香港（2010年7月12日）─国际信息系统审计协会（ISACA）在中国及香港第一次的《信息科技风险与回报测量研究》（IT Risk/Reward Barometer）中发现，接近一半（42%）的中国与香港信息科技专业人士认为，云端运算技术（cloud computing）存在的风险盖过其益处。然而，由于云端运算技术有助减低营运的总持有成本（total cost of ownership，简称TCO），提高投资回报（ROI）及运作效率，并且能协助「按用量缴费」（pay-as-you-go）服务的推行，不少企业和大型机构对云端运算技术的兴趣愈益殷切。另一方面，中国的经济增长并未因环球金融不景气而受阻，而云端运算技术可不断扩充的发展规模亦引来国内私人与公营机构的青睐。根据中国调查公司计世资讯的资料显示，中国的云端运算技术市场在2009年的价值高达403.5亿元人民币，较2008年增长了28%。　

尽管如此，信息科技专才却认为，把信息资产交给云端技术管理存有不少风险。ISACA在2010年7月于中国及香港进行了《信息科技风险与回报测量研究》，调查对象为中、港两地的ISACA会员。调查显示，少于20%的中港企业计划使用云端运算技术。只有7%的受访者称，其机构有计划采用云端运算技术来处理重大事宜中涉及的信息科技服务之上，47%受访者则表示没有考虑以云端技术执行任何信息科技服务。　

ISACA中国香港分会会长翁伟基表示：「云端运算的确具有极大的发展潜力。由于中国现时的经济发展十分蓬勃，对中国企业来说，云端技术灵活的扩展潜力便更加备受注目。云端现已成为信息科技界的焦点，现在应是适当的时候，给业内专才小心评估此技术的应用能力，并分析当中的利弊。云端应用在现时只属早期阶段，信息科技人士把焦点放在风险问题之上，实属正常。这不但可以加强业界对云端风险的重视，而且也能令管治的三大畴范，即企业、信息科技及数据管治，得到更佳的协调。」

ISACA在其《云端运算技术：保安、管理、认证与商业利益》白皮书（Cloud Computing: Business Benefits with Security, Governance and Assurance Perspectives）中仔细考量了云端计算技术带来的风险和回报。此白皮书由ISACA与云端安全联盟（Cloud Security Alliance）共同撰写，现已于网站www.isaca.org/cloud内供免费下载阅览。　

鉴于经济环境持续不明朗，若果撇开信息科技能够带来更多回报的潜力，超过七成受访者相信，信息科技项目在2010年的风险水平应会与往年一样或稍为下降。 56%受访者称，针对本年的风险管理及规管达标工作，其机构所投放的资源将与往年相等或只会略有缩减。　

此外，是次调查亦研究了机构组织对信息科技风险管理的取态。在受访的信息科技专业人士中，只有16%认为其机构能够十分有效地把信息科技风险管理与整体业务风险管理互相整合。长远而言，受访者认为提升员工的风险意识（34%），以及加强信息科技风险管理与企业整体风险管理之间的协调（33%）是极之重要的改善方法。　

ISACA中国香港分会会长翁伟基续称：「信息科技风险管理对企业来说是十分重要，尤其是对于普遍『重硬轻软』在国内企业。在内地，部份的企业把资源及精神投放在硬件的建构之上，而忽略如风险管理等较『软』的项目。」

高风险员工

ISACA中国及香港的《信息科技风险与回报测量研究》同时探讨了信息科技专业人士对机构雇员使用信息科技行为的见解。根据调查结果，以下是员工容易令业务蒙受风险的四大行径：　

·      没有妥善保护机密的业务资料（62%）

·      使用未获批准的软件或网上服务处理工作（40%）

·      透过处理公务的设备使用点对点（peer-to-peer）档案传输功能（39%）

·      未有完全了解企业实施的信息科技政策（37%）

《信息科技风险与回报测量研究》简介

ISACA的《信息科技风险与回报测量研究》的资料源自于一项在2010年7月举行的网上问卷调查，受访对象为身处中国与香港的ISACA会员。调查旨在研究现今机构在信息科技项目的风险与回报方面的取态及相应举动。如欲详阅研究结果，请浏览www.isaca.org/news。　

国际信息系统审计协会简介

国际信息系统审计协会（ISACA^®，网址为www.isaca.org）是全球首屈一指的专业机构，会员遍布全球160个国家，数目超逾86,000人。协会致力于信息系统的标准及保安、信息科技的企业管治，以及有关信息科技的风险和监管方面提供相关的专业知识、证书和交流平台，同时促进业界发展和教育。成立于1969年，ISACA定期赞助国际会议，并出版刊物《ISACA^®Journal》，及发展信息系统审计及订立监控方面的国际标准。另外，ISACA亦负责颁授获得全球推崇的专业资格－注册信息系统审计师 该内 容 由中审 网 校 所属www.a ud it cn.com（CISA®）、注册信息安全经理（CISM®）、企业信息科技管治认证（CGEIT®），以及风险及信息系统监控认证（CRISC^TM）。

ISACA提供信息安全商业模式（BMIS）以及信息科技认证架构（ITAF）。协会亦一直持续发展及更新「信息及相关科技监控目标」（COBIT^®）、Val IT^TM及Risk IT信息系统风险架构，协助信息科技专才及企业领袖履行在信息科技管治方面的职责，并提升业务价值。

现在可于Twitter紧贴ISACA最新动向: http://twitter.com/ISACANews

###

本资料由凯旋先驱公关公司代表国际信息系统审计协会发布。

查询详情，请联络黄家健先生或罗淑敏小姐：

电话：(852) 3141-8083或3141-8095     传真：(852) 2510-8199

电邮：carl.wong@knprhk.com或yvonna.law@knprhk.com

国际信息系统审计协会

Kristen Kessinger

电话：+1.847.660.5512　

电邮：kkessinger@isaca.org

附：信息科技风险与回报测量研 (2010 Risk-Reward Barometer)