立法会八题:采用某些中国电讯产品的资讯安全
*********************
问题:
据报,近月有多个国家(包括美国、日本及澳洲)的政府以国家安全为理由,禁止其政府机关和电讯商,使用华为技术有限公司(华为)及中兴通讯股份有限公司(中兴)供应的电讯设备。就政府使用这两家公司的设备的资讯安全,政府可否告知本会:
(一)各政府部门正使用的(i)华为及(ii)中兴的产品的详情(使用与下表相同格式的表格分别列出);及
| 产品类别 | 数量 | 总值 | 用途 | 购入年份 | 政府部门 | |
| 1. | ||||||
| … |
(二)过去12个月,有否检验各政府部门正使用的华为及中兴产品是否藏有后门程式或功能,让非获授权人士得以盗取政府管有的资料;如有检验,结果为何,以及政府采取了什么跟进行动?
答覆:
主席:
现时,政府部门采购网络设备产品,可以自行进行招标工作或通过政府资讯科技总监办公室(资科办)的《网络设备及业务伺服器系统常备承办协议》(《常备承办协议》)拣选合适的产品。在制定《常备承办协议》时,资科办的主要考虑为产品的功能、兼容性、相关的技术和保安标准,以及供应商提供的支援,对于设备的品牌,并不会作出任何规限。
就问题的各部分,现答覆如下:
(一)在二○一六年二月(最新一份《常备承办协议》的生效日)至二○一八年十一月期间,政府部门通过《常备承办协议》采购约190项华为技术有限公司产品,包括网络交换器(用作连接网络上的设备)、路由器(用作连接不同网络)、配件(光纤收发器、光纤电缆用作连接光纤,以及风扇模块用作冷却设备)等,总开支约176万。
最新一份《常备承办协议》的承办商并没有供应中兴通讯股份有限公司的产品。
至于由部门自行进行招标工作采购的网络设备,相关资料如产品类别和开支等均由部门自行备存,资科办没有这方面的统计数字。
(二)政府在制定采购资讯及通讯科技产品的安排及采购程序时,均参考国际和业界标准包括资讯安全,并在保护资讯系统和数据资产方面列明要求,以确保政府的资讯系统和数据安全和保障公众私隐。现时政府采购的网络设备产品均为其他国际城市广泛使用的品牌和型号,不应藏有后门程式或其他不恰当的功能,因此现行采购程序没有加入这方面的额外检验工作。
在整体资讯科技保安风险管理方面,资科办联同有关部门已制定全面的政策和指引、管理架构及技术措施,并密切监测政府资讯系统和网络的运作,以侦察和堵截可能受到的保安威胁和评估网络攻击的风险。这些指引、管理架构及技术措施适用于所有产品或品牌。
为确保政府资讯系统和数据的安全和保障公众私隐,政府部门的资讯系统和网络设施必须在推出前及运行期间定期进行独立的资讯保安风险评估和审计,并在有需要时进行改善,确保有关资讯系统和网络设施符合保安要求及规例。此外,为确保数据资产的安全,机密和受限制的资料在储存或传输时都必须加密。
资科办亦会密切监察资讯保安业界及世界各地电脑保安事故紧急应变小组发出的资讯,包括保安威胁及网络攻击的趋势,根据实际情况评估并着手堵塞潜在的保安风险(包括产品漏洞或资料外泄风险)。
完
2019年1月16日(星期三)
香港时间11时30分
香港时间11时30分