保障关键基础设施电脑系统新例　当局称只针对机构并以罚款处理

保障关键基础设施电脑系统新例　当局称只针对机构并以罚款处理 政府提出全新法例保障关键基础设施的电脑系统，包括涵盖8个界别基础设施，订明营运者有责任保障及通报事故，最高罚款50万至500万元不等。当局说，条例建议的规管对象，绝大部分是大机构，有关营运者负责维持社会必要服务、或重要社会与经济活动，中小企及一般市民不受影响。根据保安局、政府资讯科技总监办公室及警务处向立法会提交的文件，拟议条例下的关键基础设施分两类。第一类是在香港提供必要服务的基础设施，涵盖能源、资讯科技、银行和金融服务、陆上交通、航空交通、海运、医疗保健及通讯和广播共8个界别；第二类是维持重要的社会与经济活动的基础设施，例如大型体育或表演场地、科研园区等。拟议条例下，在「架构」、「预防」与「事故通报及应对」三方面，为关键基础设施营运者订立法定责任。包括要求设立电脑系统安全管理部门并由专责主管监管，电脑系统保安风险评估至少每年一次，亦至少每两年一次参与电脑系统保安演习，需要制定应急计划；并按事故严重性，在得悉事件发生的2小时或24小时内作出报告。当局说，拟议条例只要求营运者承担保护关键电脑系统责任，绝不涉及系统内的个人资料及业务内容，强调立法并非旨在惩罚营运者，罪行只针对机构，以罚款方式处理，不会在个人层面惩罚机构主管或员工。但如果涉及触犯例如虚假陈述等刑事法例 ，涉事人员可能负上个人刑事责任。至于执行单位，建议由专责办公室及个别行业指定监管机构处理。专责办公室将隶属保安局，由行政长官委任一名专员带领，成员来自警务处、资科办等电脑安全专家，负责指明营运者及关键电脑系统制定《实务守则》、调查及跟进违规情况等。当局表示，将于7月2日咨询立法会保安事务委员会后，再次咨询相关业界一个月。保安局联同律政司、资科办及警务处已开展拟议条例草案的草拟工作。当局计划今年底前将草案提交立法会审议，在条例通过后，目标一年内成立专责办公室，以期拟议条例可于其后半年内正式生效。 2024-06-25 21:22:03 (1)

#港闻【Now新闻台】近日政府部门接连发生个人资料外泄事故，有立法会议员认为政府应严肃跟进和彻查。

#港闻 【Now新闻台】近日政府部门接连发生个人资料外泄事故，有立法会议员认为政府应严肃跟进和彻查。 立法会资讯科技及广播事务委员会主席葛珮帆：「叫一个资科办管理七十多个政府部门，以及数百个电脑系统并不现实，实际操作上亦是不可行，所以应该每个政府部门自己负责。我认为公务员事务局应该责成所有政府部门，以及公营机构，其实他们应该要由他们的部门首长及每个IT(资讯科技)项目的负责人要问责，负责所有电脑系统的保安工作。」

立法保护关键基础设施电脑系统　邓炳强称不公开名单免成攻击目标

立法保护关键基础设施电脑系统　邓炳强称不公开名单免成攻击目标 当局计划立法加强保护关键基础设施电脑系统安全。在立法会一个委员会，保安局局长邓炳强表示，界定关键基础设施视乎对社会运作的必要性。有议员问到传媒及电台是否列为关键基础设施指明营运者。邓炳强说，电台透过大气电波提供广播服务，按常理是有其必要性，至于个别报馆系统被入侵，就看似未必构成对社会必需服务造成影响。专责办公室日后会界定哪些机构会纳入规管，但不会向外公开有关名单，以免成为攻击目标。政府目前计划将 8个界别纳入为关键基础设施，未包括教育界。邓炳强说会适时检讨，暂时不认为大学系统出现问题会导致严重社会瘫痪。他表示，日后成立的专责办公室规模预料约40至50人，预计专员由首长级第三至第四级出任，至于两名副专员由首长级第一级出任。办公室人员会由三方面领域组成，包括由政府资讯科技办公室调任、警方的科技罪案组及其他法律专家等。邓炳强表示，被规管的机构一般会是大型企业，但如涉及中小型企业，可由创新科技署提供科技券资助以提升系统安全，当局亦会公开实务守则。因应个别机构或要提升或接受帮助以提升系统，专责办公室日后会分阶段指明机构为关键基础设施营运者。有议员关注条例并不涵盖政府部门。邓炳强说如做法欠佳，要涉及罚款，「无理由政府罚政府，都无公信力」，认为根据《公务员守则》，对公务员的惩罚较「辣」。他表示，建议毋须将政府提供必要服务纳入条例的做法，是与包括英国等地的做法相若，做法较合理。 2024-07-02 16:55:01

邱达根倡政府助中小做电脑保安评估　方保侨关注资讯保安人员较少

邱达根倡政府助中小做电脑保安评估　方保侨关注资讯保安人员较少 政府提出全新法例保障关键基础设施的电脑系统，包括能源、资讯科技、银行、交通、医疗、通讯、大型场地及科研园等基础设施，订明营运者有责任保障及通报事故。科技创新界立法会议员邱达根在本台节目《千禧年代》表示，对经济民生有较大影响的机构，例如是银行、港铁、医院等需要纳入相关范围，新法例对中小企影响应该不大，至于如何以机构规模或服务用户数量去厘定是否需要纳入法例，就可再作讨论。新法例要求设立电脑系统安全管理部门，并由专责主管监管，电脑系统保安风险评估至少每年一次等。邱达根说，有些机构本身规模未必太大，政府可考虑提供协助。其他地方有类似通报机制的规定，一旦发生严重事故或涉及网络安全，须于指定时间内通报，本港建议要求两小时内通报，亦属合理。香港资讯科技商会荣誉会长方保侨在同一节目表示，当局提出八个范畴的必要服务基础设施应该足够，但关注本港的资讯保安专业人员较少，一些较具规模的机构例如是银行或通讯服务公司，可以做到两小时内通报，但其他机构或需要外判第三方服务承办商才可做到。当局提出每年至少一次进行电脑系统保安风险评估，至少每两年一次演习等，方保侨说，当中涉及机构执行时，需要更长时间备存资料，亦有可能触及其他法例，例如私隐条例的规定，这方面也需再作讨论。 2024-06-27 10:54:12

#港闻【Now新闻台】机场指事故不涉及黑客攻击，有资讯科技业界人士指，机管局应有后备系统，保证原有系统发生故障时，有完备的应变措

#港闻 【Now新闻台】机场指事故不涉及黑客攻击，有资讯科技业界人士指，机管局应有后备系统，保证原有系统发生故障时，有完备的应变措施。 香港资讯科技商会荣誉会长方保侨：「可能数据库突然死机的话，其实是否应该有一套系统平行地运行，只是平时不使用，但是在这种级数的基建上应该需要做，随时可以调拨真正后备系统来用，而去维修原先运行的(系统)。这真的要考虑下，因为有很多譬如联交所、银行等都在使用这类热备份保护系统。」

政府拟要求局方或部门指明高级人员直接督导资讯系统保安风险评估

政府拟要求局方或部门指明高级人员直接督导资讯系统保安风险评估 创新科技及工业局局长孙东表示，最近涉及个别政府部门和公营机构的个人资料外泄事故，反映各局或部门以至社会各界，必须时刻提防资讯及网络保安风险，增加安全意识，并加强资讯系统和数据的防护。他说各政策局或部门肩负第一防线的责任，确保辖下的资讯科技系统保安，如果发现其人员或合约承办商涉嫌违规或违法行为，各政策局或部门首长会按既定的程序处理。孙东在立法会大会表示，为进一步加强各局或部门对政府资讯科技项目的主要监督角色，资科办正积极研究措施，提供适切指引和技术支援，例如要求局方或部门指明高级人员直接督导资讯系统保安风险评估及审计工作，以及加强网络风险检测、抽查和遵行审计等，政府会尽快推行相关措施。孙东又表示，个人资料私隐专员公署正全面审视《个人资料私隐条例》及拟订具体的修例建议，包括设立强制性个人资料外泄通报机制、要求资料使用者制订个人资料保留时限政策、赋权个人资料私隐专员判处行政罚款、直接规管资料处理者，以及厘清个人资料的定义等。因应资讯及网络安全的最新形势，他说资科办正研究措施，要求各局或部门委任高级人员密切监督私隐影响评估的进行，亦会引入日常检测、网络安全攻防演练、加强员工培训及与持份者更紧密协作，提升政府资讯系统及网络安全的监察和防御能力，以期更有效保障资讯系统及数据安全。 2024-05-29 17:13:27