關鍵基建營運者名單不公開 保安局:「專辦」人手數十
【明報專訊】保安局建議制定《保障關鍵基礎設施(電腦系統)條例》,要求8個界別的關鍵基礎設施營運者要採取措施加強電腦系統保安能力;並提出成立隸屬保安局、具調查權力的專責辦公室(見表)。保安局回覆查詢,稱辦公室將由特首委任的首長級專員領導,協調不同政府部門及專家執行相關工作,預計有數十人,來自警方及政府資科辦;為免基礎設施成為網絡攻擊目標,保安局不會公布基礎設施營運者名單,指不論是公私營機構、本地或外資公司,若屬維持本港社會的必要服務,或屬重要的社會和經濟活動營運者,便有可能受新例監管。有議員認為如何界定基礎設施應待進一步釐清及討論。
專辦人手來自警方資科辦
條例規管8個界別公司及機構,包括「銀行及金融服務」界別,政府建議由金管局作「指定監管機構」,履行架構及預防責任等。金融界議員陳振英稱香港是國際金融中心,銀行結算和支付系統均非常重要,若發生問題會影響社會運作,故支持立法方向。不過,他稱銀行界有大小及分類,料屬具本地系統重要性銀行(D-SIB)較大機率落入規管範圍。按金管局分類,現有5間銀行列為D-SIB,包括3間發鈔銀行。
陳振英表示,銀行屬強監管行業,一旦發生事故如全線櫃員機故障、分行停電等,在現有機制下已要向金管局匯報,料日後被納入新規管不會對業界造成沉重負擔。至於金管局本身的關鍵基礎設施安全,金管局回覆表示,一直嚴守政府內部資訊科技保安政策和指引,與其他政府部門一樣,會繼續受現行政府內部的行政方式規管。
私院需否受規管? 林哲玄倡釐清涵蓋門檻
去年《施政報告》提出「醫健通+」5年計劃,集醫療數據互通、服務提供和流程管理的綜合醫療資訊基建。「醫療保健」屬受規管界別之一,醫衛界議員林哲玄認為,「醫健通+」數據庫載有大量病人資料及病歷紀錄,同意政府規管其電腦系統安全。至於私家醫院需否受規管,他認為相關病人資料同樣重要,但要視乎發生事故後的受影響程度,建議局方進一步釐清涵蓋門檻,亦建議私院日後按保安局的《實務守則》加強網安措施。
醫管局昨稱已制定應對網絡保安應變計劃和行動方案,將全力配合相關政策方向,亦會與執法機構及網絡保安機構合作提升網安。
兩電煤氣:仔細研究框架
身兼中電高級顧問的選委界議員陳紹雄說,發電廠、煤氣分支等均屬關鍵基礎設施,立法可確保相關設施獲妥當保護。中電、港燈及中華煤氣公司分別回覆查詢,中電表示已制定一套符合國際標準的保安措施,會仔細研究相關立法框架;港燈稱有定期確保安全措施符合業內及國際最佳標準,會仔細研究及適時向當局表達意見;煤氣公司稱已有機制確保公司資訊與技術資產的機密、完整及可用性,會仔細研究框架,並與政府相關部門、立法會等保持溝通。
保安局:條例要求保護系統 不涉個人資料
保安局昨稱相關持份者原則上支持立法,他們理解條例僅要求營運者承擔保護「關鍵電腦系統」的責任,絕不涉及系統內個人資料和業務內容。局方重申,政府內部已有《政府資訊科技保安政策及指引》,要求水平與條例相若,加上政府人員受《公務員守則》等規管,故新例不會涵蓋政府部門。
明報記者 施晉宇 鄭律銘