政府擬立法規管機構 保障網絡安全

2024-06-26 00:00

政府擬立法保障關鍵基礎設施的電腦系統安全,規定機構營運者須制訂安全計劃。
政府擬立法保障關鍵基礎設施的電腦系統安全,規定機構營運者須制訂安全計劃。

為提升對關鍵基礎設施網絡安全的保護,政府提出《保障關鍵基礎設施(電腦系統)條例草案》,建議立法規管「關鍵基礎設施營運者」及「關鍵電腦系統」,被指明的能源、資訊科技、 銀行等機構營運者要承擔法定責任,包括每年進行一次電腦系統保安風險評估、發生事故後需通報等,違者最高可被罰款500萬元,條例將於下月諮詢立法會,並於年底前提交立法會審議。政府強調,只有被指明的「關鍵基礎設施營運者」方要履行法定責任,中小企及一般市民不受影響。
保安局向立法會保安事務委員會提交的文件指,政府擬增設專責辦公室處理關鍵基礎設施,包括指明和監督關鍵基礎設施營運者及關鍵電腦系統。辦公室同時會制訂《實務守則》、調查及跟進違規情況、協助關鍵基礎設施營運者應對電腦系統保安事故、以及向關鍵基礎設施營運者發出書面指示,以堵塞可能出現的保安漏洞等。當局又建議指定金融管理局以及通訊事務管理局作為「指定監管機構」,分別負責監管銀行和金融服務,以及通訊和廣播業。
只針對指定機構

條例草案建議,將關鍵基礎設施分為「在香港提供必要服務的基礎設施」,以及「其他維持重要的社會和經濟活動的基礎設施」。當中「在香港提供必要服務的基礎設施」,涵蓋8個界別包括能源、資訊科技、 銀行和金融服務、陸上交通、 航空交通、海運、醫療保健以及通訊和廣播;「其他維持重要的社會和經濟活動的基礎設施」則包括大型體育及表演場地、科研園區等。

被列為關鍵基礎設施營運者須承擔法定責任,例如須設立電腦系統安全管理部門、報告關鍵電腦系統重大變化、每年至少進行一次電腦系統保安風險評估、每兩年至少進行一次電腦系統保安審計、在指定時間內報告保安事故,如發生嚴重事故要在得悉事件發生後2小時內通報,其他事故則在得悉事件24小時內通報。

如「關鍵基礎設施營運者」不履行法定責任、不遵從專責辦公室發出的書面指示、不遵從專責辦公室按法定調查權力提出的要求,以及不遵從專責辦公室就提供與關鍵基礎設施資料的要求,最高可被罰款50萬至500萬元,個別罪行持續,可每日罰款最高5萬至10萬元。
不涉個資及業務內容

政府重申,條例絕大部分規管的只是大型機構,中小企及一般市民均不受影響,條例亦不涉系統內的個人資料和業務內容。當局同時建議設立上訴機制,當營運者不同意專責辦公室有關「關鍵基礎設施營運者」或 「關鍵電腦系統」的指明、或其發出的書面指示時,可透過獨立渠道提出上訴。
 

關鍵字

最新回應

相關新聞

You are currently at: std.stheadline.com
Skip This Ads
close ad
close ad