立法會十七題:提升網絡安全
*************
問題:
有意見指出,最近接連有公營機構的電腦系統被黑客入侵,反映公營機構的網絡保安存在漏洞。另一方面,早前創新科技及工業局局長表示,政府正就網絡安全法進行相關研究。就此,政府可否告知本會:
(一)自數碼港及消費者委員會的電腦系統被黑客入侵後,政府有否指示各公營機構即時及定期進行電腦系統資訊安全檢查,以清除潛在的風險;
(二)政府資訊科技總監辦公室(資科辦)制訂的資訊科技保安政策、標準、指引、程序及相關實務指引,是否適用於公營機構;如是,資科辦會否定期巡視,以確保公營機構確切執行該等政策和指引等;
(三)鑑於有意見認為,公營機構在遵從上述政策和指引等時,需具備甚高規格的電腦系統,而日常維護的要求也甚高,當局有否提供足夠的專項撥款給各公營機構,以用於提升電腦系統、優化電腦系統資訊安全有關管理制度、防禦設施、培訓教育和檢查監督等工作;當局會否因應最近的黑客入侵事件,為各公營機構增加相關撥款;
(四)制定網絡安全法的進展為何,以及預計何時提交本會審議;
(五)鑑於據悉,新加坡於二○一九年成立了公共機構數據安全檢討委員會,以檢討政府保護公民數據的措施,在網絡安全法推出前,當局會否參考新加坡的做法,設立資訊安全委員會,並邀請相關專家參與,以定期審視政府部門和公營機構在資訊安全管理、監督及協調方面的表現;及
(六)為防止國際黑客入侵,當局會否考慮設立數據局,以全面建立數據管治體系,為香港和國家建立完備的網絡安全屏障?
答覆:
主席:
就黃錦輝議員的提問,經諮詢保安局後,現答覆如下:
(一)政府非常關注近月涉及個別公營機構的電腦系統被黑客入侵事故。事件反映網絡安全風險無處不在,社會各界必須做好防護措施,提升網絡系統和數據安全。
政府資訊科技總監辦公室(資科辦)在最近公營機構資訊保安事故發生後,已隨即提醒所有政府決策局/部門(局/部門)相關的保安指引和提供技術支援,並要求各局/部門及其監管的公營機構即時檢視其現有的資訊和網絡安全措施,加強防範工作,以抵禦網絡攻擊和減少潛在的保安風險。
(二)資科辦制訂了一套全面的《政府資訊科技保安政策及指引》(《政策及指引》)供各局/部門遵從,列明對建立、推行、維護和持續改善資訊保安管理體系的要求。資科辦亦參考最新的國家和國際資訊保安管理標準及業界良好作業模式,不時更新《政策及指引》。為提高各局/部門對資訊保安風險的警覺性,資科辦定期提示各局/部門採取適切的保安措施,以保護政府資訊系統及數據。
上述政策、指引和政府資訊保安要求的對象為各局/部門,但資科辦已把《政策及指引》上載至網站給所有公私營機構參考。個別機構可因應情況,採用《政策及指引》所建議的管理保安風險原則和措施。
(三)公營機構應根據自身的機構和業務性質、營運模式和電腦設備配套等,制定和採取切合其需要的電腦系統、資訊科技管理政策和網絡安全防禦措施,並按其實際情況和最新科技發展,考慮和計劃提升機構的資訊科技設備,滿足業務需要和管理相關風險。各局/部門亦會適時要求其監管的公營機構檢視並加強其資訊和網絡安全措施。
(四)為提升對關鍵基礎設施網絡安全的保護,政府計劃以立法方式清晰訂定關鍵基礎設施營運者的網絡安全責任,包括建立良好的防範管理體系,以確保其資訊系統和網路安全運作。政府正草擬立法框架,並收集業界的初步意見,下一步工作將會就立法建議徵詢立法會保安事務委員會,並進行公眾諮詢。
另一方面,法律改革委員會(法改會)在二○一九年成立小組委員會,就電腦網絡罪行展開研究,並於首階段就依賴電腦網絡的罪行及司法管轄權事宜於二○二二年十月完成了公眾諮詢工作。待法改會就有關事宜發表報告後,政府會研究報告的建議,考慮應如何跟進,以期進一步提升網絡安全。
(五)及(六)據了解,新加坡的公共機構數據安全檢討委員會的主要工作,是就數據安全向政府提供建議,內容包括加強數據保護、事故的偵測和處理能力、公務員保護數據的意識和能力、數據保護的責任和治理架構等。而國家數據局則主要推進數據基礎建設、數據開放共享和安全,以及數字經濟等多方面的工作。
就香港而言,政府在數據安全風險管理上已制訂多重的保安措施和工作機制,涵蓋政府數據的保護、審計及風險評估、事故處理及應變和教育培訓等方面,全方位地維護政府系統和數據的安全。其中,作為政府資訊保安管理委員會的核心成員之一,資科辦會定期為各局/部門進行獨立的資訊保安遵行審計,確保他們嚴格執行相關保安規定,並提供建議協助他們持續改善保安管理系統;成立政府電腦保安事故協調中心,協助和協調各部門處理電腦緊急應變和事故的工作;在政府內部推行網絡風險資訊共享平台,適時向部門發布網絡和數據威脅預警;政府電腦保安事故協調中心同時聯同香港警務處網絡安全及科技罪案調查科(網罪科)舉辦「跨部門網絡安全演習」,加強政府各局/部門防禦和應對網路安全事故的能力。
此外,為提高社會整體,包括公私營機構對資訊保安和數據安全的認知,提升他們對網絡保安威脅防禦和應對網絡安全事故的能力,資科辦一直與持份者保持緊密協作,包括與香港互聯網註冊管理有限公司(互聯網註冊公司)推行「網絡安全資訊共享夥伴計劃」,鼓勵公私營機構共享網絡安全資訊;支持香港電腦保安事故協調中心(協調中心)提供資訊保安事故應變支援、保安威脅警報、防禦指引和保安教育;夥拍網罪科、互聯網註冊公司和協調中心,推出各項宣傳教育活動和培訓,提醒他們加強網絡保安措施,保護資訊系統和數據,防範網絡攻擊。
檢討和加強政府以至社會各界應對資訊保安風險,進一步鞏固數據安全屏障,是政府持續不斷的工作。正如上文所述,政府會參考最新的資訊保安管理標準和業界良好作業模式,不時更新《政策及指引》供各局/部門遵從和公眾參考,亦正草擬有關提升對關鍵基礎設施網絡安全的保護的立法框架。政府會繼續落實和檢視有關工作,致力構建香港成為一個安全穩妥的智慧城市。
完
2023年10月18日(星期三)
香港時間19時20分
香港時間19時20分