立法會十五題:提升資訊保安的措施
****************
問題:
早前有黑客入侵一家本地旅行社的電腦系統,把其內存20萬名客戶的個人資料加密再勒索該旅行社。有意見認為,黑客攻擊的相關罪行日趨嚴重,但本地企業的資訊保安意識不足。另一方面,有不少國家及地區已制訂網絡安全策略,以期建立安全的網絡空間。就此,政府可否告知本會:
(一)當局會否檢視現時各受規管行業(例如銀行、旅遊業及公用事業)應對網絡風險的能力,並要求該等行業的經營者就其業務指定的範圍獲取ISO/IEC 27001資訊保安管理系統認證;
(二)當局會否(i)協助本地企業(尤其是中小企業)評估其資訊保安措施是否足夠,並向它們提供相關的技術支援,以及(ii)向它們提供更全面的資訊保安培訓,以提高該等企業的資訊保安管理水平;
(三)為培育更多資訊保安人才,當局有否計劃(i)鼓勵更多資訊科技從業員投身資訊保安專業、(ii)與業界組織合作資助僱員接受資訊保安在職培訓及提供相關的職位配對,以及(iii)採取措施提高本地學生加入資訊保安業的興趣;
(四)當局會否檢視《個人資料(私隱)條例》(第486章)在資訊科技急速發展下是否仍切合時宜;會否提高資料使用者防止個人資料外洩的責任,並訂立通報資料外洩事故的強制規定;及
(五)當局會否為提升本地企業應對網絡風險的能力採用下述策略:(i)制訂短中長期的具體行動綱領、(ii)建議和協助各機構提升其網絡安全防禦架構及增聘獲認證的資訊保安專業人員、(iii)要求相關企業進行資訊保安風險評估、(iv)為企業提供資訊保安事故應變能力培訓、(v)加強供應鏈的資訊保安,以及(vi)就本地企業的資訊保安進行持續監察和風險評估?
答覆:
主席:
政府十分重視資訊保安及網絡安全。政府資訊科技總監辦公室(資科辦)及其轄下的政府電腦保安事故協調中心(政府協調中心)一直密切監察香港整體的網絡安全情況,並與警務處網絡安全及科技罪案調查科(網罪科),以及香港生產力促進局下的香港電腦保安事故協調中心(香港協調中心)緊密合作,為不同持份者提供有關網絡安全的支援。
就問題的各個部分,經諮詢相關政策局及部門後,現回覆如下:
(一)各受規管行業的相關規管機構會根據該行業的業務特性,釐定資訊系統的規管範圍及措施,包括資訊及數據保安、風險管理、應對網絡威脅、應變安排、業務運作復原等。資科辦的資訊安全網提供資訊保安國際認可標準及作業實務指引等資訊,以便公私營機構根據其業務需求,採取適當的保護及防禦措施。資科辦亦積極留意資訊保安管理系統標準ISO/IEC 27000系列的最新發展,定期於資科辦網站發布及更新《資訊保安管理系統ISO/IEC 27000標準系列概論》,以供公私營機構參考。
此外,網罪科致力打擊科技罪行和提升重大網絡安全或大規模網絡攻擊事故的應變能力,並適時進行網絡威脅的審計及分析,以防止及偵查針對重要基礎設施的網絡襲擊。
(二)及(五)作為社區資訊保安的支援者及推動者,資科辦多年來與不同的持份者積極合作,為本地企業(包括中小企)提供資訊保安事故應變支援、保安威脅警報、防禦指引和保安教育。
在風險評估方面,香港協調中心於二○一六年聯同多個本地商會推出中小企業網站免費保安檢查先導計劃,為中小企檢查公司網站的保安措施及建議改進措施,並在推行措施後驗證改進成效。
創新科技署在二○一六年十一月推出科技券計劃,資助本地中小企使用包括網絡安全的科技服務和方案。中小企可就防禦網絡攻擊的方案申請資助,藉此減低資訊損失及網絡安全的風險。
另一方面,網罪科一直採用多機構合作模式,加強企業資訊系統網絡的可靠性,以及提升香港保護有關資訊系統網絡和防禦網絡攻擊的能力。網罪科會繼續偵查集團式及高度複雜的科技罪案、適時進行網絡威脅審計及分析,並作專題研究。網罪科亦透過各類型的項目,加強企業對網絡安全的意識,例如自二○一六年四月起定期舉辦季度網絡安全研討會,內容涵蓋各類新興的網絡威脅,並邀請網絡安全專家分享相關應對措施;聯同香港金融管理局及香港應用科技研究院合辦「網絡安全峰會2016」,討論本地及全球的最新網絡攻擊趨勢;與政府協調中心和香港協調中心合辦網絡安全精英嘉許計劃,表揚網絡安全人員的卓越表現和傳遞網絡安全的重要性等。
(三)政府致力與業界共同培訓資訊保安人才。我們鼓勵大專院校提供更多資訊保安課程,並聯同資訊保安專業團體向資訊科技人員推廣專業認證,培訓更多具備資訊保安專業知識和技能的資訊科技人員,並鼓勵資訊科技從業員投身資訊保安專業。
在職培訓方面,香港生產力促進局、香港協調中心和政府協調中心不時會舉辦會議、專題研討會和工作坊,包括資訊保安證書課程及資訊保安高峰會年度活動,以提升資訊科技人員的資訊保安技術和知識。
政府亦積極透過舉辦不同的活動,培養青年人在資訊保安方面的興趣,例如自二○○八年起與專業團體及香港電台合作舉辦學校探訪及「資安探訪團」活動,為超過62 000名師生及家長提供資訊保安信息;在二○一六年及二○一七年與香港大學合辦網「樂」安全比賽,提高學生對資訊保安行業的興趣及發掘電腦科技人才;每年與警務處和香港協調中心合辦共建安全網絡的推廣活動,加深大眾對資訊保安的認識等。
(四)政制及內地事務局表示,個人資料私隱專員公署(公署)一直密切留意不同司法管轄區有關個人資料外洩的通報規定及資料處理者的責任。據了解,目前只有少數地區強制要求資料處理者就資料外洩向負責私隱或資料保障的機構作通報。政府在二○○九年檢討《個人資料(私隱)條例》時,曾就個人資料外洩通報機制徵詢公眾意見,大部分意見認為自願性的通報機制較為可取。公署隨後在二○一○年六月發出資料外洩事故的處理及通報指引,並在二○一五年十月就指引作出修訂。公署會繼續檢視現行的自願性通報機制的成效。
完
2017年11月29日(星期三)
香港時間12時10分
香港時間12時10分