在日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅下,保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的電腦系統(tǒng)安全變得至關(guān)重要���。香港保安局日前就《加強(qiáng)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施電腦系統(tǒng)安全》的建議立法框架進(jìn)行了廣泛咨詢���,筆者亦提交了一系列建議。令人鼓舞的是���,當(dāng)局采納了部分內(nèi)容���,同時積極回應(yīng)業(yè)界意見,提出多項修訂和優(yōu)化措施���。本文旨在支持保安局的這些修訂���,并提出進(jìn)一步建議���。
首先,筆者支持保安局因應(yīng)咨詢期間的主要意見���,提出修訂和優(yōu)化措施���,包括移除對“關(guān)連系統(tǒng)”的規(guī)管要求。此舉有助于精準(zhǔn)聚焦真正對關(guān)鍵基礎(chǔ)設(shè)施運作至關(guān)重要的電腦系統(tǒng)���,避免監(jiān)管范圍過度擴(kuò)大���。
此外,移除須報告變更“擁有權(quán)”的要求���,也考慮到實際操作的困難���,特別是對于上市公司,頻繁的所有權(quán)變更可能難以及時報告���。將嚴(yán)重事故的通報時限由2小時延長至12小時���,讓營運者有更充裕的時間進(jìn)行初步調(diào)查���,確保通報準(zhǔn)確無誤。保安局亦計劃在《實務(wù)守則》中提供詳細(xì)指引���,協(xié)助營運者與第三方服務(wù)供應(yīng)商訂立合約,確保雙方清楚了解法定責(zé)任���,這對業(yè)界而言是一項重要的支持措施���。
作為香港創(chuàng)新科技發(fā)展協(xié)會的創(chuàng)會主席,筆者在咨詢期間提交了相關(guān)建議���,并對保安局的積極回應(yīng)表示肯定���。我的建議包括加強(qiáng)對“關(guān)鍵基礎(chǔ)設(shè)施”和“關(guān)鍵電腦系統(tǒng)”的明確定義,確保業(yè)界對法規(guī)適用范圍有清晰理解���,避免不必要的混淆���。例如���,筆者建議明確界定“關(guān)鍵基礎(chǔ)設(shè)施營運者”的條件,尤其是在特區(qū)政府代表參與董事會或管理層時���,如何界定這些營運者是否受條例規(guī)管���;亦建議在事故通報方面增加彈性,對于嚴(yán)重事故���,適當(dāng)延長通報時間���,以便營運者進(jìn)行初步調(diào)查并提供準(zhǔn)確資訊。保安局采納部分建議���,放寬通報時限���,顯示特區(qū)政府在訂立條例時考慮了業(yè)界實際操作的困難。
其次���,筆者理解并認(rèn)同保安局在回應(yīng)業(yè)界誤解和疑慮時所作的澄清和解說���。保安局澄清���,擬議條例不具域外效力,只要求在香港設(shè)有辦公室的營運者提交其可取得的資料���,消除了部分業(yè)界對域外法律風(fēng)險的顧慮���。同時,條例明確表示不會針對個人資料和商業(yè)機(jī)密���,僅著重保障系統(tǒng)安全。只有符合“關(guān)鍵基礎(chǔ)設(shè)施”定義的少數(shù)資訊科技公司才會受規(guī)管���,其他中小企業(yè)不在其列。針對事故發(fā)生時的應(yīng)對措施���,保安局解釋���,只有在極少數(shù)營運者無法自行解決的情況下,才會向裁判官申請手令���,在關(guān)鍵電腦系統(tǒng)中采取必要措施應(yīng)對事故���,此做法充分考慮了必要性和相稱性���。
為了支持上述修訂和澄清���,筆者在建議中強(qiáng)調(diào)營運者需要靈活性以應(yīng)對不同類型的網(wǎng)絡(luò)威脅���。例如���,我建議在《實務(wù)守則》中提供詳細(xì)的事故應(yīng)對指引,協(xié)助營運者在面對網(wǎng)絡(luò)攻擊時迅速反應(yīng)���;還建議保安局考慮為“關(guān)鍵基礎(chǔ)設(shè)施營運者”設(shè)立相應(yīng)的網(wǎng)絡(luò)安全認(rèn)證程序,并定期進(jìn)行審計���,確保營運者保持高標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全實踐���。上述建議不僅有助于提升香港整體網(wǎng)絡(luò)安全水平,也為業(yè)界提供更清晰的合規(guī)路徑���。
加強(qiáng)與業(yè)界合作 開展演習(xí)
筆者亦呼吁保安局在《實務(wù)守則》中加入針對第三方供應(yīng)商的具體指引,例如怎樣選擇具備適當(dāng)資質(zhì)的供應(yīng)商���,并要求第三方定期進(jìn)行網(wǎng)絡(luò)安全審計���,確保其符合相關(guān)法定標(biāo)準(zhǔn)���。此舉將有助于確保供應(yīng)鏈安全���,避免因第三方安全漏洞而影響整體系統(tǒng)安全性���。筆者認(rèn)為���,不論是否屬于關(guān)鍵基礎(chǔ)設(shè)施���,特區(qū)政府應(yīng)考慮為中小企業(yè)提供更多支持���,如提供資金或技術(shù)支援,幫助企業(yè)提升架構(gòu)���,這將有助于提升香港的網(wǎng)絡(luò)及數(shù)據(jù)安全水平。
筆者認(rèn)為���,特區(qū)政府應(yīng)加強(qiáng)與業(yè)界合作���,共同開展網(wǎng)絡(luò)安全演習(xí)���,讓營運者在模擬環(huán)境中測試其應(yīng)對能力和流程���,及時改進(jìn)不足���。例如���,保安局可定期舉辦與業(yè)界的聯(lián)合演習(xí),模擬不同類型的網(wǎng)絡(luò)攻擊情景���,讓營運者實際演練事故應(yīng)對程序���,這將有助于提升整體應(yīng)對能力���。
最后���,再次歡迎保安局從善如流���,積極回應(yīng)業(yè)界關(guān)注并釋除疑慮���。保安局聆聽各界意見,采取適當(dāng)修訂措施���,顯示特區(qū)政府對透明度與合規(guī)性的重視���。這些修訂不僅有助于業(yè)界更好地理解和遵守條例的法定責(zé)任���,亦增強(qiáng)營運者對特區(qū)政府政策的信任感���。例如���,保安局放寬了事故通報時限,并在《實務(wù)守則》中提供協(xié)助營運者與服務(wù)供應(yīng)商訂立合約的具體指引���,這些措施有助于減少業(yè)界顧慮并提升合規(guī)效率���。這種良性互動不僅體現(xiàn)特區(qū)政府與業(yè)界之間的有效溝通,也為未來香港的網(wǎng)絡(luò)安全體系打下堅實基礎(chǔ)���。
期待未來保安局繼續(xù)與業(yè)界緊密交流和合作���,確保新條例的實施能夠有效提升關(guān)鍵基礎(chǔ)設(shè)施的安全���,同時不對業(yè)界帶來過多負(fù)擔(dān)���。通過持續(xù)的交流與合作,我們相信香港能夠建立起一個更加安全���、可靠的網(wǎng)絡(luò)環(huán)境���,保障社會的穩(wěn)定和繁榮���。
(作者為香港創(chuàng)科發(fā)展協(xié)會創(chuàng)會主席)
京公網(wǎng)安備11010502037337號