跳至主要內容

立法會八題:採用某些中國電訊產品的資訊安全
*********************
  以下是今日(一月十六日)在立法會會議上楊岳橋議員的提問和創新及科技局局長楊偉雄的書面答覆:
 
問題:
 
  據報,近月有多個國家(包括美國、日本及澳洲)的政府以國家安全為理由,禁止其政府機關和電訊商,使用華為技術有限公司(華為)及中興通訊股份有限公司(中興)供應的電訊設備。就政府使用這兩家公司的設備的資訊安全,政府可否告知本會:
 
(一)各政府部門正使用的(i)華為及(ii)中興的產品的詳情(使用與下表相同格式的表格分別列出);及
 
  產品類別 數量 總值 用途 購入年份 政府部門
1.            
           
 
(二)過去12個月,有否檢驗各政府部門正使用的華為及中興產品是否藏有後門程式或功能,讓非獲授權人士得以盜取政府管有的資料;如有檢驗,結果為何,以及政府採取了甚麼跟進行動?
 
答覆:
 
主席:
 
  現時,政府部門採購網絡設備產品,可以自行進行招標工作或通過政府資訊科技總監辦公室(資科辦)的《網絡設備及業務伺服器系統常備承辦協議》(《常備承辦協議》)揀選合適的產品。在制定《常備承辦協議》時,資科辦的主要考慮為產品的功能、兼容性、相關的技術和保安標準,以及供應商提供的支援,對於設備的品牌,並不會作出任何規限。
 
  就問題的各部分,現答覆如下:
 
(一)在二○一六年二月(最新一份《常備承辦協議》的生效日)至二○一八年十一月期間,政府部門通過《常備承辦協議》採購約190項華為技術有限公司產品,包括網絡交換器(用作連接網絡上的設備)、路由器(用作連接不同網絡)、配件(光纖收發器、光纖電纜用作連接光纖,以及風扇模塊用作冷卻設備)等,總開支約176萬。
 
  最新一份《常備承辦協議》的承辦商並沒有供應中興通訊股份有限公司的產品。
 
  至於由部門自行進行招標工作採購的網絡設備,相關資料如產品類別和開支等均由部門自行備存,資科辦沒有這方面的統計數字。
 
(二)政府在制定採購資訊及通訊科技產品的安排及採購程序時,均參考國際和業界標準包括資訊安全,並在保護資訊系統和數據資產方面列明要求,以確保政府的資訊系統和數據安全和保障公眾私隱。現時政府採購的網絡設備產品均為其他國際城市廣泛使用的品牌和型號,不應藏有後門程式或其他不恰當的功能,因此現行採購程序沒有加入這方面的額外檢驗工作。
 
  在整體資訊科技保安風險管理方面,資科辦聯同有關部門已制定全面的政策和指引、管理架構及技術措施,並密切監測政府資訊系統和網絡的運作,以偵察和堵截可能受到的保安威脅和評估網絡攻擊的風險。這些指引、管理架構及技術措施適用於所有產品或品牌。
 
  為確保政府資訊系統和數據的安全和保障公眾私隱,政府部門的資訊系統和網絡設施必須在推出前及運行期間定期進行獨立的資訊保安風險評估和審計,並在有需要時進行改善,確保有關資訊系統和網絡設施符合保安要求及規例。此外,為確保數據資產的安全,機密和受限制的資料在儲存或傳輸時都必須加密。
 
  資科辦亦會密切監察資訊保安業界及世界各地電腦保安事故緊急應變小組發出的資訊,包括保安威脅及網絡攻擊的趨勢,根據實際情況評估並著手堵塞潛在的保安風險(包括產品漏洞或資料外洩風險)。
 
2019年1月16日(星期三)
香港時間11時30分
即日新聞