歐盟私隱新法《通用數據保障條例》 (General Data Protection Regulation - GDPR) 於去年五月二十五日生效，即使不位於歐盟地區，亦受此條例約束，故此，相關企業必須遵從GDPR法定要求，確保企業的技術與安全措施，降低業務所衍生的風險至一定等級以下，確保資料的安全性。

一方面，在非技術性控制層面上，公司的法律合規部會協助檢視法律條文的細節，向公司不同部門發佈資訊及注意事項；另一方面，在技術性控制上，資訊科技部門則擔當著很重要的角色，要重新審視企業內部系統的使用及安全措施的有效性。特別是，當雲端技術愈見普及，不少公司會使用「公有雲端」(Public Cloud) 來處理業務，資訊科技部門就要對其使用進行差距分析，了解其實施上的安全性，能否符合GDPR的技術及安全規定，進而對現存系統進行改善。

根據Right Scale在本年二月的調查指出，普遍企業在「公有雲端」的支出隨著使用量按年上升，當中近一半的企業每年花費不少於一百二十萬在「公有雲端」上，為了節省「公有雲端」成本及有效管理GDPR監管的敏感資料，不少企業有意把機密資料由「公有雲端」遷移到公司內部的「私有雲端」(Private Cloud)，此舉原意是好的，但其實大部份企業内部方案(On-premises Solutions) 安全措施不足，在設計、執行及進行維護方面並不完善，可能存在一些安全漏洞，提高了數據外洩的風險。

由於技術不足或專才短缺，在執行上，由「公有雲端」安全地遷移資料到「私有雲端」或反之都是有難度的。最後，企業對GDPR的內文並不熟悉，例如如何處理歐盟以外的個人資料或資料的保留期限，都對企業造成莫大困擾。

聘用管理式服務供應商(MSP)協助企業管理其資訊系統，能認清最佳雲端轉移方案，還能把所有資料有條理的安置在「混合雲端」中，進而提供有關雲端的持續程序改善方案，以完全「混合雲端」的運行。

據451Research顯示，近七成的企業於本年逐步轉用「混合雲端」，其中最主要原因是「混合雲端」兼備「私有雲端」和「公有雲端」兩個IaaS系統的優點，資料能基於安全考慮和成本因素作負載平衡調整(Load b alancing)，亦能讓企業把機密資料放在「私有雲端」上，而其餘的資料存在「公有雲端」，兩者間亦能有效地轉移及銜接，進而利於連接企業在全球不同的雲端，以確保各雲端的一致性及安全性。這個做法既可以節省聘請專才及購買IT基礎建設的成本，更重要的是能在短期內滿足新法規GDPR的要求：妥善保護受GDPR監管的敏感資料。

GDPR將成為全球資料保護的新法規和標準，不少非歐盟註冊公司亦需關注，企業把關者如遇上問題難以解決，務必與M S P商討對策，採用混合雲端，以滿足GDPR的法規條件。

永盛科訊

地址：香港皇后大道中183號中遠大廈4602室

電郵：info@ringus-solution.com

電話：(852) 2907 6011

網址：http://www.ringus-solution.com