立法会十七题:提升网络安全
*************
以下是今日(十月十八日)在立法会会议上黄锦辉议员的提问和署理创新科技及工业局局长张曼莉的书面答覆:
问题:
有意见指出,最近接连有公营机构的电脑系统被黑客入侵,反映公营机构的网络保安存在漏洞。另一方面,早前创新科技及工业局局长表示,政府正就网络安全法进行相关研究。就此,政府可否告知本会:
(一)自数码港及消费者委员会的电脑系统被黑客入侵后,政府有否指示各公营机构即时及定期进行电脑系统资讯安全检查,以清除潜在的风险;
(二)政府资讯科技总监办公室(资科办)制订的资讯科技保安政策、标准、指引、程序及相关实务指引,是否适用于公营机构;如是,资科办会否定期巡视,以确保公营机构确切执行该等政策和指引等;
(三)鉴于有意见认为,公营机构在遵从上述政策和指引等时,需具备甚高规格的电脑系统,而日常维护的要求也甚高,当局有否提供足够的专项拨款给各公营机构,以用于提升电脑系统、优化电脑系统资讯安全有关管理制度、防御设施、培训教育和检查监督等工作;当局会否因应最近的黑客入侵事件,为各公营机构增加相关拨款;
(四)制定网络安全法的进展为何,以及预计何时提交本会审议;
(五)鉴于据悉,新加坡于二○一九年成立了公共机构数据安全检讨委员会,以检讨政府保护公民数据的措施,在网络安全法推出前,当局会否参考新加坡的做法,设立资讯安全委员会,并邀请相关专家参与,以定期审视政府部门和公营机构在资讯安全管理、监督及协调方面的表现;及
(六)为防止国际黑客入侵,当局会否考虑设立数据局,以全面建立数据管治体系,为香港和国家建立完备的网络安全屏障?
答覆:
主席:
就黄锦辉议员的提问,经谘询保安局后,现答覆如下:
(一)政府非常关注近月涉及个别公营机构的电脑系统被黑客入侵事故。事件反映网络安全风险无处不在,社会各界必须做好防护措施,提升网络系统和数据安全。
政府资讯科技总监办公室(资科办)在最近公营机构资讯保安事故发生后,已随即提醒所有政府决策局/部门(局/部门)相关的保安指引和提供技术支援,并要求各局/部门及其监管的公营机构即时检视其现有的资讯和网络安全措施,加强防范工作,以抵御网络攻击和减少潜在的保安风险。
(二)资科办制订了一套全面的《政府资讯科技保安政策及指引》(《政策及指引》)供各局/部门遵从,列明对建立、推行、维护和持续改善资讯保安管理体系的要求。资科办亦参考最新的国家和国际资讯保安管理标准及业界良好作业模式,不时更新《政策及指引》。为提高各局/部门对资讯保安风险的警觉性,资科办定期提示各局/部门采取适切的保安措施,以保护政府资讯系统及数据。
上述政策、指引和政府资讯保安要求的对象为各局/部门,但资科办已把《政策及指引》上载至网站给所有公私营机构参考。个别机构可因应情况,采用《政策及指引》所建议的管理保安风险原则和措施。
(三)公营机构应根据自身的机构和业务性质、营运模式和电脑设备配套等,制定和采取切合其需要的电脑系统、资讯科技管理政策和网络安全防御措施,并按其实际情况和最新科技发展,考虑和计划提升机构的资讯科技设备,满足业务需要和管理相关风险。各局/部门亦会适时要求其监管的公营机构检视并加强其资讯和网络安全措施。
(四)为提升对关键基础设施网络安全的保护,政府计划以立法方式清晰订定关键基础设施营运者的网络安全责任,包括建立良好的防范管理体系,以确保其资讯系统和网路安全运作。政府正草拟立法框架,并收集业界的初步意见,下一步工作将会就立法建议征询立法会保安事务委员会,并进行公众谘询。
另一方面,法律改革委员会(法改会)在二○一九年成立小组委员会,就电脑网络罪行展开研究,并于首阶段就依赖电脑网络的罪行及司法管辖权事宜于二○二二年十月完成了公众谘询工作。待法改会就有关事宜发表报告后,政府会研究报告的建议,考虑应如何跟进,以期进一步提升网络安全。
(五)及(六)据了解,新加坡的公共机构数据安全检讨委员会的主要工作,是就数据安全向政府提供建议,内容包括加强数据保护、事故的侦测和处理能力、公务员保护数据的意识和能力、数据保护的责任和治理架构等。而国家数据局则主要推进数据基础建设、数据开放共享和安全,以及数字经济等多方面的工作。
就香港而言,政府在数据安全风险管理上已制订多重的保安措施和工作机制,涵盖政府数据的保护、审计及风险评估、事故处理及应变和教育培训等方面,全方位地维护政府系统和数据的安全。其中,作为政府资讯保安管理委员会的核心成员之一,资科办会定期为各局/部门进行独立的资讯保安遵行审计,确保他们严格执行相关保安规定,并提供建议协助他们持续改善保安管理系统;成立政府电脑保安事故协调中心,协助和协调各部门处理电脑紧急应变和事故的工作;在政府内部推行网络风险资讯共享平台,适时向部门发布网络和数据威胁预警;政府电脑保安事故协调中心同时联同香港警务处网络安全及科技罪案调查科(网罪科)举办「跨部门网络安全演习」,加强政府各局/部门防御和应对网路安全事故的能力。
此外,为提高社会整体,包括公私营机构对资讯保安和数据安全的认知,提升他们对网络保安威胁防御和应对网络安全事故的能力,资科办一直与持份者保持紧密协作,包括与香港互联网注册管理有限公司(互联网注册公司)推行「网络安全资讯共享伙伴计划」,鼓励公私营机构共享网络安全资讯;支持香港电脑保安事故协调中心(协调中心)提供资讯保安事故应变支援、保安威胁警报、防御指引和保安教育;伙拍网罪科、互联网注册公司和协调中心,推出各项宣传教育活动和培训,提醒他们加强网络保安措施,保护资讯系统和数据,防范网络攻击。
检讨和加强政府以至社会各界应对资讯保安风险,进一步巩固数据安全屏障,是政府持续不断的工作。正如上文所述,政府会参考最新的资讯保安管理标准和业界良好作业模式,不时更新《政策及指引》供各局/部门遵从和公众参考,亦正草拟有关提升对关键基础设施网络安全的保护的立法框架。政府会继续落实和检视有关工作,致力构建香港成为一个安全稳妥的智慧城市。
完
2023年10月18日(星期三)
香港时间19时20分