimes.com/subscribe
