立法会二十二题:香港的机构应付大型电脑保安事故的能力
**************************
问题:
据报,早前一个针对使用旧版本微软视窗作业系统电脑系统的勒索软件WannaCry肆虐全球,至少有150个国家的相关机构的电脑系统受影响,当中包括俄罗斯的中央银行及英国多间医院。有资讯科技业人士担心香港的机构(包括政府部门及公营机构)能否应付大型电脑保安事故。就此,政府可否告知本会:
(一)有否评估各政府部门及公营机构现时能否应付大型电脑保安事故;如有评估,结果为何;
(二)现时持有国际标准化组织及国际电工委员会,联合发出的资讯保安管理系统ISO 27001证书(证书)的政府部门数目及百分比分别为何;该等持有证书的政府部门当中,在原有证书三年有效期过后第二次获发证书的数目及百分比分别为何;该等证书当中,已经及尚未更新至二○一三年版本的证书数目分别为何;
(三)有否评估现时持有证书的政府部门的内部资讯保安管理系统能否应付大型电脑保安事故;如有评估,结果为何;
(四)政府资讯科技总监有否评估现时持有证书的政府部门的资讯保安管理系统有否不足之处;如有评估而结果如此,改善方法为何;各政府部门是否已引进保安事件管理平台系统,以加强资讯保安;
(五)有何措施确保香港的金融机构能够应付大型电脑保安事故;是否知悉各金融机构有否就此定期进行演习;如有,详情为何;及
(六)有否制订应变措施(包括技术支援),协助中小型企业及市民应付电脑保安事故;如有,详情为何;如否,原因为何?
答覆:
主席:
政府非常重视资讯保安及网络安全,并一直密切监察网络攻击的趋势及有关的保安威胁。政府在经参照国际标准化组织(ISO)/国际电工委员会(IEC)最新发布的资讯保安管理系统标准(ISO/IEC 27001二○一三年版本)、业界良好作业模式(如COBIT 5等),以及政府内部的资讯保安需要后,已制订了一套全面的《政府资讯科技保安政策及指引》(《政策及指引》),列明对建立、推行、维护及持续改善资讯保安管理体系的要求,供各局和部门遵行。
就问题的各部分,经谘询相关政策局后,现回覆如下:
(一)政府已就保护政府资讯系统和网络,制备整体管理架构、技术措施及保安机制,密切监测政府资讯和网络系统的运作,以侦察及堵截可能受到的不同类型网络攻击。各局和部门必须遵从《政策及指引》,采取适当及有效的措施,确保政府的资讯和网络系统安全及正常运作。至于公营机构,政府已向它们提供《政策及指引》作为参考,以便它们根据本身的资讯科技保安政策和业务需求,采取适当的保护及防御措施。
所有局和部门必须定期为其资讯和网络系统进行第三方保安风险评估和审计,确定其已遵行《政策及指引》,以及其系统符合相关的保安要求并有足够的防御能力应付大型电脑保安事故,以保护政府系统和数据资产。
为加强政府部门保护资讯系统及处理网络安全事故的能力,政府资讯科技总监办公室(资科办)联同警务处于今年一月进行了一个涉及30个政府部门的大型网络安全演习。演习的目的是让政府部门能在模拟环境下,体验如何能有效应对网络安全事故,从而加强政府部门保护资讯系统及处理网络安全事故的能力。
(二)除了遵行《政策及指引》,个别部门或会因应其业务需要,界定其所需涵盖的范围,获取ISO/IEC 27001资讯保安管理系统认证。现时共有五个政府部门,以及政府云端平台服务,就其指定范围获得ISO/IEC 27001资讯保安管理系统认证,当中有四个认证持有超过三年,而它们都能在认证三年有效期过后再次获得认证。上述所有认证皆为最新的二○一三年版本。
(三)及(四)我们已在政府内部采用多重资讯保安措施,包括防火墙、入侵侦测及防御系统、垃圾邮件过滤系统、防电脑病毒方案,以及实时监测工具,抵挡网络安全威胁。此外,根据《政策及指引》,各局和部门必须经常把重要资料备份,并存放在安全的地方;为使用中的软件安装最新的修补程式;以及为所有电脑装置开启抗恶意软件保护功能并定期更新至最新版本等。
为增强预防、侦察及应对网络攻击的能力,政府云端平台、中央互联网服务,以及重要的网络系统都已建立相应的信息安全事故监控系统,对网络和服务的使用进行24小时的监察,实时监测及防御恶意的网络攻击。
由于所有局和部门,不论有否获取ISO/IEC 27001认证,均须要遵行《政策及指引》的要求,加上以上多重措施,政府是有能力应付大型电脑保安事故。早前面对WannaCry勒索软件的威胁时,政府亦没有发生相关的保安事故,政府的资讯系统亦运作正常。
(五)财经事务及库务局表示,为提升银行体系应对网络风险的能力,香港金融管理局(金管局)在去年推出网络防卫计划,当中银行须就其网络保安、业务延续性及应变计划作出评估,利用共享平台获取网络风险资讯,并可透过专业培训计划,提升员工的专业技能。金管局亦一直提醒银行业有关网络攻击的趋势和风险。
金管局连同证券及期货事务监察委员会(证监会)在二○一七年三月就第二届业界危机模拟演习举行了业界简介会,该演习将于二○一七年十月二十七日进行。超过30家大型的金融机构已报名参与演习,以提高它们对网络及风险管理的意识。
证监会于二○一六年年底在外聘顾问的协助下完成了网络保安主题检视。根据检视的结果及业界的意见,证监会在二○一七年五月八日就降低与互联网交易相关的黑客入侵风险建议展开了为期两个月的公众谘询。证监会的建议主要包括:(i)引入一套指引,例如在客户登入系统时实施双重认证,及立即通知有关客户等;(ii)将证监会《操守准则》相关条文的适用范围扩展至涵盖并非在交易所上市或买卖的证券进行的互联网交易;及(iii)阐明以互联网为基础的交易设施可透过电脑、流动电话或其他电子装置来接达。
证监会透过发出通函,提醒持牌公司有关保安预防措施在应对网络风险方面的重要性。持牌法团应立即采取行动,严格检视及评估其网络保安监控措施的成效。此外,根据证监会《操守准则》,持牌公司于发生任何重大的系统保安事故时,应立即向证监会汇报。
证监会作为香港交易所的监管机构,一直与香港交易所紧密合作,确保该所已实施适当的措施,按国际准则监控及应对网络保安风险。
另外,保险业监理处(保监处)设有监管规定,要求获授权保险公司识别来自网络、电邮及相关装置的网络安全威胁,并采取应对措施,为可能发生的网络安全威胁作好准备。获授权保险公司也应定期测试有关的应对措施是否能及时和有效地处理网络安全威胁。保监处和保险业监管局会对获授权保险公司进行实地检查,以评估其是否符合有关的监管规定。
警务处亦联同银行及金融服务业界进行网络安全审定及网络安全演习,详情如下:
(i)网络安全审定:在参与机构的同意下,警方会派员实地到访机构的资讯科技部门,了解该机构防卫网络攻击的能力(包括审视机构的相关人才、设备和政策),然后向机构提出合适建议;及
(ii)网络安全演习:警方通过各种模拟事故场景,测试参与机构的事故分析能力、常设的事故应变程序及沟通机制。当中的模拟网络攻击事故包含了各种最常见而有深远影响的情景,例如分散式阻断服务攻击、涂改网页、入侵网络及资讯系统、勒索软件、恶意程式及敏感资料外泄等。
此外,警务处一直与金管局监察各类型的金融犯罪手法,并致力促进有关针对金融业界网络攻击的情报交流,提醒业界检视相关的保安措施,以进一步减低金融系统被入侵的风险。为提升金融业界在防御网络攻击方面的能力,警务处、金管局及香港应用科技研究院在去年五月合办了为期三天的二○一六网络安全峰会。峰会嘉宾包括来自金融机构、监管机构及科技技术解决方案供应商的主管。峰会讨论了本地及全球的最新网络攻击趋势,及提升本港主要行业机构和重要基础设施面对网络安全事故以及应对黑客入侵事件的意识及能力。
(六)香港电脑保安事故协调中心向本地企业(包括中小企业)及互联网用户提供资讯保安事故应变支援、保安威胁警报、防御指引和保安教育。
为进一步提高企业及市民对资讯保安的认知,以及提升他们对网络保安威胁防御及应对电脑保安事故的能力,资科办会继续联同警务处和香港电脑保安事故协调中心,与业界及不同机构合作,推出各项宣传教育活动,提醒他们加强网络保安措施,保护资讯系统和资产。同时,资科办亦透过资讯安全网和网络安全资讯站网站,以及各类宣传渠道,向企业和公众提供最新的网络安全资讯和建议,让他们了解各种潜在的保安风险及相应的缓减方法,协助他们应付电脑保安事故。
完
2017年6月7日(星期三)
香港时间17时05分
香港时间17时05分