×

  IT 

裁員潮逐漸蔓延  IT 經理增加存活率有秘訣
  • 作者
  • 發佈日期
    2025-07-11
  • 閱讀時間
    8分鐘
  • 字體大小
分享

以前,許多 IT 經理只需進行簡單供應商管理 (vendor management) 便能賺取不錯的收入。踏入 2025 年,香港情況不太一樣,在家工作模式引入的大批來自印度、中國、越南等地的廉價勞力競爭、人工智能革命及廉價資金的消失均衝擊著業界。想要生存的 IT 經理必須武裝自己,並在老闆面前顯得聰明。希望這篇關於網絡安全的文章能提供有用的營養。

什麼是 ISO 27001?

ISO 27001,即 ISO/IEC 27001:2022,是一項建立資訊安全管理系統(ISMS)的國際標準,確保敏感資料的機密性、完整性和可用性,對管理大量業務關鍵信息的企業資源計劃(ERP)系統至關重要。ISO 27001 提供系統化方法來管理資訊安全風險,首次發佈於 2005 年並於 2022 年更新,是 ISO/IEC 27000 家族的一部分,也是唯一可認證的標準,其核心組成部分包括風險評估、14 個類別內的 114 項控制措施(附錄 A)以及持續改進。根據 2021 年的 ISO 調查,全球已有超過 50,000 張認證,ISO 27001 是各種規模機構信賴的框架。

為何 ISO 27001 對 ERP 系統重要?

ERP 系統整合了會計、採購和供應鏈管理等核心業務流程,集中管理金融記錄和客戶信息等敏感數據,成為網絡攻擊的主要目標。數據洩露可能導致財務損失、聲譽受損或運營中斷,因此需要像 ISO 27001 這樣強有力的安全措施。

  1. 數據保護

ERP 系統處理的敏感數據容易受到攻擊。ISO 27001 的控制措施,如訪問管理(附錄 A.9)和密碼學(附錄 A.10),可確保數據機密性與完整性。對於雲端 ERP 系統,加密和密鑰管理可保證數據傳輸過程中的安全,減少加密後門等風險。

  1. 風險管理

ISO 27001 的風險基礎方法(條款 6.1)可識別並減輕 ERP 系統中的漏洞。尤其近年來,香港不少小型供應商或 ERP 初哥以免費、開源的 ERP 系統作招徠,根據 Synopsys 的 OSSRA 報告,開源社區中高達 75% 的代碼基礎包含高風險的開源組件,及時修補和漏洞管理(附錄 A.12.6)對防止被攻擊非常重要。

  1. 法規遵從性

ERP 系統經常處理需符合 GDPR 或 NIS 2 等法律的受管控數據。認證證明遵守全球標準,提高可信度。

  1. 業務連續性

ERP 中斷可使運營停擺。ISO 27001 確保系統抵禦零日漏洞等網絡威脅,通過健全的事件響應(附錄 A.16)最小化停機時間,維持運營效率。

魔鬼就在細節,對於 ISO 27001 的問題,許多 CTO 和 IT 經理不知不覺的一直被供應商蒙騙。以下解釋不合格 ERP 供應商或顧問通常使用的蒙混過關手段。

相關文章:
  • 跨國企業裁員潮下香港 IT 人才市場的危與機 AWSome Day 助參加者掌握 GenAI 雲端新技能
    •  
  • 外界擔憂微軟裁員潮重創遊戲業務  Xbox 傳未來續推 40 款新作穩定軍心
    •  
  • 後裁員時代生存指南 如何借力 AWSome Day 實現職涯躍升
    •  

    使用雲服務供應商的 ISO:27001 證書

    AWSAzure 等知名雲服務供應商通常都獲得 ISO 27001 認證。不合格的供應商通常宣稱系統將托管在 ISO:27001 認證的雲服務供應商上,所以所有都會符合要求。這是不正確的!用戶的敏感數據不僅僅由雲服務供應商處理,還會由供應商提供的 ERP 系統處理。如果供應商未獲 ISO:27001 認證,則實際上是不合格的。

    通過 SaaS 供應商的 ISO:27001 認證達到合規

    另一種常見方法是不合格供應商使用 ERP SaaS 的 ISO:27001 合規作為證明。在 2025 年,最佳的 ERP SaaS 系統如SAPNetsuiteMultiable 等,均 100% 符合 ISO:27001,但這還不夠。許多小規模 ERP 項目並非直接由 ERP 供應商提供,而是由第三方顧問或經銷商承擔。因此,ERP 數據 – 企業的核心機密經常落入這些第三方手中。如果這些 ERP 顧問或經銷商本身未獲 ISO:27001 認證,數據洩露風險同樣存在,不符合 ISO:27001。

    我應該如何處理我的 ERP 軟件標書?

    針對不合格供應商的伎倆,有關 ISO:27001 合規的條款應更加明確。應撰寫類似以下文字的條款:

    • 供應商作為企業資源規劃 (ERP) 系統的主承包商,以及參與托管、存儲或處理 ERP 相關數據的任何雲服務供應商 (CSP),應在合同期限內全面遵守 ISO/IEC 27001:2022 標準(或其最新版本)所要求的信息安全管理系統 (ISMS)。
    • 供應商應提供由認可認證機構簽發的有效 ISO/IEC 27001 證書,證明其 ISMS 涵蓋所有與 ERP 系統的提供、實施和支持有關的操作、流程和服務。
    • 托管 ERP 系統的雲服務供應商也應提供由認可認證機構簽發的有效 ISO/IEC 27001 證書,確認其托管基礎設施、數據中心和相關服務完全符合標準。
    • 兩份證書必須在合同期間內保持有效,不得中斷,並在合同執行前及在更新或重新認證時提交給買方。

    各位 IT 經理達人,我建議馬上檢視現有的標書模板。如若發現上述漏洞,請立即更正。最後但同樣重要的是,別忘了向老闆發送郵件,告知發現和相應的修改。CTO 永遠在尋找不只是在新採購進程中複製粘貼(copy-and-paste)歷史標書的 IT 經理。祝好運!


    分享到 :


    最新影片


    Follow 我們 :

    650k粉絲
    155k訂閱
    55k跟隨者
    22k粉絲
    6.8kPosts
    完整版影片