《保護關鍵基礎設施(電腦系統)條例》今年1月1日實施,向被指定的「關鍵基礎設施營運者」施加法定責任,抵禦網絡攻擊,從而提升本港整體電腦系統安全。
關鍵基礎設施(電腦系統安全)專員陳永安。
受該條例監管的營運者覆蓋8大範疇,八個界別提供「必要服務」的營運者(能源、資訊科技、銀行及金融、空運、陸運、海運、醫護、電訊及廣播)以及其他被指明的基礎設施(例如大型場館、研發園區等),指對維持社會正常運作和市民正常生活必需或非常重要的基礎設施。
點擊看圖輯
關鍵基礎設施(電腦系統安全)專員陳永安。
《保護關鍵基礎設施(電腦系統)條例》目的在於提升本港整體電腦系統安全。
專員在《保護關鍵基礎設施(電腦系統)條例》的法定職能。
陳永安認為,《條例》的法律依據清晰,《實務守則》亦提供務實的指引,實質上是鼓勵外資進入香港的「催化劑」。
營運者在被指定後3個月提交安全計劃
關鍵基礎設施(電腦系統安全)專員陳永安指出,目前本港大部分運營者在電腦系統安全方面有良好基礎。政府將於今年年中開始,根據設施的關鍵程度及各機構的準備情況,分階段將其指定為受規管營運者,並給予合理時間以符合各項法定要求。
《條例》指明營運者履行各類法定責任的時限,例如在指定後的3個月內,營運者須提交其電腦系統安全管理計劃及設立指定單位;營運者須每年進行風險評估,並在評估後3個月內提交報告;安全審查則須每兩年進行一次,同樣在審查後3個月內提交報告;此外,營運者須每兩年至少參與一次相關的網絡安全演習。
《保護關鍵基礎設施(電腦系統)條例》目的在於提升本港整體電腦系統安全。
陳永安表示,前期政府與營運者溝通充分,許多潛在營運者已心中有數,並已開始著手相關準備工作。
工作可外判 營運者負最終法定責任
《條例》規管兩大類關鍵基礎設施,包括提供必要服務的八大界別(如能源、金融、醫療、交通等)及其他維持本港重要經濟活動的大型機構。
對於《條例》會否對作為中小企的外判服務供應商造成影響,陳永安強調營運者可外判工作,但不可外判責任。營運者可以將相關工作外判予第三方或第四方服務供應商,但其遵守法例的最終法定責任仍由營運者承擔。營運者必須確保其服務供應商符合法定的要求與標準,而服務供應商則主要依據合約履行義務,本身並不直接負有該條例下的法定責任。
專員在《保護關鍵基礎設施(電腦系統)條例》的法定職能。
提升整體投資環境 鼓勵外資進入香港
陳永安指出,保護關鍵基礎設施的網絡安全是國際大都市和金融中心的必要舉措。香港並非首個推出此類法律的司法管轄區,許多發達國家早已實施相似且行之有效的法規。因此,跨國企業和國際投資者對此類監管框架並不陌生。
陳永安認為,《條例》的法律依據清晰,《實務守則》亦提供務實的指引,實質上是鼓勵外資進入香港的「催化劑」。
陳永安認為,該條例實質上是鼓勵外資進入香港的 「催化劑」。無論是計劃來港投資的服務供應商,還是關鍵基礎設施營運者,《條例》的法律依據清晰,《實務守則》亦提供務實的指引,提升香港整體電腦系統的安全性和韌性,「因為有法律去規管,大家都會營造好,提升香港整體電腦系統安全,對外資而言是重要的信心保證。」
陳永安指,政府通過多項措施推動網絡安全人才培養,例如持續進修基金,合資格人士修讀相關課程最高可獲2.5萬港幣資助,優秀人才入境計劃、科技人才輸入計劃等。此外,香港互聯網註冊管理有限公司亦設有自學平台,政府亦鼓勵大專院校推出更多相關課程,確保持續的人才供應,支持行業長遠發展。
