以下為今日（十二月六日）在立法會會議上單仲偕議員的提問和工商及科技局局長王永平的書面答覆：

問題:

　　鑑於近期發生政府部門及公營機構洩漏市民個人資料的事件，政府可否告知本會：

（一）現時資訊保安管理委員會及資訊保安工作小組採取了甚麼措施，以確保各政策局和政府部門遵守由政府資訊科技總監制定的資訊科技保安政策和指引；

（二）有否評估上述措施能否有效加強政府內部的資訊保安能力；若有，評估的結果；若否，原因為何；

（三）有否評估各政策局和政府部門及公營機構的整體資訊保安能力；若有，結果為何；若否，有否計劃進行評估；若有，有關的詳情；

（四）會否考慮將資訊科技保安指引的適用範圍擴展至所有公營機構，以保障市民的個人資料；及

（五）有否計劃撥出額外資源，包括撥款進行資訊保安工程及投資硬件，以改善各政策局和政府部門及公營機構的資訊保安能力？

答覆：

主席女士:

（一）為監管和執行政府內部的資訊保安，政府成立了資訊保安管理委員會及資訊保安工作小組。資訊保安管理委員會已制定及頒布一套完善的資訊科技保安政策、程序及有關指引供各局及部門遵守。為確保政府保安規定的遵行，各政策局／部門必須為其資訊系統定期進行資訊保安風險評估及檢討。在處理資訊保安事故方面，政府資訊保安事故應變辦事處提供指導及協助各部門處理政府資訊保安事故。而各部門均須委任一位高級人員，充當部門資訊科技保安主任，負責該部門的整體資訊保安管理及運作。此外，各部門須設立資訊保安事故應變小組，以處理日常保安事故的報告及回應。

（二）政府資訊科技總監辦公室在資訊保安的事情上與部門緊密合作，並定期檢討政府有關資訊科技保安規例、政策、程序及指引，以靠貼不斷發展的科技及國際／業界作業模式。此外，透過每年對各局及部門進行資訊保安狀況調查，讓我們得以了解各局及部門實施的保安措施，並提供有用的提示以持續增強所推行的資訊保安架構及科技措施。這些程序和措施對增強各局及部門整體的保安狀況證明有效。

（三）透過每年對各局及部門進行資訊保安狀況調查，我們得以了解各局及部門實施的保安措施，而最近一次調查則在本年七月進行。為了解主要公營機構處理資訊保安威脅所採取的防範措施，在本年三月，政府資訊科技總監辦公室亦已就負責這些機構的決策局及部門進行調查。據有關決策局及部門表示，這些機構已採取各種措施，以防範資訊保安威脅。

　　　於本年八月，政府資訊科技總監辦公室亦透過各局及部門的協助，對其負責規管的公營機構的資訊保安狀況作出調查。我們已準備了一份有關資訊保安的報告，當中包括各局及部門和公營機構的資訊保安狀況的資料，並安排於十二月十一日的立法會資訊科技及廣播事務委員會會議上提交，以作討論。

（四） 政府資訊科技總監辦公室已建議負責規管各公營機構的決策局及部門，鼓勵這些機構根據他們的情況採納資訊保安指引。這些指引已在供公眾可閱覽的「資訊安全網」（http://www.infosec.gov.hk）網站發布。此外，我們會和個人資料私隱專員公署及有關業界合作，宣傳保護個人資料對電子交易的重要性。

（五）各局及部門須建立及不斷增強其資訊保安，而部門可透過現有的撥款程序申請有關資訊保安工程所須款項。而用作檢討及增強資訊保安工程所須的非經常性費用，將會由「基本工程儲備基金總目710電腦化計劃」撥款來支付。至於公營機構的資訊保安事宜，他們須自行籌措所需的投資、資源及資金。

完

２００６年１２月６日（星期三）
香港時間１２時４６分