澳公會專訪安永胡立基先生

隨著疫情在全球的蔓延，越來越多的企業(yè)由線下轉(zhuǎn)向線上，依托在線平臺來進(jìn)行業(yè)務(wù)溝通與開展業(yè)務(wù)，遠(yuǎn)程辦公模式的興起與企業(yè)的進(jìn)一步數(shù)字化轉(zhuǎn)型，使得網(wǎng)絡(luò)安全問題越發(fā)受到企業(yè)的關(guān)注。

在中國網(wǎng)絡(luò)空間安全基礎(chǔ)性立法《網(wǎng)絡(luò)安全法》正式實施三周年之際，澳洲會計師公會邀請了澳洲資深注冊會計師、安永咨詢服務(wù)合伙人胡立基先生就網(wǎng)絡(luò)安全和數(shù)據(jù)隱私等相關(guān)問題，和我們一起聊聊他的看法。企業(yè)如何防范網(wǎng)絡(luò)與數(shù)據(jù)安全風(fēng)險？快來聽聽專家怎么說！

胡立基 先生 澳洲資深注冊會計師，澳洲會計師公會中國華南區(qū)委員會委員，安永咨詢服務(wù)合伙人安永中國華南區(qū)網(wǎng)絡(luò)安全負(fù)責(zé)合伙人。胡立基先生是安永中國咨詢服務(wù)部華南區(qū)合伙人，擁有超過20年風(fēng)險咨詢領(lǐng)域的專業(yè)經(jīng)驗，為客戶提供關(guān)于企業(yè)風(fēng)險管理、企業(yè)治理、科技及業(yè)務(wù)風(fēng)險管理、項目管理、流程改造和監(jiān)管合規(guī)等咨詢服務(wù)。

胡立基先生同時是安永中國華南區(qū)負(fù)責(zé)網(wǎng)絡(luò)安全服務(wù)負(fù)責(zé)人，長期專注于網(wǎng)絡(luò)安全隱私和數(shù)字化風(fēng)險，幫助客戶應(yīng)對新時代下新技術(shù)帶來的新風(fēng)險。

胡立基先生持有香港大學(xué)計算機(jī)科學(xué)學(xué)士和碩士學(xué)位，目前擔(dān)任全球信息系統(tǒng)審計與控制協(xié)會（ISACA）香港分會總監(jiān)。胡立基先生擁有多項專業(yè)資格證書，包括澳洲資深注冊會計師、注冊信息系統(tǒng)審計師、注冊內(nèi)部審計師等。

遠(yuǎn)程辦公

行業(yè)的機(jī)遇與挑戰(zhàn)

突發(fā)的疫情，改變了大家的正常工作生活節(jié)奏，特別是像咨詢這類需要大部分時間到客戶現(xiàn)場工作的業(yè)務(wù)模式，如何在遠(yuǎn)程辦公的同時，又保持高效率高質(zhì)量的交付，是行業(yè)所面對的共同挑戰(zhàn)。同時，為了應(yīng)對疫情，全球企業(yè)的遠(yuǎn)程辦公激增，而遠(yuǎn)程辦公的浪潮，無疑又增加了未知的風(fēng)險隱患。

Winson和我們分享到，至近，在客戶方面聽到至多的話題都是關(guān)于如何建立自動化、持續(xù)的審計能力，如何構(gòu)建數(shù)據(jù)分析能力，如何確保數(shù)據(jù)合規(guī)等等。大多數(shù)企業(yè)面臨的挑戰(zhàn)是如何要求員工在家工作的同時保持相同的網(wǎng)絡(luò)安全水平。由于當(dāng)前大多數(shù)事故響應(yīng)（IR）和災(zāi)難恢復(fù)（DR）計劃都沒有考慮到遠(yuǎn)程辦公的情況，許多本地安全工具可能并不適用于家庭使用的設(shè)備和服務(wù)上，包括端點檢測和響應(yīng)（EDR），網(wǎng)絡(luò)監(jiān)視，防火墻，DLP（數(shù)據(jù)丟失防護(hù)），有時還包括某些身份驗證控制。

Winson說：“遠(yuǎn)程辦公讓更多企業(yè)意識到了數(shù)字化轉(zhuǎn)型、網(wǎng)絡(luò)安全、隱私保護(hù)的必要性和重要性?！?/p>

數(shù)據(jù)隱私安全

要注意這些重點

雖然在疫情期間，大多數(shù)企業(yè)已經(jīng)意識到了數(shù)據(jù)安全的重要性，但也容易走入數(shù)據(jù)安全保護(hù)的誤區(qū)。Winson和我們主要分享了三間國內(nèi)企業(yè)在進(jìn)行數(shù)據(jù)隱私保護(hù)的過程中，應(yīng)該注意的重點：

一、現(xiàn)有信息系統(tǒng)中數(shù)據(jù)的確認(rèn)、分類和歸檔。企業(yè)都擁有自己的信息系統(tǒng)，但是很多企業(yè)卻不了解自己的信息系統(tǒng)中究竟有哪些數(shù)據(jù)內(nèi)容，這些數(shù)據(jù)內(nèi)容應(yīng)該怎么分類，這就導(dǎo)致了在數(shù)據(jù)保護(hù)的過程中無法清晰的定位到企業(yè)或個人的敏感數(shù)據(jù)，不能有針對性的設(shè)計敏感數(shù)據(jù)保護(hù)方案。

二、 企業(yè)員工應(yīng)具備數(shù)據(jù)隱私安全相關(guān)的法律、法規(guī)等相關(guān)知識。很多情況下，企業(yè)員工沒有基本的數(shù)據(jù)安全相關(guān)知識，對法律、法規(guī)、條例等缺乏清晰的認(rèn)識。因此，企業(yè)應(yīng)該定期為員工舉行相關(guān)培訓(xùn)或講座分享，培養(yǎng)員工數(shù)據(jù)安全意識，豐富相關(guān)人員對政策的理解。

三、 數(shù)據(jù)保護(hù)不僅僅是IT部門的工作。很多企業(yè)已經(jīng)意識到數(shù)據(jù)安全的重要性，因此會通過購買引入相關(guān)產(chǎn)品或程序軟件來加強(qiáng)防護(hù)，但這并不能完全解決問題。數(shù)據(jù)隱私保護(hù)是一個需要業(yè)務(wù)、法律、財務(wù)、IT等部門共同協(xié)作才能完成的工作，法律部門了解相關(guān)政策后，業(yè)務(wù)部門應(yīng)該做好數(shù)據(jù)定位，對數(shù)據(jù)進(jìn)行分類，確定敏感數(shù)據(jù)，再由IT部門通過技術(shù)手段實現(xiàn)保護(hù)功能，這樣才能生成更符合企業(yè)情況的數(shù)據(jù)保護(hù)措施。

后浪時代

持續(xù)學(xué)習(xí)是原動力

如果專業(yè)服務(wù)是一個厚積薄發(fā)的過程，那么疫情就給了我們充分的時間去充實自己的知識儲備。Winson表示，對于專業(yè)人士來說，我們必須利用好這個時間窗口，對內(nèi)提高專業(yè)技能，對外維護(hù)好客戶關(guān)系，這樣才能為之后的業(yè)務(wù)發(fā)展做好準(zhǔn)備。在專業(yè)技能方面，Winson建議，財會專業(yè)人士可以有意識地學(xué)習(xí)和了解網(wǎng)絡(luò)安全合規(guī)、隱私保護(hù)合規(guī)、技術(shù)審計、信息化資產(chǎn)稽核等相關(guān)內(nèi)容。

說到為自己團(tuán)隊選擇年輕人才的標(biāo)準(zhǔn)時，Winson分享到，比起一個人的學(xué)科專業(yè)背景，他更加看重的是應(yīng)聘者是否有較強(qiáng)的學(xué)習(xí)能力以及對工作的熱情。但如果應(yīng)聘者有財務(wù)的相關(guān)背景，這也將會成為加分項，因為你會更加容易了解客戶的商業(yè)模式。