政府部門用個人電郵即時通訊指引收緊 指三類程式有重大保安風險 須首長批准
【明報專訊】政府4月更新規管各部門的資訊科技保安規定,本報留意到,指引中稱政府僱員「使用個人網絡郵件、公共雲端儲存和網絡版即時通訊服務會帶來重大保安風險」,要求只在有真正需要和合理理由、且獲部門首長批准,才可使用三類程式。指引同時規定,部門也應設定網頁過濾等措施,防止未經授權使用三類程式。若指引實施,公務員要使用辦公室的電腦桌面版WhatsApp、微信、Google旗下Google drive、Gmail等,或須事先批准。
明報記者 孫澤芳 林勵
政府:指引4月公布 部門須半年內採措施
政府發言人回覆本報查詢時說,更新版指引在4月公布,各決策局或部門須在6個月內採取措施,或制訂實施計劃,數字辦會提供適切技術建議和支援。發言人稱,面對網絡威脅持續,一定要做好防範工作,各政策局及部門繼續負起應有責任,繼續落實新一輪更新的《政府資訊科技保安政策及指引》規定。
分析:規定早見於私人市場 惟很難一刀切
電腦安全研究員賴灼東說,類似規定早見於私人市場,如國際銀行「限得好緊」,但認為很難「一刀切」要求政府僱員不用在辦公室電腦用即時通訊軟件,認為當局可研究用企業版本程式,或用政府提供的手機才使用部分程式。他又提醒,年初外泄資料問題主要源於外判的本地雲端平台供應商問題,認為政府應研究是否應更換或限制使用肇事公司,或更換可信度高一點的品牌,不能貪平。
多個政府部門及公私營機構接連發生資訊保安事故,當中年初多個部門因本地雲端儲存服務供應商問題,導致包括市民資料外泄。政府資科辦(現數字政策辦公室)在4月更新訂下「強制性基本保安要求」的《基準資訊科技保安政策》,及制定相關實施標準的《資訊科技保安指引》。兩套文件規管政府聘用的公務員及非公務員。
當中,《指引》提醒使用個人電郵、雲端及網絡版即時通訊程式可能導致未經授權披露敏感資料或資料外泄,新增部門須定期審慎檢視(critically review)使用三類程式的必要性,並在獲部門首長批准,人員才可授予權限使用;不再需要時應立即撤銷權限。
政府發言人解釋,由於網頁版即時通訊程式可能增加資安風險,包括未經授權傳輸檔案、誤擊詐騙網站連結等,故引入保安規定。發言人補充,若政府人員以部門提供的流動電話接達即時通訊程式,不需要事先獲批准。
門檻降低至「意識」到保安事故則通報
政府在兩份指引中也修訂或收緊部分資安規定,例如保安事故通報將「確定」事故才通報,門檻降低至「意識」到事故。事故應變計劃中,加入「與持份者和公眾的溝通計劃」的內容。數字辦正積極籌備在下半年舉行網絡安全攻防演練,加強決策局、部門管理層及技術人員培訓等。
在雲端儲存方面,《指引》提醒在部門與雲端服務供應商簽署協議前,須確保明確界定及記錄雙方共同責任,但「資訊系統的整體問責仍然歸決策局/部門所屬」。
指引對政府內部人員責任或角色的表述也有類似更新,例如《指引》說「積極培養深厚的保安文化,對於提升決策局/部門的保安態勢、降低風險、遵行法規,以及在整個政府內建立一個具復原能力和可信賴的環境,是至關重要的」。
■明報報料熱線﹕inews@mingpao.com / 9181 4676