警監會泄密事件

警監會泄密事件發展至今，矛頭似乎指向服務供應商判上判方面，但是，這是否問題的核心，是值得深思的。

就目前已知的資料看，服務供應商將工作外判給一名獨立人士，而資料是由這名獨立人士泄漏出去。服務供應商的外判安排當然有可能違反合約規定，但是，如果我們細心一想，這種安排在本質上其實與應用兼職員工或合約員工沒有分別。由於資訊處理工作往往牽涉獨特的技術能力，而具有這些能力的人可能不會太多，所有，很多時外判是無可避免的。所以，筆者認為問題不是由誰來工作，而是在工作的過程中沒有落實嚴謹的保安政策。

其實，在處理需要嚴謹保安的資料時，由於錯誤是難以在事後檢查和補救，我們應注意嚴謹的流程確認程序(Process Validation Procedure)，亦即合格的工作人員、合格的工作地點、合格的工作工具和合格的工作流程(Qualified People, Qualified Place, Qualified Facilities and Qualified Process)。今次事件，最關鍵是根本整個過程應必須以警監會提供的工具和在警監會的地點進行，此亦是資訊保安的基本常識，因此，警監會的有關資訊科技負責人是責無旁貸的。