保安局局長在立法會保安事務委員會就設立落實《保障關鍵基礎設施(電腦系統)條例》專責辦公室首長級職位的建議開場發言(只有中文)
**************************************************
主席,各位委員,大家好!
保安局建議在新設立的關鍵基礎設施(電腦系統安全)專責辦公室下開設三個首長級職位,以全面落實《保護關鍵基礎設施(電腦系統)條例》(《條例》)。
背景
《條例》的政策目標是要保障香港關鍵基礎設施的電腦系統安全,以減低網絡攻擊對必要服務的威脅。香港的交通、能源、金融、通訊等關鍵服務,越來越依賴電腦系統運作。一旦系統受攻擊,不單影響市民生活,更可能嚴重影響社會和經濟活動的運作。為此,在二○二五年三月,立法會通過《條例》,以要求關鍵基礎設施營運者履行三大責任,即是:架構責任、預防責任、和事故通報及應對責任。透過這些措施,我們希望能夠提升香港整體的電腦系統安全,以確保香港社會運作如常。
撥款建議
專員
為有效實施《條例》,保安局計劃在二○二六年一月一日正式成立關鍵基礎設施(電腦系統安全)專責辦公室。這個辦公室的主要職責包括:識別關鍵基礎設施和指定營運者、制定《實務守則》、監察合規情況、應對網絡攻擊、以及復原系統及調查事故等。
要完成這些專業且複雜的工作,必須要有一支高質素的領導團隊。因此,我們建議開設三個首長級的職位,包括一個首長級第3點常額的專員職位,以及兩個首長級第1點有時限三年的副專員職位,帶領一個由29個來自不同相關職系的同事組成的團隊以落實《條例》。換言之,專責辦公室的編制總共會有32人。
專責辦公室需要一位關鍵基礎設施專員擔任領導角色,這個專員必須具備卓越的網絡安全專業知識、國際視野、執法經驗和策略管理能力,熟悉網絡安全標準和關鍵基礎設施運作,以準確識別營運者和制定《實務守則》;同時需要掌握國際最新的威脅趨勢和防護措施,以確保監管框架與全球標準接軌;以及在事故發生時能迅速應對,統籌跨部門協作,和在有需要時協助營運者復原系統。
專員亦需要具備高度的政治敏感度和良好的溝通技巧,因為他需要和主要為大型企業的營運者溝通,亦要在監管嚴格性和行業實際運作需要之間取得適當平衡。
考慮到專員的職責直接影響香港關鍵基礎設施的電腦系統安全,因此必須由具備相關專業知識和豐富經驗的人士出任,所以我們建議職級定於首長級第3點,這是合理平衡權責和資源的安排。《條例》賦權保安局局長可向專員給予執行《條例》職能有關的指示。專員將通過他的直屬上司——保安局常任秘書長——向我,保安局局長負責。
副專員
在《條例》生效初期,專責辦公室需要建立一套全新的制度,識別和評估每個有機會被指定為營運者的機構,並審視其電腦系統對其核心功能的重要性,以決定是否按《條例》作出相關的指定及規管,工作至關重要。因此,我們有必要在專責辦公室成立的首三年,以有時限職位形式開設兩個副專員的編外職位,分別負責「合規」和「行動」範疇。
負責「合規」的副專員主要負責協助專員識別營運者、制定《實務守則》和監察合規情況,需要熟悉網絡安全標準的專業人士擔任,因此我們建議由一名數字辦的總系統經理(首長級薪級第1點)擔任這個職位。
負責「行動」的副專員則負責領導事故應變、協助營運者系統復原和調查違規行為,我們建議由具備執法和調查經驗的總警司(警務人員薪級第55點或相等於首長級薪級第1點)出任,確保應對迅速到位。
這三個首長級職位每年平均員工開支總額大約為一千萬元。
我們會在《條例》落實一段時間,運作上軌道後,再檢視兩位副專員的工作是否可以由專員或下屬分擔。
結語
有關建議的詳細資料已經載列在我們提交的文件。三個首長級職位對於落實《條例》至關重要,我懇請大家支持建議。多謝主席。
完
2025年5月6日(星期二)
香港時間15時30分
香港時間15時30分