以下是今日（六月七日）在立法會會議上葛珮帆議員的提問和創新及科技局局長楊偉雄的書面答覆：

問題：

　　據報，早前一個針對使用舊版本微軟視窗作業系統電腦系統的勒索軟件WannaCry肆虐全球，至少有150個國家的相關機構的電腦系統受影響，當中包括俄羅斯的中央銀行及英國多間醫院。有資訊科技業人士擔心香港的機構（包括政府部門及公營機構）能否應付大型電腦保安事故。就此，政府可否告知本會：

（一）有否評估各政府部門及公營機構現時能否應付大型電腦保安事故；如有評估，結果為何；

（二）現時持有國際標準化組織及國際電工委員會，聯合發出的資訊保安管理系統ISO 27001證書（證書）的政府部門數目及百分比分別為何；該等持有證書的政府部門當中，在原有證書三年有效期過後第二次獲發證書的數目及百分比分別為何；該等證書當中，已經及尚未更新至二○一三年版本的證書數目分別為何；

（三）有否評估現時持有證書的政府部門的內部資訊保安管理系統能否應付大型電腦保安事故；如有評估，結果為何；

（四）政府資訊科技總監有否評估現時持有證書的政府部門的資訊保安管理系統有否不足之處；如有評估而結果如此，改善方法為何；各政府部門是否已引進保安事件管理平台系統，以加強資訊保安；

（五）有何措施確保香港的金融機構能夠應付大型電腦保安事故；是否知悉各金融機構有否就此定期進行演習；如有，詳情為何；及

（六）有否制訂應變措施（包括技術支援），協助中小型企業及市民應付電腦保安事故；如有，詳情為何；如否，原因為何？

答覆：

主席：

　　政府非常重視資訊保安及網絡安全，並一直密切監察網絡攻擊的趨勢及有關的保安威脅。政府在經參照國際標準化組織（ISO）／國際電工委員會（IEC）最新發布的資訊保安管理系統標準（ISO/IEC 27001二○一三年版本）、業界良好作業模式（如COBIT 5等），以及政府內部的資訊保安需要後，已制訂了一套全面的《政府資訊科技保安政策及指引》（《政策及指引》），列明對建立、推行、維護及持續改善資訊保安管理體系的要求，供各局和部門遵行。

　　就問題的各部分，經諮詢相關政策局後，現回覆如下：

（一）政府已就保護政府資訊系統和網絡，制備整體管理架構、技術措施及保安機制，密切監測政府資訊和網絡系統的運作，以偵察及堵截可能受到的不同類型網絡攻擊。各局和部門必須遵從《政策及指引》，採取適當及有效的措施，確保政府的資訊和網絡系統安全及正常運作。至於公營機構，政府已向它們提供《政策及指引》作為參考，以便它們根據本身的資訊科技保安政策和業務需求，採取適當的保護及防禦措施。

　　所有局和部門必須定期為其資訊和網絡系統進行第三方保安風險評估和審計，確定其已遵行《政策及指引》，以及其系統符合相關的保安要求並有足夠的防禦能力應付大型電腦保安事故，以保護政府系統和數據資產。

　　為加強政府部門保護資訊系統及處理網絡安全事故的能力，政府資訊科技總監辦公室（資科辦）聯同警務處於今年一月進行了一個涉及30個政府部門的大型網絡安全演習。演習的目的是讓政府部門能在模擬環境下，體驗如何能有效應對網絡安全事故，從而加強政府部門保護資訊系統及處理網絡安全事故的能力。

（二）除了遵行《政策及指引》，個別部門或會因應其業務需要，界定其所需涵蓋的範圍，獲取ISO/IEC 27001資訊保安管理系統認證。現時共有五個政府部門，以及政府雲端平台服務，就其指定範圍獲得ISO/IEC 27001資訊保安管理系統認證，當中有四個認證持有超過三年，而它們都能在認證三年有效期過後再次獲得認證。上述所有認證皆為最新的二○一三年版本。

（三）及（四）我們已在政府內部採用多重資訊保安措施，包括防火牆、入侵偵測及防禦系統、垃圾郵件過濾系統、防電腦病毒方案，以及實時監測工具，抵擋網絡安全威脅。此外，根據《政策及指引》，各局和部門必須經常把重要資料備份，並存放在安全的地方；為使用中的軟件安裝最新的修補程式；以及為所有電腦裝置開啟抗惡意軟件保護功能並定期更新至最新版本等。

　　為增強預防、偵察及應對網絡攻擊的能力，政府雲端平台、中央互聯網服務，以及重要的網絡系統都已建立相應的信息安全事故監控系統，對網絡和服務的使用進行24小時的監察，實時監測及防禦惡意的網絡攻擊。

　　由於所有局和部門，不論有否獲取ISO/IEC 27001認證，均須要遵行《政策及指引》的要求，加上以上多重措施，政府是有能力應付大型電腦保安事故。早前面對WannaCry勒索軟件的威脅時，政府亦沒有發生相關的保安事故，政府的資訊系統亦運作正常。

（五）財經事務及庫務局表示，為提升銀行體系應對網絡風險的能力，香港金融管理局（金管局）在去年推出網絡防衞計劃，當中銀行須就其網絡保安、業務延續性及應變計劃作出評估，利用共享平台獲取網絡風險資訊，並可透過專業培訓計劃，提升員工的專業技能。金管局亦一直提醒銀行業有關網絡攻擊的趨勢和風險。

　　金管局連同證券及期貨事務監察委員會（證監會）在二○一七年三月就第二屆業界危機模擬演習舉行了業界簡介會，該演習將於二○一七年十月二十七日進行。超過30家大型的金融機構已報名參與演習，以提高它們對網絡及風險管理的意識。

　　證監會於二○一六年年底在外聘顧問的協助下完成了網絡保安主題檢視。根據檢視的結果及業界的意見，證監會在二○一七年五月八日就降低與互聯網交易相關的黑客入侵風險建議展開了為期兩個月的公眾諮詢。證監會的建議主要包括：（i）引入一套指引，例如在客戶登入系統時實施雙重認證，及立即通知有關客戶等；（ii）將證監會《操守準則》相關條文的適用範圍擴展至涵蓋並非在交易所上市或買賣的證券進行的互聯網交易；及（iii）闡明以互聯網為基礎的交易設施可透過電腦、流動電話或其他電子裝置來接達。

　　證監會透過發出通函，提醒持牌公司有關保安預防措施在應對網絡風險方面的重要性。持牌法團應立即採取行動，嚴格檢視及評估其網絡保安監控措施的成效。此外，根據證監會《操守準則》，持牌公司於發生任何重大的系統保安事故時，應立即向證監會匯報。

　　證監會作為香港交易所的監管機構，一直與香港交易所緊密合作，確保該所已實施適當的措施，按國際準則監控及應對網絡保安風險。

　　另外，保險業監理處（保監處）設有監管規定，要求獲授權保險公司識別來自網絡、電郵及相關裝置的網絡安全威脅，並採取應對措施，為可能發生的網絡安全威脅作好準備。獲授權保險公司也應定期測試有關的應對措施是否能及時和有效地處理網絡安全威脅。保監處和保險業監管局會對獲授權保險公司進行實地檢查，以評估其是否符合有關的監管規定。

　　警務處亦聯同銀行及金融服務業界進行網絡安全審定及網絡安全演習，詳情如下：

（i）網絡安全審定：在參與機構的同意下，警方會派員實地到訪機構的資訊科技部門，了解該機構防衛網絡攻擊的能力（包括審視機構的相關人才、設備和政策），然後向機構提出合適建議；及

（ii）網絡安全演習：警方通過各種模擬事故場景，測試參與機構的事故分析能力、常設的事故應變程序及溝通機制。當中的模擬網絡攻擊事故包含了各種最常見而有深遠影響的情景，例如分散式阻斷服務攻擊、塗改網頁、入侵網絡及資訊系統、勒索軟件、惡意程式及敏感資料外洩等。

　　此外，警務處一直與金管局監察各類型的金融犯罪手法，並致力促進有關針對金融業界網絡攻擊的情報交流，提醒業界檢視相關的保安措施，以進一步減低金融系統被入侵的風險。為提升金融業界在防禦網絡攻擊方面的能力，警務處、金管局及香港應用科技研究院在去年五月合辦了為期三天的二○一六網絡安全峰會。峰會嘉賓包括來自金融機構、監管機構及科技技術解決方案供應商的主管。峰會討論了本地及全球的最新網絡攻擊趨勢，及提升本港主要行業機構和重要基礎設施面對網絡安全事故以及應對黑客入侵事件的意識及能力。

（六）香港電腦保安事故協調中心向本地企業（包括中小企業）及互聯網用戶提供資訊保安事故應變支援、保安威脅警報、防禦指引和保安教育。

　　為進一步提高企業及市民對資訊保安的認知，以及提升他們對網絡保安威脅防禦及應對電腦保安事故的能力，資科辦會繼續聯同警務處和香港電腦保安事故協調中心，與業界及不同機構合作，推出各項宣傳教育活動，提醒他們加強網絡保安措施，保護資訊系統和資產。同時，資科辦亦透過資訊安全網和網絡安全資訊站網站，以及各類宣傳渠道，向企業和公眾提供最新的網絡安全資訊和建議，讓他們了解各種潛在的保安風險及相應的緩減方法，協助他們應付電腦保安事故。

完

2017年6月7日（星期三）
香港時間17時05分