立法會三題:資訊保安
**********

  以下為今日(七月六日)在立法會會議上梁君彥議員的提問和商務及經濟發展局局長蘇錦樑的答覆:

問題:

  據報,某大型科技企業的雲端運算服務在本年四月出現故障,不但令數千網站癱瘓兩天,更令部分客戶的數據永久喪失。另有報道指,懷疑有黑客利用該企業的雲端運算服務的伺服器,於本年四月先後攻擊某知名日本科技企業及其子公司的網絡遊戲及娛樂服務付費平台,令全球近一億用戶的個人資料(包括姓名、出生日期和電郵地址)外洩,相信逾1100萬張信用卡的資料或已外洩。就此,政府可否告知本會:

(一) 鑑於政府將於未來五年內逐步透過採用雲端運算技術重設政府中央資訊科技服務,當局有否因應上述事故重新評估政府採用雲端運算的資訊保安風險,以及加強其資訊保安;若有,具體詳情為何;及

(二) 有關電腦罪行方面的條例是否自一九九七年後便沒有更新;當中規管有關資訊保安方面的條文為何;當局有否計劃審視及修訂有關的電腦罪行條例;若有,時間表及修訂內容為何;若否,原因為何?

答覆:

主席:

  有關本年四月某知名日本科技企業的網絡遊戲及娛樂服務付費平台先後受到攻擊而引致個人資料外洩一事,個人資料私隱專員已就事件會見該企業代表,以了解事件詳情和該企業所採取的補救措施。當局已於本年六月二十二日透過書面答覆向立法會提交了有關最新資料。

  雲端運算是全球趨勢,可為提升業務成效帶來契機,除了增加靈活性和提高工作成效外,還可降低提供資訊科技服務的成本。政府計劃逐步透過採用雲端運算,推動業務改革和不斷改善公共服務,以及促進落實所訂定的政策。這不僅讓政府更廣泛使用資訊科技,從而令社會各界受惠,還可應付不同持分者日益增加的期望。

  就梁君彥議員的提問,我的答覆如下:

(一) 政府非常重視資訊保安,我們已制定全面的資訊保安規例、政策及指引,確保各局及部門在推行資訊科技系統及服務時,實施適當的保安風險管理及符合政府的資訊保安要求。在採用雲端運算技術重設政府中央資訊科技服務時,我們會確保遵循各項相關的規例、政策及指引。

  擬議的政府雲端平台將包括以下三種模式:

(1) 由政府擁有及營運的「內部私有雲端平台」;
(2) 由合約承辦商於其營運的安全數據中心內提供給政府專用的「外判私有雲端平台」;以及
(3) 由承辦商提供給公眾共用的「公共雲端平台」。這種雲端平台適用於一些政府對其提供方式需要較少關注的一般服務。

  我們將為所重設的中央資訊科技服務進行保安風險評估,根據應用系統或資料的重要性和敏感程度,以及當時的資訊保安風險作出適當安排,以決定把應用系統及資料放置在「內部私有」、「外判私有」或「公共雲端平台」。對於高度敏感的資料,政府會將之放置在「內部私有雲端平台」,以加強這類資料的保安控制。在資訊科技系統及服務推出後,我們會定期進行保安風險評估和審計,以了解在嶄新出現的保安威脅和不斷轉變的環境之下的最新保安狀況。總而言之,我們對雲端運算下的保安及個人資料私隱要求,不低於非雲端方式的水平。

(二) 政府不時檢討現有規管架構,以打擊電腦相關罪行。現時,香港已有多條法例規管與電腦相關的罪行,例如:《電訊條例》(第106章)禁止在未獲授權下藉電訊取用電腦資料;《刑事罪行條例》(第200章)打擊有犯罪或不誠實意圖而取用電腦;《盜竊罪條例》(第210章)打擊毀壞、污損、隱藏或郁儮q腦保存的紀錄等罪行;《個人資料(私隱)條例》(第486章)在個人資料方面保障個人的私隱;以及《非應邀電子訊息條例》(第593章)打擊意圖欺騙或誤導收訊人有關商業電子訊息來源的非法活動。



2011年7月6日(星期三)
香港時間14時26分