跳至主要内容

立法会一题:加强资讯保安
************
  以下是今日(五月二十五日)在立法会会议上吴杰庄议员的提问和创新及科技局局长薛永恒的答覆:
 
问题:
 
  据报,由于地缘政治变化,某些外国政府动辄向中国政府实施制裁,包括切断向中国出口及禁止中国使用某些科技产品,更有西方国家的黑客伺机向中国发动网络攻击,企图影响中国政府及相关机构的运作,而香港亦有可能受到影响。关于加强本港的资讯保安,政府可否告知本会:
 
(一)有否评估,上述就科技产品施加的限制及网络攻击,对各政府部门的资讯保安(包括电脑系统及应用程式)的影响,以及有何方案加强各政府部门的资讯系统保安及事故应变的能力,以确保其运作及服务不受影响;
 
(二)如何侦测及堵截外国黑客针对各政府部门电脑系统的入侵和攻击,以及会否制订有关的管理、技术及保安机制;及
 
(三)鉴于网络攻击可能会破坏关键资讯基础设施的运作,对市民日常生活造成混乱及带来经济影响,政府会否规管这些设施的网络安全标准,以及要求设施的营运者承担更大的网络安全责任?
 
答覆:
 
主席:
 
  非常感谢吴杰庄议员的提问。政府十分重视资讯保安,当中包括网络安全。我们透过多管齐下的策略应对资讯保安事宜,减低网络威胁带来的风险。政府各决策局/部门积极推行多重保安措施,从而做好监测、侦察及堵截资讯系统及网络可能受到的恶意攻击,并及早采取相关措施,维护政府系统及数据的安全。我们亦与相关机构和部门紧密协作,提升香港整体应对网络攻击的防卫和复原能力,致力构建香港成为一个安全稳妥的智慧城市。
 
  就吴议员的提问,经谘询保安局,我现回覆如下:
 
(一)及(二)政府一直密切留意及监察国际上网络攻击的趋势及有关的安全威胁,以确保政府的系统和服务可持续正常运作。
 
  政府部门在采购资讯科技设备产品时,除了考虑产品的功能和兼容性,亦非常重视相关的安全标准,以及供应商提供的支援服务。此外,就管理可能对科技产品施加限制的风险,我们亦提醒部门应从不同来源采购资讯科技及通讯产品。

  面对全球有针对性和有组织的网络攻击,政府资讯科技总监办公室(资科办)已制订了一套详尽的《政府资讯科技保安政策及指引》(《政策及指引》),并且参照最新国际标准及业界良好作业模式定期检讨和更新。政府各决策局/部门必须严格遵循《政策及指引》,以确保政府资料及资讯系统安全。资科办亦会定期为各决策局/部门进行遵行审计,确保其资讯系统切实遵循相关保安规定。
   
  在技术层面,政府从整体的资讯保安措施着手,应对各类型的网络安全威胁。政府在二○二○年九月推出新一代政府私有云端基建平台,透过采用最新的云端技术,为各部门的数码政府服务提供了一个更安全、稳妥及可扩展的基础设施,平台至今已支援超过350项数码政府服务。现时,政府的网站及系统均已采用多层保安措施,包括资料加密、防火墙、内容传递网络、抵御分散式阻断服务攻击的清洗功能、入侵侦测及防御系统、抗恶意软件、端点保护方式、实时监测工具等,从而侦察、堵截和抵御各式各样的保安威胁。此外,政府亦采用垃圾邮件过滤系统,以抵御恶意电邮攻击。
   
  另一方面,为有效应对紧急事故,资科办成立了政府电脑保安事故协调中心,协助和协调各部门处理电脑紧急应变及事故的工作。资科办每年亦举办跨部门网络安全演习,以加强政府各个部门防御和应对网络安全事故的能力。
   
  与此同时,政府十分重视与内地和其他地区在网络安全的合作和资讯分享,以便迅速及时应对网络安全威胁。资科办亦已加入全球保安事故协调中心组织和亚太区电脑保安事故协调组织等,并与国家互联网应急中心保持紧密交流合作及通报网络安全情报,同时亦积极参与这些组织举办的相关活动。
 
(三)安全的营商环境对于促进经济发展及繁荣稳定十分重要。关键基础设施对社会正常运作具有重要意义。它们的资讯系统、资讯网络或电脑系统一旦受到扰乱、破坏,可能会影响主要设施的正常运作,严重危害社会经济、民生、公共安全以至国家安全。
 
  近年网络攻击增加,对世界各地关键基础设施的网络安全带来重大挑战。现时,香港并未有针对关键基础设施网络安全的特定法例要求。因此,除了业界的良好作业指引,以及个别规管当局就网络安全的指引和规定外,政府现正进行准备工作,透过立法方式清晰订定关键基础设施营运者的网络安全责任,加强香港关键基础设施的网络安全。在制订相关的网络安全标准时,亦会参考其他司法管辖区及国际间采用的标准。政府计划于今年底就立法建议进行公众谘询。

  在此再次感谢吴杰庄议员的提问,期待与议会的同事多交流、多合作,共同推进加强香港的资讯保安。多谢主席。
 
2022年5月25日(星期三)
香港时间12时45分
即日新闻