作者:NTT Com Managed Services 解決方案總監 Dave Scott
歐盟《通用數據保護條例》(GDPR)已生效,旨在保障歐盟公民私隱,凡收集、持有或處理歐盟公民個人資料的企業,即使不在歐盟地區,亦受該條例的約束,違反者最高罰款為全球營業額 4% 或 2,000 萬歐元(折合約港幣1.85 億元)(取較高者)。
歐盟乃香港第二大貿易夥伴,去年出口來港的商品總值高達 368 億歐元,而香港出口歐盟的商品亦達 112 億歐元,可見歐盟對本港經濟極其重要。對於本港企業而言,不論業務規模大小或是否在歐盟境內外,均必須遵守該項私隱新法,起步較晚或缺乏技術並非可辯解的藉口。然而,不少香港企業的資訊總監(CIO)對 GDPR 仍然陌生,甚或未作好準備以確保公司合符法規。
如何應付 GDPR
作為企業的資訊基礎設施及系統負責人,CIO 必須審視其監控措施是否符合 GDPR 的技術與安全規定,並針對現存的漏洞進行變革。但礙於本身技術不足或人才匱乏,對於許多企業而言,在傳統內部系統或公共雲端上部署適當的安全監控措施乃一大挑戰,而混合雲端正是最佳的解決方案之一。
網絡安全憂慮令很多企業有意將受監管的敏感數據從公共雲端遷至公司內部,但内部部署方案如非妥善設計、執行及維護,同樣有安全漏洞,易受攻擊。
一個妥善設計維護的混合雲端解決方案便成為 CIO 的最佳應對之策,可在監控、合規、靈活及成本之間取得平衡,盡享雲端的優勢之餘並確保數據安全。不少跨國企業已紛紛轉用混合雲端以便有效管理繁複的雲端部署並補充現行的傳統應用環境。
在邁向混合雲端的轉型路上,CIO 所面對的共同挑戰包括如何遷移至雲端、在何處設置或託管私有雲等等。有些國家如新加坡,更要求企業將數據中心設於當地,故此 CIO 須將數據存於當地的公司內部或數據中心。其他挑戰包括連接全球不同雲端,並確保各雲端無縫一致、高度安全及易於管控。而 CIO 往往要在短期的合規期限內解決這些難題,但企業如夥拍管理式服務供應商(MSP),卻有助其管理 IT 系統並將數據存於 MSP 的當地數據中心或企業內部。
專家預計 GDPR 將成為全球數據保護的新標準,即使企業在歐洲並無實體業務亦有機會「墮網」,若未能及早行動以符合 GDPR 要求,不僅會失去生意,更可能被罰巨款,蒙受損失。CIO 乃企業的最後把關者,如有問題難以解決,應當尋求 MSP 商討對策,並採取完善的混合雲端策略,滿足新法規的要求,以免誤墮法網,因小失大。