關鍵基建營運者名單不公開 保安局：「專辦」人手數十

關鍵基建營運者名單不公開保安局：「專辦」人手數十

[2024.06.27] 發表

【明報專訊】保安局建議制定《保障關鍵基礎設施(電腦系統)條例》，要求8個界別的關鍵基礎設施營運者要採取措施加強電腦系統保安能力；並提出成立隸屬保安局、具調查權力的專責辦公室(見表)。保安局回覆查詢，稱辦公室將由特首委任的首長級專員領導，協調不同政府部門及專家執行相關工作，預計有數十人，來自警方及政府資科辦；為免基礎設施成為網絡攻擊目標，保安局不會公布基礎設施營運者名單，指不論是公私營機構、本地或外資公司，若屬維持本港社會的必要服務，或屬重要的社會和經濟活動營運者，便有可能受新例監管。有議員認為如何界定基礎設施應待進一步釐清及討論。

專辦人手來自警方資科辦

條例規管8個界別公司及機構，包括「銀行及金融服務」界別，政府建議由金管局作「指定監管機構」，履行架構及預防責任等。金融界議員陳振英稱香港是國際金融中心，銀行結算和支付系統均非常重要，若發生問題會影響社會運作，故支持立法方向。不過，他稱銀行界有大小及分類，料屬具本地系統重要性銀行(D-SIB)較大機率落入規管範圍。按金管局分類，現有5間銀行列為D-SIB，包括3間發鈔銀行。

陳振英表示，銀行屬強監管行業，一旦發生事故如全線櫃員機故障、分行停電等，在現有機制下已要向金管局匯報，料日後被納入新規管不會對業界造成沉重負擔。至於金管局本身的關鍵基礎設施安全，金管局回覆表示，一直嚴守政府內部資訊科技保安政策和指引，與其他政府部門一樣，會繼續受現行政府內部的行政方式規管。

私院需否受規管？林哲玄倡釐清涵蓋門檻

去年《施政報告》提出「醫健通+」5年計劃，集醫療數據互通、服務提供和流程管理的綜合醫療資訊基建。「醫療保健」屬受規管界別之一，醫衛界議員林哲玄認為，「醫健通+」數據庫載有大量病人資料及病歷紀錄，同意政府規管其電腦系統安全。至於私家醫院需否受規管，他認為相關病人資料同樣重要，但要視乎發生事故後的受影響程度，建議局方進一步釐清涵蓋門檻，亦建議私院日後按保安局的《實務守則》加強網安措施。

醫管局昨稱已制定應對網絡保安應變計劃和行動方案，將全力配合相關政策方向，亦會與執法機構及網絡保安機構合作提升網安。

兩電煤氣：仔細研究框架

身兼中電高級顧問的選委界議員陳紹雄說，發電廠、煤氣分支等均屬關鍵基礎設施，立法可確保相關設施獲妥當保護。中電、港燈及中華煤氣公司分別回覆查詢，中電表示已制定一套符合國際標準的保安措施，會仔細研究相關立法框架；港燈稱有定期確保安全措施符合業內及國際最佳標準，會仔細研究及適時向當局表達意見；煤氣公司稱已有機制確保公司資訊與技術資產的機密、完整及可用性，會仔細研究框架，並與政府相關部門、立法會等保持溝通。

保安局：條例要求保護系統不涉個人資料

保安局昨稱相關持份者原則上支持立法，他們理解條例僅要求營運者承擔保護「關鍵電腦系統」的責任，絕不涉及系統內個人資料和業務內容。局方重申，政府內部已有《政府資訊科技保安政策及指引》，要求水平與條例相若，加上政府人員受《公務員守則》等規管，故新例不會涵蓋政府部門。

明報記者施晉宇鄭律銘