簡體版 英文版 寄給朋友 政府新聞網
立法會二十題:政府敏感資料的保安
****************

  以下為今日(一月五日)在立法會會議上謝偉俊議員的提問和商務及經濟發展局局長劉吳惠蘭的書面答覆:

問題:

  維基解密不斷公開各國國防及外交機密檔案。據報,近日被公開發自美國駐北京大使館,關於本港舉辦二○○八年北京奧林匹克運動會馬術賽事期間一些前東突厥斯坦組織意圖在港發動恐怖襲擊的電文,更令保安局局長處於非常尷尬的位置。各國國防、內政及外交機關急欲尋求對策,並設法預防敏感資料進一步外洩。就此,政府可否告知本會:

(一)有何政策和措施,馬上提高香港特區政府內部及其與中央政府和各國政府機構的通訊和信息/資料的保安水平;及

(二)有沒有突發應變機制,以便在維基解密再次公開與本港相關的敏感資料時,採取即時應變措施?

答覆:

主席:

  維基解密自稱是一個非牟利媒體組織,設有可匿名提供資料的安全途徑,讓有關資料來源向其屬下新聞工作人員洩密。維基解密接受涉及政治、道德、外交或歷史問題的限閱或經審查的資料。這個組織宣稱,在接獲有關某則消息的資料後,會核實有關資料的真確性,然後才把資料發布,說明該等資料的重要性。在技術層面,維基解密並無披露有關其伺服器所在地的資料。該組織宣稱不備存日誌,並使用軍用加密技術,以保護資料來源。

  就謝偉俊議員的提問,我的答覆如下:

(一)保護保密資料(包括個人資料)是每名政府員工的個人責任。政府的《保安規例》涵蓋各種資訊的來源,包括文件、相片、錄像和電子檔案,並訂明有關儲存、處理和傳送保密資料的安排。鑑於科技不斷進步,政府已制訂全面的資訊保安規例、政策、程序和指引,給各決策局/部門(下稱「各局/部門」)遵行,使保密資料獲得妥善保護,以免被惡意或在並非蓄意情況下洩漏予未獲授權人士。資訊保安規例、政策、程序和指引均是參照國際良好作業模式制訂,並會不時予以檢討,以反映業務需要、科技和保安威脅的轉變。各局/部門須因應有關資訊、資料或通訊的保密類別,採用有效的保安管理程序、作業模式和監控措施。不論人手運作或自動化的系統(包括電腦資訊系統和網絡),這些規定均同樣適用。對所有政府資訊科技系統而言,資訊保安屬強制規定,一般已納入有關系統的規定內。具體的保安規定已涵蓋保密資料的儲存、處理和傳送;密碼匙的管理;文件類別標記;保密資料的銷毀;實體保安和違反保安規定的處理方法。某些類別的敏感資料不得經由公共網絡傳送。

  一個由政府資訊科技總監辦公室領導的委員會(核心成員來自政府資訊科技總監辦公室和保安局),負責監察政府內部的資訊科技保安,並檢討與政府資訊科技保安相關的規例、政策和指引及審批有關修訂,以及指導和協助各部門落實執行有關的規例、政策和指引。這個委員會由政府資訊科技總監辦公室領導的工作小組提供支援,小組成員包括政府資訊科技總監辦公室、保安局、香港警務處和政務司司長辦公室的代表。

  在整個資訊保安架構中,培訓、教育和認知均至關重要。政府會繼續在各個層面推廣資訊保安文化,包括為有關人員安排培訓和教育課程,讓他們明白和遵行有關政策、指引和程序。維基解密的洩密事件經傳媒報道後,政府資訊科技總監辦公室已在二○一○年十二月二日提醒各局/部門須保持警覺,慎防未經授權披露或在並非蓄意情況下洩漏政府資料的風險,並須審慎檢討保護保密資料的程序,另就轄下的資訊系統實施有效的資訊保安監控和保障措施,以及持續為員工提供培訓,使他們明白保護資料的重要性。上述委員會和工作小組會繼續緊貼國際資訊科技保安的發展,以期加強保護政府的敏感資料。

(二)根據現行的政府保安規例和相關程序,政府的敏感資料一旦外洩,個別決策局/部門須盡快進行初步調查。倘若事故涉及電子形式的保密資料或個人資料,有關局/部門須通知中央事故應變辦事處(成員來自保安局、政府資訊科技總監辦公室和香港警務處)。

  視乎不同的資訊外洩情況,我們可按應變機制採取以下或其他行動:

(i)確定引起事故的根本原因;

(ii)評估事故造成的影響和損害;

(iii)蒐集證據,以助其後進行個案調查;

(iv)把事故升級,並通知有關各方;

(v)把事故對其他系統的影響減至最少;

(vi)加強保安防護措施,以免事故再度發生;以及

(vii)在需要時檢討和更新部門保安政策和程序。

  倘若事故涉及其他公共或受規管機構,所屬的局/部門須負責聯絡有關機構,以便各自採取應變和補救措施。



2011年1月5日(星期三)
香港時間12時16分

列印此頁