立法会十五题:提升资讯保安的措施
****************
问题:
早前有黑客入侵一家本地旅行社的电脑系统,把其内存20万名客户的个人资料加密再勒索该旅行社。有意见认为,黑客攻击的相关罪行日趋严重,但本地企业的资讯保安意识不足。另一方面,有不少国家及地区已制订网络安全策略,以期建立安全的网络空间。就此,政府可否告知本会:
(一)当局会否检视现时各受规管行业(例如银行、旅游业及公用事业)应对网络风险的能力,并要求该等行业的经营者就其业务指定的范围获取ISO/IEC 27001资讯保安管理系统认证;
(二)当局会否(i)协助本地企业(尤其是中小企业)评估其资讯保安措施是否足够,并向它们提供相关的技术支援,以及(ii)向它们提供更全面的资讯保安培训,以提高该等企业的资讯保安管理水平;
(三)为培育更多资讯保安人才,当局有否计划(i)鼓励更多资讯科技从业员投身资讯保安专业、(ii)与业界组织合作资助雇员接受资讯保安在职培训及提供相关的职位配对,以及(iii)采取措施提高本地学生加入资讯保安业的兴趣;
(四)当局会否检视《个人资料(私隐)条例》(第486章)在资讯科技急速发展下是否仍切合时宜;会否提高资料使用者防止个人资料外泄的责任,并订立通报资料外泄事故的强制规定;及
(五)当局会否为提升本地企业应对网络风险的能力采用下述策略:(i)制订短中长期的具体行动纲领、(ii)建议和协助各机构提升其网络安全防御架构及增聘获认证的资讯保安专业人员、(iii)要求相关企业进行资讯保安风险评估、(iv)为企业提供资讯保安事故应变能力培训、(v)加强供应链的资讯保安,以及(vi)就本地企业的资讯保安进行持续监察和风险评估?
答覆:
主席:
政府十分重视资讯保安及网络安全。政府资讯科技总监办公室(资科办)及其辖下的政府电脑保安事故协调中心(政府协调中心)一直密切监察香港整体的网络安全情况,并与警务处网络安全及科技罪案调查科(网罪科),以及香港生产力促进局下的香港电脑保安事故协调中心(香港协调中心)紧密合作,为不同持份者提供有关网络安全的支援。
就问题的各个部分,经谘询相关政策局及部门后,现回覆如下:
(一)各受规管行业的相关规管机构会根据该行业的业务特性,厘定资讯系统的规管范围及措施,包括资讯及数据保安、风险管理、应对网络威胁、应变安排、业务运作复原等。资科办的资讯安全网提供资讯保安国际认可标准及作业实务指引等资讯,以便公私营机构根据其业务需求,采取适当的保护及防御措施。资科办亦积极留意资讯保安管理系统标准ISO/IEC 27000系列的最新发展,定期于资科办网站发布及更新《资讯保安管理系统ISO/IEC 27000标准系列概论》,以供公私营机构参考。
此外,网罪科致力打击科技罪行和提升重大网络安全或大规模网络攻击事故的应变能力,并适时进行网络威胁的审计及分析,以防止及侦查针对重要基础设施的网络袭击。
(二)及(五)作为社区资讯保安的支援者及推动者,资科办多年来与不同的持份者积极合作,为本地企业(包括中小企)提供资讯保安事故应变支援、保安威胁警报、防御指引和保安教育。
在风险评估方面,香港协调中心于二○一六年联同多个本地商会推出中小企业网站免费保安检查先导计划,为中小企检查公司网站的保安措施及建议改进措施,并在推行措施后验证改进成效。
创新科技署在二○一六年十一月推出科技券计划,资助本地中小企使用包括网络安全的科技服务和方案。中小企可就防御网络攻击的方案申请资助,藉此减低资讯损失及网络安全的风险。
另一方面,网罪科一直采用多机构合作模式,加强企业资讯系统网络的可靠性,以及提升香港保护有关资讯系统网络和防御网络攻击的能力。网罪科会继续侦查集团式及高度复杂的科技罪案、适时进行网络威胁审计及分析,并作专题研究。网罪科亦透过各类型的项目,加强企业对网络安全的意识,例如自二○一六年四月起定期举办季度网络安全研讨会,内容涵盖各类新兴的网络威胁,并邀请网络安全专家分享相关应对措施;联同香港金融管理局及香港应用科技研究院合办「网络安全峰会2016」,讨论本地及全球的最新网络攻击趋势;与政府协调中心和香港协调中心合办网络安全精英嘉许计划,表扬网络安全人员的卓越表现和传递网络安全的重要性等。
(三)政府致力与业界共同培训资讯保安人才。我们鼓励大专院校提供更多资讯保安课程,并联同资讯保安专业团体向资讯科技人员推广专业认证,培训更多具备资讯保安专业知识和技能的资讯科技人员,并鼓励资讯科技从业员投身资讯保安专业。
在职培训方面,香港生产力促进局、香港协调中心和政府协调中心不时会举办会议、专题研讨会和工作坊,包括资讯保安证书课程及资讯保安高峰会年度活动,以提升资讯科技人员的资讯保安技术和知识。
政府亦积极透过举办不同的活动,培养青年人在资讯保安方面的兴趣,例如自二○○八年起与专业团体及香港电台合作举办学校探访及「资安探访团」活动,为超过62 000名师生及家长提供资讯保安信息;在二○一六年及二○一七年与香港大学合办网「乐」安全比赛,提高学生对资讯保安行业的兴趣及发掘电脑科技人才;每年与警务处和香港协调中心合办共建安全网络的推广活动,加深大众对资讯保安的认识等。
(四)政制及内地事务局表示,个人资料私隐专员公署(公署)一直密切留意不同司法管辖区有关个人资料外泄的通报规定及资料处理者的责任。据了解,目前只有少数地区强制要求资料处理者就资料外泄向负责私隐或资料保障的机构作通报。政府在二○○九年检讨《个人资料(私隐)条例》时,曾就个人资料外泄通报机制征询公众意见,大部分意见认为自愿性的通报机制较为可取。公署随后在二○一○年六月发出资料外泄事故的处理及通报指引,并在二○一五年十月就指引作出修订。公署会继续检视现行的自愿性通报机制的成效。
完
2017年11月29日(星期三)
香港时间12时10分
香港时间12时10分