專訪│保護關鍵基礎設施電腦系統 約百多個企業及機構受監管 名單不會公開 防黑客挑釁 

政府立例確保本港關鍵基礎設施的電腦系統安全，保安局表示，受監管的企業或機構約百多個，但有關名單不會公開，這與其他司法管轄區的相關做法一致，以防止有黑客針對關鍵基礎設施作出挑釁攻擊。相關企業及機構的營運者須負上三大類法定責任，包括第一類架構責任，例如設立電腦系統安全管理部門；第二類預防責任，例如制定並實施電腦系統安全管理計劃、定期進行風險評估和審核，以及第三類事故通報及應對責任，例如定期參與安全演習，遇到事故要盡快通報等，確保電腦系統保安的城牆安全及門鎖更加穩固。

 

《條例》監管兩大類別的企業或機構

李百全表示，《條例》確保本港關鍵基礎設施的電腦系統具有韌性，能抵禦黑客進行的網絡攻擊，並能盡快恢復正常運作。　蘇正謙攝

李百全指，已從溝通過程充分理解業界的運作，並強調工作可以外判，但責任不能外判。　蘇正謙攝

政府訂立有關條例，是因應全球不同地區的關鍵基礎設施電腦系統近年受到網絡攻擊的問題。 資料圖片

受監管的企業或機構約百多個，但有關名單不會公開，以防止有黑客針對關鍵基礎設施作出挑釁攻擊。 資料圖片

《保護關鍵基礎設施(電腦系統)條例草案》本周三在立法會獲得三讀通過，涵蓋多個界別。　資料圖片

 

保安局常任秘書長李百全表示，《條例》監管兩大類別的企業或機構，第一類涉及在香港提供必要服務的基礎設施，涵蓋8大界別，分別是：(1)能源、(2)資訊科技、(3)銀行和金融服務 、(4) 航空運輸 、(5) 陸路運輸、 (6) 海上運輸、(7)醫護服務及 (8) 電訊及廣播服務。第二類是其他維持重要社會和經濟活動的基礎設施，例如大型體育或表演場地、主要科技園區等。

李百全續謂，只有被指定為「關鍵基礎設施營運者」及「關鍵電腦系統」，即直接與提供必要服務有關或關乎關鍵基礎設施核心功能的電腦系統，以及如受到干擾或破壞會嚴重影響設施正常運作的系統才受規管。

 

應管就管 那些不需要管 就不會刻意去管

 

至於誰是受監管的營運者，李百全表示，主要看其提供的核心服務電腦系統的依賴程度，舉例如巴士公司，它們提供的核心服務對電腦系統的依賴程度未必很高，所以未必屬這個類別；而當找到誰是營運者後，當局就要確定佢哪些關鍵電腦系統核心功能有關，然後規管這些關鍵電腦系統，「應管就管，那些不需要管，就不會刻意去管」，舉例指，如能源公司監控供油設備的電腦系統，當然會受到監管，至於能源公司處理員工放假安排的系統，按理不影響核心功能，則不屬此限。

 

營運者須負上三大類法定責任

 

李百全指，營運者具有應負的架構責任，第一必須要在香港設有辦事處，不能只有信箱，因為必須要跟進得到，確保責任到人；第二必須設有電腦系統安全管理部門，主管必須是營運者的員工；第三是如果營運者有變更，必須向專責辦公室通報。

營運者亦須肩負預防責任，李百全指，營運者須定期將電腦安全計劃交予專責辦公室，確保有足夠及專業的能力保護電腦系統的安全，同時要配合電腦系統日新月異的發展；此外，營運者亦須在不同時段進行風險評估，當遇到事故，要如何應對及通報，須提供應變計劃。

在事故通報和應對方面，營運者須定期參與演習；此外，李百全表示，因一個機構受到黑客攻擊，亦可能會蔓延至其他機構，故業界必須同心協力，遇到事故要立即通報，嚴重事故須於得悉事件發生後12小時內通報，其他事故須於48小時內通報，確保專責辦公室可以盡早介入協助應，防止事故惡化或蔓延。

 

關鍵基礎設施類別：

第一類：

在香港提供必要服務的基礎設施，涵蓋8個界別：

(1) 能源 (2)資訊科技 (3)銀行和金融服務 (4) 航空運輸 (5) 陸路運輸 (6) 海上運輸 (7)醫護服務 (8) 電訊及廣播服務。

第二類：

其他維持重要的社會和經濟活動的基礎設施（例如大型體育／表演場地、主要科技園區等）。

 

營運者三大法定責任：

1.架構
在香港設有地址和辦事處
報告關鍵基礎設施營運權的變更
設立電腦系統安全管理部門（可外判），並委任專責主管負責監管

2.預防
報告有關關鍵電腦系統的重大變化（如設計、配置、安全或運行）
制定／實施電腦系統安全管理計劃
進行電腦系統安全風險評估（至少每年一次）
進行電腦系統安全審核（至少每兩年一次）

3.事故通報及應對
參與電腦系統安全演習
制訂應急計劃
在指定時間內報告有關關鍵電腦系統的安全事故
嚴重事故：須在得悉事件發生後12小時內
其他事故：須在得悉事件發生後48小時內
 

條例實施時間表：

日期／行動
2025年3月19日／《條例草案》在立法會恢復二讀辯論及三讀通過
2026年1月1日／條例正式生效及成立專責辦公室
2026年6月/即專責辦公室成立半年後，分階段指定營運者

 

記者 鄭華坤