****************
以下为今日(一月五日)在立法会会议上谢伟俊议员的提问和商务及经济发展局局长刘吴惠兰的书面答覆:
问题:
维基解密不断公开各国国防及外交机密档案。据报,近日被公开发自美国驻北京大使馆,关於本港举办二○○八年北京奥林匹克运动会马术赛事期间一些前东突厥斯坦组织意图在港发动恐怖袭击的电文,更令保安局局长处於非常尴尬的位置。各国国防、内政及外交机关急欲寻求对策,并设法预防敏感资料进一步外泄。就此,政府可否告知本会:
(一)有何政策和措施,马上提高香港特区政府内部及其与中央政府和各国政府机构的通讯和信息/资料的保安水平;及
(二)有没有突发应变机制,以便在维基解密再次公开与本港相关的敏感资料时,采取即时应变措施?
答覆:
主席:
维基解密自称是一个非牟利媒体组织,设有可匿名提供资料的安全途径,让有关资料来源向其属下新闻工作人员泄密。维基解密接受涉及政治、道德、外交或历史问题的限阅或经审查的资料。这个组织宣称,在接获有关某则消息的资料后,会核实有关资料的真确性,然后才把资料发布,说明该等资料的重要性。在技术层面,维基解密并无披露有关其伺服器所在地的资料。该组织宣称不备存日志,并使用军用加密技术,以保护资料来源。
就谢伟俊议员的提问,我的答覆如下:
(一)保护保密资料(包括个人资料)是每名政府员工的个人责任。政府的《保安规例》涵盖各种资讯的来源,包括文件、相片、录像和电子档案,并订明有关储存、处理和传送保密资料的安排。鉴於科技不断进步,政府已制订全面的资讯保安规例、政策、程序和指引,给各决策局/部门(下称「各局/部门」)遵行,使保密资料获得妥善保护,以免被恶意或在并非蓄意情况下泄漏予未获授权人士。资讯保安规例、政策、程序和指引均是参照国际良好作业模式制订,并会不时予以检讨,以反映业务需要、科技和保安威胁的转变。各局/部门须因应有关资讯、资料或通讯的保密类别,采用有效的保安管理程序、作业模式和监控措施。不论人手运作或自动化的系统(包括电脑资讯系统和网络),这些规定均同样适用。对所有政府资讯科技系统而言,资讯保安属强制规定,一般已纳入有关系统的规定内。具体的保安规定已涵盖保密资料的储存、处理和传送;密码匙的管理;文件类别标记;保密资料的销毁;实体保安和违反保安规定的处理方法。某些类别的敏感资料不得经由公共网络传送。
一个由政府资讯科技总监办公室领导的委员会(核心成员来自政府资讯科技总监办公室和保安局),负责监察政府内部的资讯科技保安,并检讨与政府资讯科技保安相关的规例、政策和指引及审批有关修订,以及指导和协助各部门落实执行有关的规例、政策和指引。这个委员会由政府资讯科技总监办公室领导的工作小组提供支援,小组成员包括政府资讯科技总监办公室、保安局、香港警务处和政务司司长办公室的代表。
在整个资讯保安架构中,培训、教育和认知均至关重要。政府会继续在各个层面推广资讯保安文化,包括为有关人员安排培训和教育课程,让他们明白和遵行有关政策、指引和程序。维基解密的泄密事件经传媒报道后,政府资讯科技总监办公室已在二○一○年十二月二日提醒各局/部门须保持警觉,慎防未经授权披露或在并非蓄意情况下泄漏政府资料的风险,并须审慎检讨保护保密资料的程序,另就辖下的资讯系统实施有效的资讯保安监控和保障措施,以及持续为员工提供培训,使他们明白保护资料的重要性。上述委员会和工作小组会继续紧贴国际资讯科技保安的发展,以期加强保护政府的敏感资料。
(二)根据现行的政府保安规例和相关程序,政府的敏感资料一旦外泄,个别决策局/部门须尽快进行初步调查。倘若事故涉及电子形式的保密资料或个人资料,有关局/部门须通知中央事故应变办事处(成员来自保安局、政府资讯科技总监办公室和香港警务处)。
视乎不同的资讯外泄情况,我们可按应变机制采取以下或其他行动:
(i)确定引起事故的根本原因;
(ii)评估事故造成的影响和损害;
(iii)搜集证据,以助其后进行个案调查;
(iv)把事故升级,并通知有关各方;
(v)把事故对其他系统的影响减至最少;
(vi)加强保安防护措施,以免事故再度发生;以及
(vii)在需要时检讨和更新部门保安政策和程序。
倘若事故涉及其他公共或受规管机构,所属的局/部门须负责联络有关机构,以便各自采取应变和补救措施。
完
2011年1月5日(星期三)
香港时间12时16分