专访│保护关键基础设施电脑系统 约百多个企业及机构受监管 名单不会公开 防黑客挑衅 

政府立例确保本港关键基础设施的电脑系统安全，保安局表示，受监管的企业或机构约百多个，但有关名单不会公开，这与其他司法管辖区的相关做法一致，以防止有黑客针对关键基础设施作出挑衅攻击。相关企业及机构的营运者须负上三大类法定责任，包括第一类架构责任，例如设立电脑系统安全管理部门；第二类预防责任，例如制定并实施电脑系统安全管理计划、定期进行风险评估和审核，以及第三类事故通报及应对责任，例如定期参与安全演习，遇到事故要尽快通报等，确保电脑系统保安的城墙安全及门锁更加稳固。

 

《条例》监管两大类别的企业或机构

李百全表示，《条例》确保本港关键基础设施的电脑系统具有韧性，能抵御黑客进行的网络攻击，并能尽快恢复正常运作。　苏正谦摄

李百全指，已从沟通过程充分理解业界的运作，并强调工作可以外判，但责任不能外判。　苏正谦摄

政府订立有关条例，是因应全球不同地区的关键基础设施电脑系统近年受到网络攻击的问题。 资料图片

受监管的企业或机构约百多个，但有关名单不会公开，以防止有黑客针对关键基础设施作出挑衅攻击。 资料图片

《保护关键基础设施(电脑系统)条例草案》本周三在立法会获得三读通过，涵盖多个界别。　资料图片

 

保安局常任秘书长李百全表示，《条例》监管两大类别的企业或机构，第一类涉及在香港提供必要服务的基础设施，涵盖8大界别，分别是：(1)能源、(2)资讯科技、(3)银行和金融服务 、(4) 航空运输 、(5) 陆路运输、 (6) 海上运输、(7)医护服务及 (8) 电讯及广播服务。第二类是其他维持重要社会和经济活动的基础设施，例如大型体育或表演场地、主要科技园区等。

李百全续谓，只有被指定为「关键基础设施营运者」及「关键电脑系统」，即直接与提供必要服务有关或关乎关键基础设施核心功能的电脑系统，以及如受到干扰或破坏会严重影响设施正常运作的系统才受规管。

 

应管就管 那些不需要管 就不会刻意去管

 

至于谁是受监管的营运者，李百全表示，主要看其提供的核心服务电脑系统的依赖程度，举例如巴士公司，它们提供的核心服务对电脑系统的依赖程度未必很高，所以未必属这个类别；而当找到谁是营运者后，当局就要确定佢哪些关键电脑系统核心功能有关，然后规管这些关键电脑系统，「应管就管，那些不需要管，就不会刻意去管」，举例指，如能源公司监控供油设备的电脑系统，当然会受到监管，至于能源公司处理员工放假安排的系统，按理不影响核心功能，则不属此限。

 

营运者须负上三大类法定责任

 

李百全指，营运者具有应负的架构责任，第一必须要在香港设有办事处，不能只有信箱，因为必须要跟进得到，确保责任到人；第二必须设有电脑系统安全管理部门，主管必须是营运者的员工；第三是如果营运者有变更，必须向专责办公室通报。

营运者亦须肩负预防责任，李百全指，营运者须定期将电脑安全计划交予专责办公室，确保有足够及专业的能力保护电脑系统的安全，同时要配合电脑系统日新月异的发展；此外，营运者亦须在不同时段进行风险评估，当遇到事故，要如何应对及通报，须提供应变计划。

在事故通报和应对方面，营运者须定期参与演习；此外，李百全表示，因一个机构受到黑客攻击，亦可能会蔓延至其他机构，故业界必须同心协力，遇到事故要立即通报，严重事故须于得悉事件发生后12小时内通报，其他事故须于48小时内通报，确保专责办公室可以尽早介入协助应，防止事故恶化或蔓延。

 

关键基础设施类别：

第一类：

在香港提供必要服务的基础设施，涵盖8个界别：

(1) 能源 (2)资讯科技 (3)银行和金融服务 (4) 航空运输 (5) 陆路运输 (6) 海上运输 (7)医护服务 (8) 电讯及广播服务。

第二类：

其他维持重要的社会和经济活动的基础设施（例如大型体育／表演场地、主要科技园区等）。

 

营运者三大法定责任：

1.架构
在香港设有地址和办事处
报告关键基础设施营运权的变更
设立电脑系统安全管理部门（可外判），并委任专责主管负责监管

2.预防
报告有关关键电脑系统的重大变化（如设计、配置、安全或运行）
制定／实施电脑系统安全管理计划
进行电脑系统安全风险评估（至少每年一次）
进行电脑系统安全审核（至少每两年一次）

3.事故通报及应对
参与电脑系统安全演习
制订应急计划
在指定时间内报告有关关键电脑系统的安全事故
严重事故：须在得悉事件发生后12小时内
其他事故：须在得悉事件发生后48小时内
 

条例实施时间表：

日期／行动
2025年3月19日／《条例草案》在立法会恢复二读辩论及三读通过
2026年1月1日／条例正式生效及成立专责办公室
2026年6月/即专责办公室成立半年后，分阶段指定营运者

 

记者 郑华坤