沒有結論的警監會泄密報告

警監會泄密報告出台，結論是「沒有結論」。報告除了給人一個「推卸責任」的感覺外，便是顯示警監會諸位領導對資訊保安的無知。

坊間有關資訊保安的資料十分多，其中國際標準ISO 17799提供了不少有用指引，相信對警監會甚至很多處理敏感資料的機構都十分有用。

ISO 17799正如其他管理系統，建基於風險管理的概念，其中亦特別指出機構在與外間團體(包括外判商)工作時有責任做好風險評估。

在ISO 17799第6.2.1節，有關於這方面風險評估的詳細建議，內容包括：
(1) 外間機構需應用的設備；
(2) 介入的方式；
(3) 有關資料的敏感程度；
(4) 保護資料所需的措施；
(5) 牽涉的人士；
(6) 授權介入的方式和控制方式；
(7) 外間機構處理資料的方式；
(8) 外間機構未能獲取正確資料的影響；
(9) 處理事故的方法；
(10) 相關的法規要求；和
(11) 對其他相關方的影響。

另外，在ISO 17799第10.7段，亦提到對資料載體的應有控制，包括：
(1) 對處理用後載體的處理方式；
(2) 載體運用期間的貯存；
(3) 資料交換時應有授權和記錄。

明顯地，是次事件反映警監會缺乏一個完整的資訊保安系統，如果不認真改善，而只是諉過於人，問題遲早再次發生。